lundi 18 novembre 2019    || Inscription
BanniereNews
 
 

Afin de mieux comprendre la polémique autour de l’affaire «Snowden», le Cercle de la sécurité des systèmes d'information a invité un avocat spécialiste du droit informatique et notamment, du droit américain : Etienne Drouard. Ce dernier en a profité pour recontextualiser le débat.

Étienne Drouart est avocat à la Cour d’Appel de Paris, spécialisé en droit de l’informatique et des réseaux de communication électronique. Il est associé du cabinet K&L. Entre 1996 et 1999, il a été membre de la CNIL (Commission nationale de l’informatique et des libertés). Auparavant, il a travaillé pendant sept ans dans le département « IP/IT » d’un des plus grands cabinets d’avocats français. Il a été nommé en 1999 en tant qu’expert par la Commission européenne dans le cadre des négociations sur les principes du « Safe Harbor », avec le Département américain au Commerce.

Le Cercle de la sécurité des systèmes d’information, qui organise des conférences réunissant des professionnels de la sécurité informatique, a invité jeudi dernier Etienne Drouart, à débattre aux côté de Thierry Auger, DSI adjoint et RSSI du groupe Lagardère. Pour commencer la conférence intitulée « Quand vos données peuvent vous échapper… en toute légalité », Nicolas Arpagian, journaliste et animateur du débat, demande aux deux intervenants s’ils ont été surpris des révélations autour du dossier Prism. Thierry Auger répond que non : « Cela fait plus de 15 ans qu'on voit des cas concrets nous démontrant qu'à partir du moment où nous sommes amenés à manipuler du patrimoine de ces pays-là, nous sommes forcément pistés : déplacement d'équipes, surveillance de flux en amont… Les révélations de Prism montrent juste, comme le dit si bien Philippe Courtot [PDG de Qualys, ndlr], qu’on passe seulement d’un "état potentiel à un état avéré". En même temps, cela fait un peu de bien car ces révélations permettent de légitimer les démarches des RSSI. » L’avocat Etienne Drouart, quant à lui, se dit plutôt surpris de l’ampleur médiatique de ce "scandale": « Prism, c’est juste un tableau de bord qui indique la cartographie et les volumes : une sorte de synthèse Excel de ce qu’il y a derrière. »

C'est l'administration qui trie les données

L’un des points révélés par Edward Snowden est une ordonnance rendue par un juge fédéral américain, montrant comment est formulée une demande à un acteur privé de délivrer ses métadonnées : « Ces demandes sont encadrées, par le temps, par exemple : elles ne peuvent pas dépasser trois mois mais sont renouvelables. En 2012, il y a eu 22847 demandes, qu’on peut diviser par quatre, si on part du principe qu’elles sont renouvelées tous les trois mois, en général. Aux Etats-Unis, c’est à l’entreprise de fournir ses données : ce n’est pas l’administration qui se sert elle-même. »

Le spécialiste du droit informatique explique encore que « le filtre de l’information n’est pas réalisé par l’entreprise privée mais par l’administration ». Et ce, pour deux raisons. Tout d’abord, pour éviter que l’entreprise ne soit pas prestataire de la sécurité nationale. Ensuite, car cela représenterait un coût pour l’acteur privé. L’entreprise donne alors toutes ses données et l’administration les « trie ». Elle passe ensuite de la surveillance électronique à la surveillance physique.

Retour aux sources

L’avocat rappelle que les lois sur lesquelles sont basées les principes de surveillance, aux Etats-Unis, et leurs exceptions, sont à remettre dans leur contexte historique : « Le FISA (Foreign Intelligence Surveillance Act), la loi de 1978 décrivant les procédures des surveillances physiques et électroniques, est une conséquence du scandale du Watergate. L’idée, pour rassurer la population, était de dire : "on va surveiller tout le monde sauf les Américains." C’est une loi sur la surveillance "des autres" ». Puis en 2001, avec la montée du terrorisme, le Patriot Act est créé :  « c’est la petite sœur de la loi FISA », conclut Etienne Drouart.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI

TRUSTECH

Cet événement international dédié aux paiements, à l'identification et à la sécurité est organisé à Cannes (palais des festivals) du 26 au 28 novembre 2019. Organisé par Comexposium.

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

RSS