Actualité

 

Spy lover - L’espionnage sur Internet

Publié le 23-02-2004 à 00:00:00 dans le thème Lois - Justice

Pays : Europe - Auteur : Damien Bancal


Pub : Tous les logiciels firewall gratuits disponibles sur Internet


Note des lecteurs: 2.8/5

Spy lover - L’espionnage sur Internet


Par Me Cahen

> Introduction

La pratique du sniff, qui consiste à intercepter les données circulant sur un réseau par un responsable de celui-ci, se heurte a différente législations destinées à protéger les données concernées. Celles-ci concernent à la fois la protection de la vie privée (I) et la protection des données à caractère personnel (II).

>> Protection des correspondances

Destinées à protéger tous les deux la vie privée, on observe une dissociation des régimes juridiques sur le sujet avec l’apparition d’une législation spécifique relative au secret des correspondances (A) qui vient compléter la législation générale relative à la vie privée (B).

A/ Le secret des correspondances
Les correspondances émises par la voie des télécommunications sont protégées par la loi du 10 juillet 1991, avant cette date, ce sont les dispositions relatives à la vie privée (notamment l’article 9 du Code Civil) qui fondaient leur régime de protection. Aujourd’hui le code Pénal prévoit dans son article 226-15 des sanctions aux atteintes au secret des correspondances.

L’article 226-15 dans son alinéa deux prévoit explicitement le cas des télécommunications en disposant " Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions. ".

Ces dispositions instaurent un régime strict de secret relatif à ces correspondances émises par la voie des télécommunications.

La peine prévue par l’article 226-15 alinéa premier concernant toute atteinte au secret des correspondances est " d'un an d'emprisonnement et de 45000 euros d'amende. ", on peut donc voir que les peines sont très lourdes.

En application de ces dispositions le principe est donc simple : il est interdit d’intercepter les correspondances. Ceci concerne donc sur un réseau d’école tous les mails qui circulent sur le réseau de l’école.

Le fait de prévoir de telles surveillances dans le règlement intérieur de l’école ne change rien au problème, la seule possibilité serait la divulgation par la personne de son courrier, mais ceci ne peut pas lui être imposé.

B/ La vie privée
La notion de vie privée prévue par l’article 9 du Code Civil est une notion a géométrie variable. En effet, elle n’est pas définie strictement pas les textes, il appartient donc au juge de définir au cas par cas son contenu. La jurisprudence estime qu’est illicite toute immixtion arbitraire dans la vie privée d’autrui et que le fait de se faire épier, surveiller et suivre est une immixtion illicite.

Concernant l’interception de données sur le réseau d’une entreprise on peut légitimement penser que l’interception des différentes communications telles que les chats par exemple sont clairement protégés par la vie privée, ensuite pour le reste l’interception du surf des internautes peut être, en fonction des circonstances, être rattaché ou non à la vie privée.

Le régime juridique permet comme pour le secret des correspondances de s’opposer à l’interception et à l’utilisation des éléments de la vie privée, l’article 9 du Code Civil autorise ainsi le juge à prendre toutes les mesures nécessaires pour faire cesser l’atteinte à la vie privée.

Le régime de la protection de la vie privée va permettre de combler les lacunes relatives au secret des correspondances qui ne protège qu’une partie des données circulant sur le réseau, la vie privée étant une notion plus large, elle permettra d’élargir le champ d’application et de protection de la loi.

Par conséquent l’école ne pourra pas sur son réseau intercepter les informations qui touchent à la vie privée.

Civ. 1re, 6 mars 1996
Civ. 1re , 25 janvier 2000
Loi n°78-17 du 6 janvier 1975 relative à l'informatique, aux fichiers et aux libertés
Notamment : Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et Directive 97/66/CE du 15 décembre 1997 relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des télécommunications.

>>> Protection des données personnelles

La notion de données à caractère personnel est une notion communautaire qui correspond à celle d’information nominative en droit interne. Elle recouvre toutes les informations concernant une personne identifiée ou identifiable.

On peut donc y placer des éléments très divers tels que l’adresse IP, le login et le mot de passe utilisateur, qui permettent en pratique d’identifier l’utilisateur de l’ordinateur.

Ces différentes données sont donc soumises à la loi informatique et libertés en droit interne et aux diverses directives communautaires sur le sujet.

La législation sur les données à caractère personnel n’empêche pas la collecte et l’utilisation de ces données, contrairement à la législation sur la vie privée et le secret des correspondances. L’objectif de ces textes est d’encadrer les traitements de ces données.

Si une entreprise par ses interceptions de données, capte et/ou utilise des données à caractère personnel ce qui est évident, car elle devra identifier les auteurs ou destinataires des données qu’elle intercepte, alors elle devra suivre les règles relatives à ces données qui se traduisent par deux aspects : les obligations de l’école (A) et les droits des personnes dont les données sont interceptées (B).

A/ Les obligations de l’entreprise interceptant les données

  • Le principe de déclaration ou d’autorisation préalable : Tout traitement de données à caractère personnel, doit faire l’objet d’une déclaration préalable dans le cadre d’une entreprise de droit privé et d’autorisation préalable pour les établissements publics auprès de la commission nationale informatique et libertés. Cette déclaration ou autorisation doit préciser les caractéristiques du traitement notamment son contenu et sa finalité.

  • Les données doivent être traitées loyalement et licitement : La notion de licéité ne fait pas de problème, c'est un simple renvoi aux textes. La loyauté renvoi à un examen au cas par cas du contexte et du comportement. Elle traduit le principe selon lequel il ne faut pas tromper les personnes concernées. En l’espèce l’école doit donc intercepter les données sans le cacher et ne pas non plus tenter de masquer l’utilisation réelle qui est faite des données collectées.

  • Les données doivent être traitées pour des finalités déterminées, explicites et légitimes : La violation du principe de finalité est sanctionnée par la responsabilité de droit commun qui se traduira par une demande de dommage intérêts, mais en plus il peut y avoir un recoupement avec l'article 226-21 du code pénal qui sanctionne le détournement de finalité.

  • Les données doivent être adéquates, non excessives et pertinentes au regard de la finalité

  • Les données doivent être exactes et si nécessaires mises à jour

  • Les informations ne doivent être conservées que le temps nécessaire à la réalisation de la finalité

  • Obligation d'information : Cette obligation a pour but d'établir une certaine transparence. Le responsable du traitement doit donner des informations aux personnes concernées. Ces informations doivent permettre à la personne concernée de connaître l'existence du traitement et donc de mettre en oeuvre tous leurs autres droits.

B/ Les droits des personnes dont les données sont interceptées

Le salarié doit avoir la capacité de contrôler ce qui est fait des informations qui sont interceptées et qui le concerne, ainsi que de contrôler leur qualité. Mais il s’agit d’un droit qui implique une attitude active de sa part.

  • Le droit de s'informer : Le salarié peut demander à son patron si elle traite des données à caractère personnel à son sujet. Si l’entreprise refuse de répondre à la demande, elle s'expose à une contravention de 5ème catégorie.

  • Le droit d'accès à l'information : Toute personne a le droit d'accéder à toutes les données personnelles le concernant, et faisant l'objet d'un traitement. C’est le droit principal du salarié concernée par l’interception. Il va donc pouvoir consulter auprès de l’entreprise, l’ensemble des données qu’elle detient à son sujet. Il n’y a pas de conditions particulières à cette demande, le salarié peut donc choisir la forme de sa demande.

  • Le droit de contestation et d'obtenir rectification des données personnelles le concernant

  • Le droit de s'opposer au traitement de données à caractère personnel : Toute personne physique a le droit de s'opposer pour des raisons légitimes à ce que des données nominatives le concernant fassent l'objet d'un traitement. Avant comme pendant, à tout moment, même si l'on a accepté avant. La loi n'impose pas une information pour dire qu'il existe un droit d'opposition. Le non respect de ce droit est puni par 5 ans d'emprisonnement et 300.000 euros d'amende.
Article 27 de la loi de 1978 et articles 10 et 11 de la directive de 1995.
Article 34 de la loi de 1978 et article 12 de la directive de 1995
décret du 23 décembre 1981, en cas de violation de certaines dispositions de la loi de 1978 (articles 226-16 à 226-24 du Code Pénal)
Article 35 de la loi de 1978 et article 12 de la directive.
Article 36 de la loi de 1978 et article 12 de la directive
Article 26 de la loi de 1978 et article 14 de la directive.
Article 226-18 du Code Pénal

>>>> Conclusion

On voit donc à travers ce panorama des réglementations s’appliquant dans le cadre de l’interception des données par une école sur son réseau, que au-delà des données qui sont parfaitement interdites de conserver les autres données obéissent à un régime très contraignant. Par conséquent l’intérêt d’une telle interception est bien faible par rapport aux risques pris. La quasi-totalité des violations des textes vu précédemment sont sanctionnées par des peines pénales de prison ou d’amende, mais parallèlement à ces peines, les victimes de ces violations pourront réclamer à l’école des dommages intérêts pour d’éventuels préjudices subis.

Sniffer, kesako ?

 

Conseiller cet article Réagir RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

Un Anonymous Français déclare la guerre aux hébergeurs

25-05-2012 à 13:05 - 1 commentaire(s)

Info zataz - Des dizaines d'hébergeurs sous le contrôle d'un Anonymous Français. Il déclare la guerre aux serveurs privés Dofus.

Votre compte Facebook a-t-il été infiltré ?

24-05-2012 à 12:09 - 0 commentaire(s)

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Fuite de données pour iPhone

22-05-2012 à 00:43 - 0 commentaire(s)

Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.

Téléphone portable ZTE piégé

22-05-2012 à 00:38 - 0 commentaire(s)

Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.

Le Bureau de Justice US piraté

22-05-2012 à 00:31 - 0 commentaire(s)

Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.

Anonymous contre pédophiles

22-05-2012 à 00:09 - 0 commentaire(s)

Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.

Vulnérabilité sur les site de FHM, ELLE et Forbes

20-05-2012 à 20:38 - 0 commentaire(s)

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Anonymous menacent le gouvernement québécois

20-05-2012 à 20:28 - 0 commentaire(s)

Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.

Sur le même thème : Lois - Justice

Class action de 15 milliards contre Facebook

Facebook rentre en bourse, des internautes lancent une Class Action de 15 milliards de dollars contre Facebook.

Entreprise : Dossier Mes documents n´a rien de personnel

La cour de cassation a estimé jeudi que le dossier Mes Documents n'avait rien de privé aux yeux de votre employeur.

La vie dangereuse de salariés Français sur Internet

Transfert de données confidentielles par email et dénigrer son boss par courriel, punis par la loi.

Un étudiant falsifie ses notes, 6 mois de prison

Un ancien étudiant français de Paris II condamné à 6 mois de prison avec sursis pour avoir falsifié ses notes durant 3 ans.

Inquiétude autour d´un nouveau projet de loi Français

Le projet de loi pénalisant la consultation de sites terroristes entériné en Conseil des ministres. L´espionnage de masse, en France, bientôt voté ?

Une erreur sur le site de VSD fait condamner le boss d'OVH

Le responsable de l´hébergeur OVH condamné à cause d’une erreur dans les mentions légales du site du magazine VSD.

Pirates Vs Députés

Trois jeunes internautes arrêtés pour le piratage du site d´un député Français.

Le boss de MegaUpload va-t-il récupérer ses millions de dollars ?

La police aurait saisie illégalement la maison et les millions de dollars au créateur de MegaUpload.

Vos réactions ( 1 )

 Ecrit par Guest le 12.10.2007 à 09h43 

#

Invités


Inscrit le 27-05-2012

Bonjour,
Pouvez-vous m'indiquer la marche à suivre pour déclarer un espionnage dont je connais la provenance ?
Merci

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

 


vpngratuit.fr - VPN Gratuit.

Crèez un site gratuitement.



Nuit du Hack 23/24 juin 2012.



ZATAZ.COm, site recommandé par ORANGE.       ZATAZ.COM trois fois récompensé par Microsoft


Application iPhone et iPad ZATAZ, gratuite et sans publicité.
Application iPhone et iPad ZATAZ, gratuite et sans publicité.



Labs ZATAZ

CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Safari 5.1 pour Mac [...]

Modules Metasploit Auxiliaires MySQL

Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et de récupérer des [...]

Modules Metasploit Auxiliaires PostgreSQL

Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et lire des [...]

CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le  19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazquez Joshua Abraham sinn3r Référence(s) [...]

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA