IDS, IPS, DLP : il faut l’autorisation de la CNIL !

• Thiébaut Devergranne

Les moyens de surveillance et de protection des systèmes d’information sont des manifestations de lucidité. Pas une semaine, en effet, ne se passe sans qu’une faille majeure de sécurité ne vienne s’ajouter au cirque incessant des désastres informatiques.

Déjà conscient de la nécessité d’imposer une protection minimale, le législateur a imposé une obligation de sécurité (très détaillée dans la formation RGPD) au responsable du traitement de données personnelles. La loi informatique et libertés lui oblige, en effet, de mettre en place toutes les précautions utiles afin de protéger son traitement. En vertu de cette obligation, et pour assurer la préservation de leurs biens informatiques, les organisations mettent souvent en oeuvre des systèmes de détection et de prévention contre les intrusions (IDS, IPS, DLP, WAF, etc.).

Du point de vue juridique, les obligations liées à leur exploitation sont de deux ordres au moins : celles spécifiques au droit du travail (pouvoir de contrôle de l’employeur sur l’activité des salariés, devoir de loyauté, information, proportionnalité…), qui sont en général assez bien respectées, et celles relatives à la loi informatique et libertés.

La majorité de ces systèmes sont exploités dans l’illégalité aujourd’hui

Pour ces dernières, dans la pratique aujourd’hui, la majorité des responsables des traitements de données personnelles répondent par une déclaration à la CNIL (qui clôture le processus de mise en conformité du traitement). C’est pourtant une erreur car ces outils ne doivent pas faire l’objet d’une déclaration simple, mais d’une autorisation de la Commission. A défaut ils sont exploités dans l’illégalité.

I – IDS, IPS, DLP… traitent des données relatives à des infractions pénales

Pour comprendre le problème juridique posé, il faut revenir sur la finalité du traitement de données personnelles réalisé par ces outils : leur objectif est de prévenir et d’assurer la traçabilité des infractions informatiques réalisées sur un système informatique donné.

Les IDS/IPS traitent des données relatives qui permettent de déterminer l’existence d’infractions pénales

Dans les faits, ces systèmes vont donc traiter des données relatives à des infractions pénales, puisqu’ils vont tracer et conserver le détail des atteintes aux systèmes d’information – et que la majorité du temps ces atteintes sont sanctionnées par des infractions. Soyons concret et prenons un exemple de logs tirés de Snort pour illustrer notre propos :

Alors, qu’observe-t-on ? En l’occurrence (ligne 1) on observe qu’une personne a tenté d’utiliser une backdoor (Back Orifice), le 23 Juillet à 22h34, pour pénétrer le système visé. On rappelle que la loi informatique et libertés ici s’applique bien, puisque le traitement réalisé est un traitement de données personnelles ; en témoigne l’adresse IP de l’ordinateur par lequel l’auteur de la tentative d’accès frauduleux est passé (qui, ici pour l’exemple, est situé sur un réseau local, mais qui, dans la vie réelle, serait une adresse IP routable sur Internet). Grâce à ces logs, on dispose donc des traces précises permettant de déterminer qu’une personne a bien tenté de réaliser un accès frauduleux, infraction sanctionnée par l’article 323-7 du Code pénal.

II – Le traitement de données relatives à des infractions doit être préalablement autorisé par la CNIL

C’est précisément là que, juridiquement, les choses commencent à poser problème, car la loi informatique et libertés a adopté un régime très strict concernant le traitement de données personnelles relatives à des infractions.

La loi informatique et liberté adopte un régime très contraignant pour le traitement de données relatives à des infractions

En effet, à l’exception d’une série d’acteurs spécifiques (l’Etat, les auxiliaires de justice…), l’article 9 interdit purement et simplement le traitement de « données à caractère personnel relatives aux infractions » ; l’idée derrière cette prohibition est d’éviter la possibilité de constituer des casiers judiciaires privés. La seule dérogation pour pouvoir traiter ce type de données est d’obtenir l’autorisation de la CNIL, délivrée en vertu de l’article 25 de la loi.

III – Les raisons de ce régime contraignant : l’exception censurée par le Conseil constitutionnel

Il y a tout de même une explication à ce désordre car, à l’origine, la loi prévoyait une exception à cette prohibition et en particulier pour les personnes morales victimes d’infractions pénales, pour les besoins de la prévention contre la fraude.

A l’origine une exception dans la loi permettait de traiter des données aux fins de prévention contre la fraude

Cette exception aurait été presque parfaitement adaptée à la question des IDS/IPS, puisqu’elle visait :

« les personnes morales victimes d’infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude, ainsi que la réparation du préjudice subi ».
Très juste dans son principe, cette exception a toutefois été censurée par le Conseil constitutionnel en raison de sa rédaction trop large et imprécise. Dans sa décision, le Conseil notait toutefois que l’annulation de cette disposition ne devait pas être interprétée comme « privant d’effectivité le droit d’exercer un recours juridictionnel dont dispose toute personne physique ou morale s’agissant des infractions dont elle a été victime ». Reste qu’il faut tout de même demander l’autorisation de la CNIL, ce qui nous fait passer par une procédure assez contraignante et rarement mise en place en réalité.

IV – Les conséquences de l’absence d’autorisation

En pratique, deux conséquences assez fâcheuses vont découler de l’absence d’autorisation.

Le responsable risque de commettre une infraction pénale et sera sérieusement mis en difficulté pour exploiter légalement les données collectées

La première la plus immédiate est que le fait de ne pas avoir demandé l’autorisation d’exploitation est constitutif d’une infraction pénale. C’est un peu un comble puisque les IDS ont pour vertu première d’assurer la protection des données personnelles traitées ! Mais la loi est la loi, et pour l’instant les risques liés à ses malfaçons – c’est-à-dire l’absence d’exception permettant de simplifier ce régime juridique – pèsent sur les responsables de traitements. Ainsi, d’un point de vue légal, tant pis si celui-ci a oublié qu’il devait demander une autorisation, sa responsabilité est engagée, et à double titre en fait. D’abord par l’art. 226-19 du Code pénal qui dispose :

« Est puni des mêmes peines [5 ans, 300.000€] le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté ».

Et ensuite, par l’article 226-16 du Code pénal qui risque également de trouver application, celui-ci sanctionnant que :

« Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende »

Voilà autant de raisons de régulariser la situation !

La seconde conséquence est encore plus délicate à gérer, et tout aussi problématique, et tient à l’usage qui pourra être fait des données collectées par ces outils de prévention des attaques informatiques. En effet, tant que leur mise en œuvre n’a pas été opérée légalement (c’est-à-dire que l’autorisation n’a pas été acquise), il est très délicat de mentionner ces traces dans le cadre d’une procédure pénale – par exemple lors d »un dépôt de plainte suite à un piratage informatique – sans risquer également de mettre le responsable du traitement en défaut. Il est en effet difficile de se plaindre d’être victime d’une infraction pénale alors que soi-même l’on vient d’en commettre…

Conclusion : comment gérer la situation

En réalité, deux catégories de personnes sont concernées par cette problématique.

  • Les premières sont les responsables de traitements qui mettent en œuvre des IDS. Ceux-ci doivent faire l’audit de l’ensemble des traitements réalisés et lancer une procédure de demande d’autorisation faisant apparaître clairement le traitement de données relatives à des infractions.
  • Les secondes sont les concepteurs de produits de sécurité qui ont une obligation de conseil et d’information envers leurs clients. En effet, si ceux-ci ne voient pas leur responsabilité engagée par leurs anciens clients pour défaut de conseil, il leur appartiendra en urgence de les informer de la nécessité de mettre en place une procédure de demande d’autorisation à la CNIL.

Gageons qu’à l’avenir la CNIL proposera une autorisation unique qui permettra d’appréhender avec une plus grande simplicité l’ensemble de ces outils de sécurité dont on ne peut que souligner l’intérêt.


A lire également...

Commentaires...

Philipe-Arnaud

Article très intéressant et qui montre bien les limites juridiques des outils de prévention d'intrusion. AMHA il peut être intéressant de chercher à identifier les failles susceptibles d'affecter un SI que l'on connaît et que l'on maîtrise (inventaire logiciel, expertise interne...) plutôt que de faire confiance à des boîtes (trop souvent) noires pour tenter d'intercepter le trafic.

Merci de votre travail.

Thiébaut Devergranne

Merci pour votre message d'encouragement !

Thiébaut Devergranne

Plusieurs personnes m'ont contacté pour discuter de la question de savoir si les données traitées par les IDS étaient vraiment des données relatives à des infractions. A l'origine l'article que j'avais écrit comportait un chapitre sur ce sujet que j'ai supprimé afin d'en clarifier la lecture (l'article me semblait un peu long...). En voici le détail :

IV) Peut-on argumenter du fait que ces données ne sont pas relatives à des infractions ?

Naturellement, la manière la plus simple d'éviter ce dispositif serait de dire qu'en réalité les données traitées par les IDS/IPS ne sont pas réellement des données qui sont relatives aux infractions, au sens strict du terme. Juridiquement, peut-on vraiment argumenter en ce sens ?

On pourrait avancer au moins quelques éléments : tout d'abord, on pourrait arguer le fait qu'il ne s'agit pas d'infractions jugées. C'est peut-être l'argument le plus fort au sens juridique (cf. principe de présomption d’innocence). Ensuite, il faudrait également acter le fait que la prohibition à l'origine a été instituée pour éviter la constitution de casiers judiciaires privés. Enfin, on pourrait encore rappeler que le responsable du traitement des données personnelles a une obligation de sécurité dont font partie les IDS/IPS et autres outils de DPL.

Mais cette argumentation ne nous portera pas très loin, pour trois raisons essentielles.

D'abord, la loi est rédigée de manière très large, dans un souci précisément de protection des droits et libertés. La terminologie employée ne se limite pas, par exemple, à la notion d'infraction pénale, mais vise très généralement la notion d'infraction (y entrent donc les infractions civiles). Dès lors, si le législateur a souhaité englober cette notion très largement, il n'y a donc pas de raison de la restreindre aux infractions jugées comme telles ; d'autant que la loi se réfère aux "données à caractère personnel relatives aux infractions" et non simplement aux "infractions". Et, force est de constater que les données qui permettent de déterminer si oui ou non une infraction est réalisée, entrent bien dans cette notion. Ensuite, il faut dire que c'est bien l'acception à laquelle s'est ralliée la CNIL qui considère ainsi que le traitement des données relatives à la gestion du précontentieux et du contentieux d'infractions constituées contre des personnes morales entre bien dans le champ de l'article 25, 3° de la loi. C'est à ce titre, enfin, qu'elle a adopté une autorisation unique, qui concerne les commerçants pour les vols commis au sein de leurs lieux de vente (voir l'autorisation unique n°16 et n°17).

En conséquence, une partie significative des données collectées par les outils de détection et de prévention contre la fraude va bien revêtir la qualification d'infractions pénales ; leur exploitation ne sera donc licite qu'une fois autorisée par la CNIL.

cpm

Et si l'IP n'était pas une donnée personnelle ?

a) il n'existe pas de méthode triviale pour retrouver à qui est allouée une IP ;

b) plusieurs personnes (des milliers) peuvent être derrière la même IP ;

c) une IP peut être "volée".

Et si les IDS/IPS servaient à se protéger physiquement et non juridiquement ?

a) détecter une tentative d'intrusion, c'est se donner le pouvoir de l'éviter ;

b) détecter une tentative d'intrusion, ce n'est pas vouloir systématiquement porter plainte.

Thiébaut Devergranne

Excellent interrogation en fait. Les éléments que vous avancez sont tout à fait pertinent (j'ai également fait une analyse sur cette question voir l'article l'adress IP est-elle une donnée personnelle http://www.donneespersonnelles.fr/adresse-ip-est-elle-donnee-personnelle).

En l'occurence ici mon postulat était celui d'un IDS placé sur un serveur, connecté à Internet. Dans ce cas les IP enregistrées seront - certes pas tout le temps, mais une partie du temps tout de même - appréhendées juridiquement comme des données personnelles.

Votre remarque realtive à la finalité de l'IDS est également bien ciblée ; j'ai eu une discussion avec un lecteur sur LinkedIn précisément à ce sujet. Je vous pousse ma réponse :

"Comme vous le soulignez très justement, tout dépend de la finalité du traitement. Je suis un peu partagé dans la situation que vous évoquez : d'un côté effectivement la finalité sera de détecter un dysfonctionnement interne, mais de l'autre le système mis en oeuvre va tout de même traiter des données relatives à des infractions pénales (ex : accès frauduleux, par exemple si l'employé a accédé à des ressources non autorisées). A titre de précaution, je m'assurerai tout de même de requérir l'autorisation de la CNIL."

Christophe

Voila un article qui arrive a me mettre de mauvaises humeur, non pas du fait de l'auteur, mais du fait des regles qui semblent devoir s'appliquer.

A la lecture de cet article, il est indique la necessite de demander une autorisation pour un IDS/IPS...Mais en regardant l'exemple utilise, on se rend compte que, dans la pratique, cela devrait avoir une dimension nettement plus grande que celle indiquee.

Je m'explique.

L'exemple presente est une tentative d'utilisation d'une backdoor. Celle ci est detectee par snort (un IDS). Cette meme tentative peut etre detectee par un Firewall, il suffit par exemple de le configurer pour logguer toute tentative d'acces non autorisee (le port 8787 dans notre cas). Nous avons donc la meme information, a partir d'un autre type d'equipement. Je peux aller plus loin. La mise en place d'un service web necessite de stocker les logs (obligation legales etc.), sauf que ces logs sont aussi source d'informations personnelles (puisque les ips sont des informations de type personnelle, les logs d'acces sont donc des donnees personnelles), qui doivent alors faire l'objet non plus d'une declaration mais d'une autorisation a partir du moment ou l'on decide d'y jeter un oeil. Certe cela ne va generalement pas plus loin que de la securisation voir du blocage de l'ip suspecte, mais si cela va plus loin et que la personne 'attaque' decide de porter plainte, il ne le pourra pas puisqu'il n'aura pas d'autorisation.

De fait, chaque systeme entrainant une recuperation d'information pouvant etre utilise pour detecter une infraction devrait necessiter une demande d'autorisation et a la lecture des elements ci dessus, tout pouvant l'etre, il faut des autorisations pour tout.

Ce qui me confirme dans mon idee que la CNIL n'a d'autre but que d'empecher la mise en place de mesure de securitee efficace ou de pousser a l'illegalite.

Thiébaut Devergranne

Bonjour !

Votre remarque souligne très justement les contraintes juridiques qui sont liées à l'emploi d'une diversité d'outils de sécurité. La loi est effectivement trop contraignante aujourd'hui en raison de l'absence d'autorisation unique, a minima, où d'une exception légale qui permettrait une simplification des choses.

Un point pourrait être nuancé toutefois dans vos propos, et concerne la CNIL ; pour le coup elle n'y peut pas grand chose (ok, à part adopter une AU ce qui serait une bonne solution dans l'attente d'une exception légale, et il faudra voir sa position sur le sujet).

François S.

Bonjour et tout d'abord merci pour cet article.

J'avais en fait posé la question à la CNIL qui m'avait répondu que ce type de traitement était analogue à de la vidéosurveillance d'un lieu privé ... ce qui donne lieu à une déclaration et non une demande d'autorisation.

Par contre effectivement une @IP est considérée par la CNIL comme une donnée à caractère personnel.

Cdlt,

François.

Thiébaut Devergranne

Bonjour,

Merci pour votre message. J'ai également demandé à la CNIL à deux reprises sa position avant d'écrire cet article et la réponse a été catégorique : autorisation.

Il est donc d'autant plus nécessaire de prendre ses précautions si les interlocuteurs de la CNIL changent leur position alors.

krominet

il faut quand même retenir qur la CNIL est la seule autorité à considérer systématiquement l'adresse IP comme donnée à caractère personnel , à contrario de la cour de cassation et du conseil d'état qui considèrent tous deux que l'adresse IP n'est donnée personnelle que lorsque elle est utilisée " à des fins d'identification" ...

Thiébaut Devergranne

Oui, c'est vrai vous avez raison. Et l'IDS log justement les IP aux fins d'identification.

Arnaud

Je trouve votre article intéressant mais encore plus vos commentaires.

Je pense toutefois que l'autorisation n'est pas utile dans la mesure où les DLP n'ont pour but que la détection de fuites d'information par exemple.

Et quand bien même vous avez un écran indiquant qu'il y a une violation informatique, le but rechercher n'était pas forcément de la conserver.

Vous faites d'ailleurs référence aux articles 9 et à l'AU n°16, qui sont rédigés de telles manières que l'on comprend qu'il s'agit des pièces et preuves conservé dans la cadre d'un dossier ou l'interdiction de créer des fichiers du type casier judiciaire. Ainsi, on peut déduire de ces textes/délibarations, qu'il faut faire une différence entre la détection d'infraction et la conservation de données d'infraction dans le but de mettre en oeuvre des poursuites judiciaires.

Ainsi, la Cnil ne demande pas d'autorisation pour la vidéosurveillance alors que celle ci a pour finalité de détecter de potentielle infractions. En revanche si je conserve l'enregistrement plus d'un mois dans le but de constituer un dossier, dans ce cas j'entre dans les cas prévu dans l'AU 0016 par exemple.

Je ne crois pas qu'il faille essayer d'y voir quelque chose de caché dans ces textes, cette loi a surtout vocation à être pragmatique et si votre raisonnement à la définition d'un traitement de données et des transferts par exemple, on demanderait des autorisation de transferts pour les boîtes emails des salariés à chaque fois qu'ils envoient un email en dehors de l'UE...

Arnaud

Veuillez m'excuser pour l'orthographe mais il est tard ...

Je voulais écrire à la fin de mon message que si l'on appliquait votre raisonnement à la définition de traitement de données et de transferts de données par exemple, nous devrions demander une autorisation pour les emails envoyés par les salariés en dehors de l'UE...

Thiébaut Devergranne

Merci pour votre commentaire. A partir du moment ou l'IDS est là pour collecter des données relatives aux infractions alors vous allez avoir un problème. On peut toujours dire : nous n'utiliserons pas ces données, mais il n'en reste pas moins qu'elles sont collectées ce qui pose problème d'un point de vue légal, l'article 9 interdisant purement et simplement le traitement de “données à caractère personnel relatives aux infractions”.

J'ai discuté encore récemment avec la CNIL de ces problématiques ; nous sommes tous d'accord pour dire qu'il y a de bons arguments pour et de bons arguments contre. Maintenant, la question est de savoir comment vous gérer cette incertitude le temps que soit le législateur prenne les mesures nécessaires pour nous rassurer, soit que la CNIL prenne une AU pour régler définitivement le problème ?

Arnaud

Je suis d'accord avec vos arguments qui sont tout à fait valables voire irrégragables sur le plan théorique mais comme je le disais, la loi Informatique et libertés est rédigée de telle manière que si on l'applique à la lettre on peut arriver à des abérations et vous pouvez vous retrouver à faire la déclaration de la déclaration de l'autorisation du transferts et je crois qu'il faut savoir mettre des limites à cet engrenage qui peut être sans fin...

même si elle ne le dit pas publiquement, la Cnil essaie par les NS, les AU et ces différents guides, de faire appliquer la loi de manière assez pragmatique.

Ainsi je pense que la Cnil a pris position sur la question de la détection des infractions à travers la vidéosurveillance qui est une collecte de données relatives à des infractions et qui pourtant ne fait pas l'objet d'une autorisation alors que cette dernière a très récemment publié des guides.

Ainsi, même si elle considère que les IDS... sont des traitements d'infractions, elle devra alors aligner le régime avec la vidéosurveillance pour garder une cohérence. Si elle choisissait l'autorisation, ceci impliquerait également qu'elle définisse au moins indirectement la notion d' infraction pour justifier le recours à une autorisation unique sur ce sujet, chose qu'en général elle évite de faire ...

Par ailleurs, dans l'optique du règlement européen, la question des autorisations uniques ne devrait plus se poser (sauf erreur de ma part). Peut être que les traitements permettant des contrôles/surveillance feront partie des traitements devant faire l'objet d'une consultations de la Cnil, cela est tout à fait possible et irait alors dans votre sens.

Dans tous les cas, je tiens à vous remercier pour votre site qui est très intéressant et très pertinent, c'est très agréable et rare de lire des articles comme les vôtres sur ces sujets.

Thiébaut Devergranne

Merci pour votre mot sympathique ;-) Alors quelques remarques :

- tout à fait d'accord pour dire qu'il y a la théorie et la pratique. La loi de 78 n'est pas forcément correctement applicable dans tous les cas et en pratique personne n'est 100% conforme (sauf peut-être de toutes petites organisations et encore).

- pour la question des IDS oui cela pose clairement un problème ; il n'y a pas que la vidéosurveillance, il y a également les antispams qui sont problématiques. Mais a contrario la CNIL interdit aux société d'autoroute collecte la vitesse des usagers lorsqu'elle est traduit une infraction pénale justement sur ce fondement (interdiction de collecter des données relatives à des infractions pénales). Il faudrait mettre un peu de logique et de cohérence dans tout cela.

- je crois qu'en fait vous pointez la solution : le règlement européen devra nous apporter la solution puisqu'il ne se réfère pas aux "données relatives à des infractions pénales" mais aux "condamnations pénales" si mes souvenirs sont bons, ce qui clarifie la question. Enfin cela sera clarifié... en 2014 ou 2016... si tout vas bien !

flo

Pas besoin d'un ids pour être hors la loi dans ce cas, sans même parler de simple firewall tel qu'iptables sous un système linux (et probablement bsd) une authentification est logué dans /var/log/auth, ducoup si la connexion est réalisé via ssh par exemple, l'ip de la personne qui a obtenu un accès sur le système est logué.

Thiébaut Devergranne

La question qui va se poser est de savoir si vous avez les éléments matériels de l'infraction.

abortSecurit-E

Bonjour et merci de votre partage .Très bon article.

Michel Charron

Bonsoir,

Le sujet est "critique", au sens où les contradictions de la CNIL, pardon, de la loi, ou les deux (qui suit quoi?) mettent les entreprises dans l'illégalité quasi systématiquement.

Cependant, "loguer" n'est pas utiliser, et l'un des intervenants le souligne, toutes les applis ou fonctions d'un système donné (serveur "lamda", FW, IDS, sauvegarde, etc.), "fabriquent" des données POTENTIELLEMENT utilisables à fins juridiques! Ce qui impliquerait que tout traitement informatisé, générant un "log" doive faire l'objet d'une autorisation de la CNIL!

Ne faut-il pas orienter la CNIL vers la catégorisation de l'usage des logs, que quelque traitement qu'il vienne, au minimum à fins légales ou non?

Thiébaut Devergranne

Tous les logs ne vont pas forcément donner lieu à une autorisation de la CNIL, cela dépend de l'usage final qui en est fait. Toutefois, s'il est destiné à permettre d'assurer le suivi pénal d'une affaire et fournir des traces des éléments constitutifs d'une infraction pénale, alors là oui on tombe dans ce travers et cela constitue un risque juridique effectif.

Cela fait maintenant plus d'un an que j'ai sollicité l'avis de la CNIL sur ce point et il serait peut-être temps qu'elle y réponde...

Tsar

Bonjour,

Tout d'abord merci pour l'article et les différentes réponses que vous apportez aux commentaires.

Il semblerait qu'il n'y ai pour l'instant plus besoin d'autorisations auprès de la CNIL (le temps que celle-ci prenne sa décision), et qu'une simple déclaration au registre des traitements suffirait.

(source: http://www.cil.cnrs.fr/CIL/spip.php?article1967 )

Est-ce vrai ?

Avez-vous obtenu d'autres informations sur ce sujet depuis?

Thiébaut Devergranne

Bonjour,

Alors quelques nouvelles : j'ai envoyé à la CNIL il y a de cela +1 an une lettre leur demandant de se prononcer sur le sujet. Cela a suscité bcp de débats en interne. Ils sont arrivés à la même conclusion que moi en soulignant que l'autorisation devait être le cas SI l'outil de DLP par exemple était mis en oeuvre dans l'objectif de déposer plainte (ce qui est le cas 95% du temps dans les organisations).

A l'occasion je les relancerai pour qu'ils me répondent officiellement.

Merci en tout cas de votre mot très sympathique ;)

TD.

PouickPuick

Bonjour,

Pourriez-vous me dire ou trouver la figurine "snort" présent sur la photo qui illustre cet article ?

je vous remercie par avance

Thiébaut Devergranne

Ah, je l'ai eu dans un salon il me semble, mais elle n'est pas à vendre ;)

Jessica

Merci pour ce très bon article! Puisque je viens de m'intégrer dans le domaine, ça m'a permis d'en voir plus claire sur certaines démarches.

Michael

Bonjour, je dispose d'un SIEM, qui est un outil qui recueille et corrèle les logs afin de détecter des comportements "non conformes". Bien entendu il est déclaré en CNIL, mais votre article met en lumière ce nouvel aspect de recueil et conservation des preuves liées à des infractions pour cet outil, puisque c'est clairement un de ces objectifs. Si je comprends bien, en plus de la déclaration, je dois demander une autorisation pour cet outil. Comme dit au-dessus, il devient, sous ce nouveau jour, difficile d'être parfaitement conforme, puisque l'ensemble des outils de sécurité fonctionnent en partie dans l'objectif de recueil d'infractions ! Cela signifie qu'à chaque outil, une déclaration puis une demande d'autorisation seraient nécessaires... merci pour cet article


Les commentaires sont fermés
Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)