En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Développeur Delphi pour de la maintenance
    < 10 000 €
    > En savoir plus
  • Styliste/Modéliste pour la création de modèles de vêtements streetwear
    < 1 200 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de prêt-à-porter féminin
    < 3 000 €
    > En savoir plus
GlobalK_Azure _leaderboard

Filtrage des flux HTTPS : droit ou obligation ?

Global Knowledge_Docker_pavé

L’Anssi a publié en octobre 2014 une recommandation déterminante pour tous ceux qui s’interrogent sur le droit de filtrer ou non les flux HTTPS. Le point avec Polyanna Bigle et Eric Barbry, avocats au Cabinet Alain Bensoussan. http://www.alain-bensoussan.com

Cette recommandation de l’Anssi, hautement technique, comporte une annexe juridique sur la question souvent cruciale dans les entreprises : cette pratique est-elle légale ou non ?

Une annexe juridique traite en effet du délicat problème de l’analyse des flux entrants et sortants depuis les postes de travail fixes et nomades des employés d’entreprise ou organismes publics.

« Le protocole HTTPS correspond à la déclinaison sécurisée de HTTP encapsulé à l’aide d’un protocole de niveau inférieur nommé TLS – anciennement SSL. Ce protocole est conçu pour protéger en confidentialité et en intégrité des communications de bout en bout (entre un client et un serveur). Il apporte également des fonctions d’authentification du serveur mais aussi optionnellement du client. » Le filtrage de flux HTTPS correspond à une opération de déchiffrement, c’est-à-dire la mise en « clair » des flux chiffrés et par la même confidentiels. www.ssi.gouv.fr

Cette pratique n’est pas sans risque et doit être faite avec discernement, dans le respect des dispositions légales et réglementaires.

Singulièrement, le droit des données à caractère personnel et le droit au respect de la vie privée constituent le fil rouge de cette recommandation.

L’Anssi légitime le filtrage des flux HTTPS au regard de la responsabilité particulière qui pèse sur l’employeur (au titre de l’article 1384 du Code civil), la nécessaire protection de ses intérêts, ou encore l’obligation de lutter contre le téléchargement illicite d’objets couverts par des propriétés intellectuelles.

Nombreuses étaient les entreprises qui pratiquaient un tel filtrage, mais qui faute de cadre juridique précis, ne rendaient pas cette pratique officielle.

Les outils de cybersurveillance déployés sans respecter les règles essentielles de consultation et d’information des employés leur sont inopposables.

Telle est la jurisprudence de la Cour de Cassation. Ainsi, pour d’autres, ce type de filtrage n’a pas été déployé faute de règles intérieures l’autorisant expressément.

 

Les recommandations

Tout en légitimant ce type d’outils, l’Anssi rappelle quelques règles de principe simples :

– Proportionnalité : tout n’est pas filtrable. Une analyse d’opportunité préalable est donc nécessaire

– Transparence vis-à-vis des employés. Une modification de la charte des systèmes d’information s’impose donc

– Protéger la vie privée résiduelle des employés par des mécanismes juridiques mais surtout techniques

– Responsabiliser les administrateurs des systèmes d’information pour l’utilisation de ce type d’outils. Une charte des administrateurs est indispensable

– Respecter la loi informatique et libertés sur les données à caractères personnels. Les démarches préalables auprès de la Cnil doivent ainsi être anticipées avec une cartographie des outils de filtrage

En conclusion, il s’agit maintenant de s’interroger sur les dangers de ne pas déployer correctement une solution de filtrage …

Auteur : Juliette Paoli

Filtrage des flux HTTPS : droit ou obligation ?
Notez cet article

Laisser un commentaire

Gestion des Identités et des Accès : conférence 7 décembre

Journée de conférence et d’échanges sur les nouvelles tendances IAM/IAG/DAG. Un florilège de sessions enrichissantes, animées par les plus grands experts Témoignage Client d’un très large déploiement IAM La Gestion des Identités et des Accès dans le Cloud etc - Hotel Peninsula, Paris.

Info et inscription

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Piratage d'Uber : les procureurs de New York et du Connecticut ouvrent une enquête

    Les procureurs de l'Etat de New York, Eric Schneiderman, et du Connecticut, George Jepsena ont…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Cybermenace : "L’hameçonnage franchit un cap avec le détournement d'email", Alexandre Delcayre, Palo Alto

    Alexandre Delcayre, directeur Systems Engineering Europe du Sud, Russie, Israël, et l'Unit42, l'unité de recherches…

    > En savoir plus...
Etudes/Enquêtes
  • L'emploi cadre porté par le dynamisme des entreprises pariant sur le digital

    Selon la 16e édition du Baromètre Européen de l’Emploi de Robert Walters, l’année 2017 est…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

banniere_FIC2018_skycrapper
Agenda
livres blancs
Les Livres
Blancs
Global Knowledge_Docker_Skycraper