PRISM, un nouveau regard sur le droit de la SSI ?

 

Article publié le 3 octobre 2013 par François Coupez

 

La publication des révélations d'Edward Snowden, réalisée par plusieurs journaux autour de la planète et alternant scoops et révélations plus prévisibles, n'en finit pas de mettre à jour les pratiques de la National Security Agency.

 

Mais peut-on vraiment parler de surprise ?

 

Il y a quelques années, l'ancienne page de recrutement du site web de l'organisme énonçait déjà la réalité sans fard "Notre mission constante implique de surveiller, recueillir et décoder des communications étrangères (signaux) de partout dans le monde".

 

Il est vrai que la NSA est dotée des moyens de cette mission, avec un budget annuel de 10,8 milliards de dollars, en étant le premier employeur de mathématiciens au monde et en bénéficiant de législations d'exception lui garantissant un accès même indirect à l'ensemble des données stockées sur son territoire ou par les entreprises de son pays (cf. "Patriot Cloud" ou l'application du droit US au Cloud computing).

 

Dès lors, qu'elle use de ces moyens pour accéder aux flux financiers des banques (cf. les offensives de TAO contre Swift) ou de toute entreprise de taille ou de nature à l'intéresser n'est pas étonnant, le cantonnement à l'espionnage des entités gouvernementales d'autres Nations ou d'organismes internationaux (G20, ONU, etc.) étant illusoire.

 

Là n'est pas l'important.

 

Car, outre cette découverte de "l'eau chaude" selon Alain Bouillé, président du CESIN, "cela risque de faire bouger les consciences en matière d’externalisation et quand un dirigeant d’entreprise décidera d’externaliser tout ou partie de son SI dans un cloud américain, il ne pourra plus dire "je ne savais pas"."

 

Espérons ainsi que les entreprises n'externalisent les données sensibles qu'en gardant PRISM et consorts à l'oeil, en utilisant abondamment les recommandations de la CNIL ou de l'ACPR (cf. la position de l'ACPR sur le Cloud computing) et que personne ne soit sacrifié sur l'autel de la prestation à bas coût acceptée pour cette seule raison sans réelle conscience des implications techniques, juridiques, voire économiques.

 

Espérons également que les règles d'usage du BYOD bénéficient également de ces enseignements, à la manière des préconisations très claires de l'ANSSI concernant l'usage des smartphones par les membres du Gouvernement (rappelées récemment - et strictement - par le Premier ministre).

 

En réalité, si des initiatives telles que PRISM ne sont en rien une nouveauté, elles ne font qu'expliquer et soutenir les initiatives juridiques récentes, notamment au niveau de l'Union Europénne, visant à obliger les entreprises à sécuriser toujours plus fortement leurs Systèmes d'Information et à appliquer une notification des "security breach" et/ou des "data breach" (cf. les textes spécifiques concernant les Services de paiement, les opérateurs d'importance vitale vus dans une acception large, les prestataires de services de certification, celle traitant des données à caractère personnel, etc.).

 

En cela, les révélations sur PRISM donnent une vision du chemin à parcourir en matière de SSI, chemin désormais pavé de bonnes intentions réglementaires (directive "cybercrime", directive SRI, etc.) et où les considérations techniques prennent la place qui leur revient de droit.

 

Mais abondance ne veut pas dire cohérence et transversalité ne signifie pas facilité d'application, chaque entreprise risquant de se voir confrontée à des notifications de tous ordres, suivant le type de données, d'incidents, d'activités, de personnes concernées, ou encore de régulateurs désignés comme compétents.

 

Le suivi attentif et l'interprétation éclairée de ces textes vont s'avérer cruciaux pour tenter d'y voir clair dans ce futur lacis réglementaire. A nous tous (juristes, chefs d'entreprises, CISO, etc.) de l'accompagner pour éviter une croissance chaotique et, au contraire, en tirer le meilleur !

 

 

Crédit photo : © alphaspirit - Fotolia.com

 

Blog ATIPIC

La Newsletter ATIPIC

Pour la recevoir gratuitement,cliquez ici.

 

Evènements et conférences

ATIPIC Avocat dans les médias

Tweets de ATIPIC Avocat @ATIPIC_Avocat

Nous contacter

Merci d'utiliser notre formulaire de contact ou de nous joindre aux coordonnées suivantes :

ATIPIC Avocat
01 80 48 11 25
31 Boulevard Malesherbes
75008 Paris
Téléphone : 01 80 48 11 25 01 80 48 11 25
Fax : 01 80 48 11 26
Adresse email :

Mentions légales

Prenez connaissance de nos mentions légales et des crédits photographiques

Version imprimable Version imprimable | Plan du site
Tous droits réservés - SELARL ATIPIC Avocat - 2014-2016

Appel

Email

Plan d'accès