jeudi 28 mai 2015

Vers un renforcement de la réglementation en matière de protection des données personnelles aux Etats-Unis ?

Les Etats-Unis disposent de plusieurs lois sectorielles en matière de protection des données personnelles, mais pas de loi globale, équivalente à la directive européenne de 1995 ou à la loi informatique et libertés en France. Ce constat est valable tant au niveau fédéral qu’au niveau des états fédérés.

Ainsi, au fil des ans, le législateur fédéral a adopté plusieurs lois sur la protection des données personnelles telles que le Privacy Act (1974), concernant les traitements de données effectués par le gouvernement fédéral, et pour le secteur privé le Health Insurance Portability and Accountability Act (1996), le Children’s Online Privacy Protection Act (COPPA) (1998) et le Gramm-Leach Bliley Act (1999), visant respectivement la protection des données de santé, des mineurs et financières.

Par ailleurs, de nombreux états fédérés ont adopté, ou sont sur le point d’adopter, des lois imposant aux entreprises de notifier toute violation de données personnelles aux personnes concernées (consommateurs, internautes, abonnés), ou visant à assurer un niveau élevé de protection de la vie privée des élèves.

Face à la pression grandissante de la part de groupes de citoyens et consommateurs américains, notamment suite aux révélations d'Edward Snowden sur les pratiques mises en œuvre par la National Security Agency (NSA), mais également de la part de la Commission européenne, les uns et les autres exigeant un niveau global de protection de la vie privée plus élevé, le Congrès américain a récemment annoncé réfléchir sur une réforme de vaste ampleur visant à établir des normes fédérales en matière de protection de la vie privée. (1)

Nous donnons ci-après un aperçu des principales réglementations et des réformes législatives en cours au niveau des états fédérés, avant d'aborder les récentes initiatives de réglementation au niveau fédéral.


1. Des avancées significatives au niveau des états fédérés

Deux domaines ressortent principalement des législations des états fédérés : l'obligation de notification des violations de données personnelles et les règles relatives au respect de la vie privée des élèves.

    1.1  L’obligation de notification des violations de données personnelles

On entend généralement par violation de données personnelles toute violation de la sécurité (telle qu'une atteinte à un STAD) entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données.

Depuis le début de l’année 2015, plusieurs états, dont le Wyoming et l'état de Washington, ont introduit des projets de loi ou des amendements à des lois existantes relatifs à l'obligation de notifier les violations des données personnelles. Hormis les états du Wyoming et de Washington, il en va notamment des états du Montana, de l’Alabama et du Connecticut. Ces différents textes, qui doivent entrer en vigueur dans les prochains mois, listent pour la plupart les catégories de données personnelles concernées par l’obligation de notification, les destinataires des notifications, les informations à fournir et le délai dans lequel cette notification doit avoir lieu. (2)

Les informations personnelles concernées par cette obligation de notification sont notamment les données de nature médicale, les données biométriques, l’état civil, le régime matrimonial, les numéros de sécurité sociale, de permis de conduire, etc.

Les destinataires de ces notifications sont les personnes dont les données ont été compromises, mais également, selon les états, le Bureau de protection des consommateurs du Procureur général lorsque la violation concerne plus de cinq cents résidents, ou encore le Commissaire aux assurances si l’organisme concerné est une compagnie d’assurance.

Ces textes législatifs enjoignent aux entreprises qu’elles fournissent une information claire et compréhensible aux destinataires de la notification. Les mentions obligatoires à communiquer comprennent notamment : une description générale de la violation, la date approximative de l’incident, les actions prises pour prévenir les violations à venir et des conseils sur les bonnes pratiques à adopter par les citoyens pour éviter la violation de leurs données. Dès lors que la notification est faite auprès du Procureur général, celle-ci doit inclure une copie de la notification adressée aux personnes concernées, la date de cette notification ainsi qu’une indication du nombre de résidents de l’état affectés par la violation de données.

Enfin, certains textes mentionnent le délai maximal dans lequel la notification doit être envoyée. Ce délai varie entre 30 et 45 jours, à compter de la découverte de l’incident.

    1.2  La protection de la vie privée des élèves

Les lois sur la vie privée des élèves, de l’école maternelle au lycée, se multiplient. On compte aujourd’hui huit états ayant adopté des lois sur la protection de la vie privée des élèves, et plus d’une centaine de projets de lois sont envisagés par 42 états. A ce titre, sept états (Californie, Caroline du Nord, Colorado, Idaho, Kentucky, Louisiane, et l'état de New-York) ont adopté en 2014 de nouveaux textes (lois ou amendements à des lois existantes) relatifs à la vie privée des écoliers.

Ainsi, les états de l’Idaho et de New-York ont promulgué des lois interdisant aux entreprises d’utiliser les données personnelles des élèves à des fins marketing, publicitaire et commerciale. Le Kentucky a voté une loi proscrivant aux fournisseurs de services de Cloud computing le traitement des données personnelles des élèves à des fins commerciales. (3)

La Californie a adopté le "Student Online Personal Information Protection Act" (SOPIPA). Cette loi, qui doit entrer en vigueur le 1er janvier 2016, interdit aux opérateurs sur internet de vendre et d’utiliser les données des élèves pour réaliser de la publicité ciblée via des sites internet et des applications mobiles. La Californie prévoit également de modifier les dispositions concernant la vie privée dans son "Business and Professions Code". Cet amendement interdira de manière générale l’utilisation des données des étudiants à des fins autres que la finalité initiale, à savoir, les buts inhérents à l’éducation, de l’école maternelle au lycée ("K-12 school purposes").

Enfin, en Géorgie, le "Student Data Privacy, Accessibility and Transparency Act", adopté le 6 mai 2015, crée un droit d’accès, pour les parents d’élèves qui en font la demande, aux dossiers scolaires de leurs enfants et aux données personnelles qu’ils contiennent. En pratique, les parents d’élèves ont désormais la possibilité de consulter ces dossiers et de modifier et/ou de supprimer les informations personnelles concernant leurs enfants.


2. Les prémices d’une harmonisation législative au niveau fédéral


Lors d'une allocution le 12 janvier 2015, le Président Obama a déclaré vouloir travailler avec le Congrès à l'élaboration de nouvelles lois visant à mieux encadrer la protection de la vie privée des Américains. Suite à cette déclaration les premières propositions de lois ont été élaborées dans trois domaines en particulier : notification des violations de données personnelles, protection de la vie privée des consommateurs et protection de la vie privée des élèves.

    2.1  La notification des violations de données personnelles

Une première proposition de loi a pour objectif d’imposer aux entreprises de notifier à leurs clients, dans un délai maximal de 30 jours, toute faille de sécurité ayant un impact sur leurs données. (4) Ce texte ne concernerait que les entreprises stockant des données sensibles personnelles ou financières de plus de 10.000 clients. Ces entreprises devront notifier les cas de violations de données aux personnes concernées. Au sens de ce texte, les "données sensibles" désignent toute information ou tout groupe d’informations sous forme électronique et incluant une adresse postale, un numéro de sécurité sociale non tronqué, un numéro de permis de conduire, un mot de passe, des données biométriques, etc.

L'objectif de cette initiative est d’harmoniser la réglementation au niveau fédéral. En effet, on compte actuellement 47 lois réglementant la question de la violation des données personnelles aux Etats-Unis. Ainsi par exemple, en fonction de l’état dans lequel il réside, un citoyen américain peut être averti ou non en cas de piratage de ses données.

    2.2  Le renforcement de la protection de la vie privée des consommateurs

La seconde proposition de loi fédérale concerne les droits des consommateurs. (5) Cette proposition devrait permettre aux consommateurs américains de connaître l’étendue du traitement de leurs données envisagé par le professionnel (conditions de collecte, d’utilisation, de partage, et de revente éventuelles des données).

Le projet de texte propose de fournir un corpus unique de normes fédérales remplaçant le patchwork des lois existantes. Il étendrait la protection actuellement offerte par les états et proposerait l'adhésion au programme "Safe Harbor" aux entreprises adoptant un code de conduite approuvé par la Federal Trade Commission (FTC) et conforme au texte de loi.

Pour rappel, le Safe Harbor désigne un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines (US Department of Commerce) et la Commission européenne en 2000, sur la base de la directive européenne de 1995 sur la protection des données personnelles. Le système du Safe Harbor fonctionne sur le volontariat et est déclaratif pour les entreprises souhaitant y adhérer. Les principes du Safe Harbor permettent d’assurer un niveau de protection suffisant pour les transferts de données en provenance de l’Union européenne vers des entreprises établies aux Etats-Unis ayant adhéré au programme. (6)

    2.3  Le souci de garantir la protection des données personnelles des élèves

Enfin, la troisième série de textes fédéraux est spécifiquement consacrée aux élèves. Les législateurs réfléchissent au rôle des technologies dans le milieu scolaire. En effet la multiplication des données et de leurs modes de communication (notamment via les outils de collaboration entre élèves ou les outils multimédias) impose de définir des règles de sécurité et de protection de la vie privée. (7)

La première proposition vise à créer de nouvelles obligations liées à la collecte et au traitement des données des élèves. Ce texte interdirait notamment aux entreprises proposant des logiciels éducatifs de revendre les données qu'elles collectent auprès des élèves, ou d'utiliser ces données pour des publicités ciblées.

Le second texte, un amendement au Family Educational Rights and Privacy Act (FERPA - 1974), a pour objectif de créer un droit d’accès pour les parents d’élèves aux dossiers scolaires de leurs enfants. Les parents pourront ainsi consulter et corriger ou supprimer les données personnelles de leurs enfants, détenues par les écoles.


    Ces initiatives diverses, tant au niveau des états fédérés qu’au niveau fédéral, traduisent la volonté des Etats-Unis de pallier les lacunes de la réglementation en vigueur en matière de protection des données personnelles. Toutefois, ces propositions de lois et amendements se heurtent à une forte opposition de la part d'une partie des membres du Congrès. En outre, on constate que l'approche américaine reste orientée sur des textes spécifiques et/ou sectoriels et que les Etats-Unis ne se dirigent pas vers une grande loi fédérale de protection des données personnelles.

Par ailleurs, depuis l’affaire Snowden (ou "Prism"), le programme Safe Harbor est remis en cause notamment par les institutions européennes. Ainsi, en novembre 2013, la Commission européenne a publié 13 recommandations visant à rétablir la confiance dans les transferts de données entre l’Union européenne et les Etats-Unis. Face à l’inertie des Etats-Unis, le Parlement européen a émis, en mars 2014, une résolution réclamant la suspension immédiate du programme Safe Harbor. (8) Si le programme Safe Harbor devait réellement être dénoncé, cela aurait un impact significatif sur le commerce transatlantique, obligeant à revenir à un système d'autorisation préalable à l'exportation de données personnelles depuis l'Europe vers les Etats-Unis. L'impact serait particulièrement sensible pour les entreprises américaines exploitant des services en cloud computing vers l'Europe ou pour les services de réseaux sociaux.


                                                             * * * * * * * * * * * *

Betty SFEZ – Avocat
en collaboration avec Inès NUNGUET

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2015


(1) L'une des questions posées cependant est de déterminer si les questions relatives à la réglementation de la protection de la vie privée relèvent du pouvoir fédéral ou du domaine législatif des états fédérés, ce qui explique en partie pourquoi les Etats-Unis ne disposent pas encore de loi "globale" sur le sujet.

 (2) Voir notamment : Wyoming: Enrolled Act no. 20 and 22, Senate – 63rd legislature of the state of Wyoming 2015 General Session ; Washington : Senate Bill 5047 State of Washington 64th Legislature, Prefiled 01/07/15. Act relating to enhancing the protection of consumer financial information.

(3) Voir notamment : Idaho : Idaho Code §33-133, Title 33 Education; Chapter 1 State Board of Education - 33-133, added 2014, ch. 281, sec. 3, p. 711 ; Kentucky : Ky. Rev. Stat. §365.734, Prohibited uses of personally identifiable student information by cloud computing service provider -- Administrative regulations - Created 2014 Ky. Acts ch. 84, sec. 2, effective July 15, 2014.

(4) Voir notamment : Bill of April 30, 2015 ("Consumer Privacy Protection Act of 2015"), introduced by Senator Patrick Leahy, introducing new data breach legislation.

(5) Consumer Privacy Bill of Rights Act of 2015.

(6) Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ; Le programme Safe Harbor est décrit sur le site du US Department of Commerce à http://1.usa.gov/1FcPV3T

(7) Voir : Family Educational Rights and Privacy Act (FERPA) et Student Digital Privacy and Parental Act of 2015 (Bill of April 29, 2015).

(8) Communiqué intitulé "La Commission européenne appelle les États-Unis à rétablir la confiance dans les transferts de données entre l’UE et les Etats-Unis", du 27 novembre 2013 ; Résolution du Parlement européen du 12 mars 2014 sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d'affaires intérieures.


via DELEPORTE WENTZ AVOCAT http://bit.ly/1GGMF6p

La lettre recommandée électronique en droit des assurances

Interviewé par Juliette Paoli pour Solutions-logiciels, Polyanna Bigle fait le point sur un nouveau cas d’usage de la lettre recommandée électronique en droit des assurances (1). Un nouveau décret adopté le 29 décembre 2014 vient d’inscrire dans le Code des assurances un nouveau cas d’usage de la lettre recommandée électronique (1). Il vise uniquement un usage […]

via Lexing Alain Bensoussan http://bit.ly/1eA4A3M

"Automatic Web App Security Testing with OWASP ZAP" http://bit.ly/1eA4pFE #security #appsec #appsecfr #owasp #lk #zapproxy


from Twitter https://twitter.com/SPoint

May 28, 2015 at 06:03PM
via IFTTT

Mass Scanning a Website for File Inclusion Vulnerabilities using Fimap and Metasploitable

Fimap by Iman Karim (http://bit.ly/1HymECc) is a great tool to scan a website for File Inclusion vulnerabilities. In this short tutorial I show how to scan the entire Metasploitable2 Purposefully Vulnerable VM with Fimap and spawn a remote shell! Mass Scanning Fimap can scan a target website and harvest links from it and store them […]

via CYBER ARMS - Computer Security http://bit.ly/1PQfOlm

The LaZagne Project dumps 22 Different Program Passwords

The LaZagne Project by Alessandro ZANNI is a nifty little utility that displays passwords for 22 Windows and 12 Linux programs. This is a nice tool for penetration testers when you want to quickly dump passwords after you gain access to a system. For Windows, simply download the standalone version and run it. Running “laZagne.exe all” […]

via CYBER ARMS - Computer Security http://bit.ly/1HymGdo

dimanche 24 mai 2015

Filtrage des flux HTTPS : Droit ou obligation ?

Interviewé par Juliette Paoli pour Solutions-logiciels, Polyanna Bigle et Eric Barbry ont fait le point sur le filtrage ou non des flux HTTPS à la suite des dernières recommandations de l’Anssi publiées en octobre 2014 (1). Le protocole HTTPS correspond à la déclinaison sécurisée de HTTP encapsulé à l’aide d’un protocole de niveau inférieur nommé […]

via Lexing Alain Bensoussan http://bit.ly/1FJfwpD

WhiteHat Website Security Statistics Report: From Detection to Correction

While web security used to be a reactionary afterthought, it has evolved to become a necessity for organizations that wish to conduct online business safely. Companies have switched from playing defense to playing offense in a game that is still difficult to win. In an effort to change the game, WhiteHat Security has been publishing […]

via WhiteHat Security Blog http://bit.ly/1PFWxDc

MozDef: The Mozilla Defense Platform v1.9

At Mozilla we’ve been using The Mozilla Defense Platform (lovingly referred to as MozDef) for almost two years now and we are happy to release v1.9. If you are unfamiliar, MozDef is a Security Information and Event Management (SIEM) overlay … Continue reading

via Mozilla Security Blog http://mzl.la/1Q44xIX

samedi 16 mai 2015

PaPiRus – 300% funded on Kickstarter the first e-ink display for Raspberry Pi



via Open Electronics http://bit.ly/1L901YL

Bien commenter son return

/**
 * Indique si un point est dans le cercle donné
 * @param centre du cercle
 * @param position du palet
 * @return vrai si oui sinon faux
 */
public boolean estDansCercle(Point centre, Point position) {
        if(centre.distance(position) <= Radar.RAYON_PALET) {
                return true;
        }

        return false;
}
Envoyé par Wescoeur.

via Code De Porc http://bit.ly/1cFZ7Hc

Random de porc

if(!isset($random_value)){
            $random_value = rand(1,100);
}

if($random_value < 0 || $random_value > 100){
    $random_value = rand(1,100);
}
Envoyé par Tikaï.

via Code De Porc http://bit.ly/1HjDIOG

"Random de porc" http://bit.ly/1PMDguu #humor #feedly ->ça c est du random !! #fail #coding #lk


from Twitter https://twitter.com/SPoint

May 16, 2015 at 01:31PM
via IFTTT

lundi 4 mai 2015

Deprecating Non-Secure HTTP

Today we are announcing our intent to phase out non-secure HTTP. There’s pretty broad agreement that HTTPS is the way forward for the web.  In recent months, there have been statements from IETF, IAB (even the other IAB), W3C, and … Continue reading

via Mozilla Security Blog http://mzl.la/1K8EA98

vendredi 1 mai 2015

How to interview prospective employers

These days, security people have a lot of opportunity. Between a recovering economy, ongoing high profile security issues, budgets and executive attention - more than ever before security people have options. You spend a lot of time at work, more than almost anything else, so it pays to be choosy on how you spend your time. Here some thoughts on how to identify where and how you may be challenged and rewarded. First off, do not just look at the...

via 1 Raindrop http://bit.ly/1dzY4tf
//Activation syntaxhilight