Le TGI de Creteil a rendu le 23 avril dernier une décision intéressante qui illustre les conséquences du défaut de sécurité d’un système d’information.

J’ai été reçu ce matin par les services du Premier Ministre (SGAE) pour donner mon sentiment sur les orientations actuelles du futur projet de règlement européen et aider la France à définir sa position dans cette querelle juridique.

I was speaking at a conference recently about data privacy and the new regulation Europe is about to bring ! Here are my slides :

La Cour de cassation vient de rendre un arrêt intéressant, posant la question de l’appréciation de la valeur juridique d’un objet illicite (arrêt du 25 juin 2013).

La loi va bientôt changer. Les montants d’amende pour non respect du régime en matière de protection des données personnelles vont être faramineux : 2% du chiffre d’affaire global pour les groupes ; pour une société comme Microsoft en 2008, cela représente un potentiel 1,2 milliard de dollars d’amende…

Indiscutablement, le droit à l’oubli est au cœur des passions des hommes et des femmes dont des moments de vie sont exposés au détriment de leur intimité.

On n’en finit plus avec la sécurité informatique. On a à peine commencé à se préparer à gérer la future obligation de notification des violations de la sécurité des données personnelles, que déjà la réglementation prévoit l’extension de cette obligation. Le déluge vient de Bruxelles avec un nouveau projet de Directive qui vise spécifiquement à renforcer la sécurité des systèmes d’information. L’idée générale du texte est de renforcer le niveau de sécurité informatique au sein des Etats membres. Juste cause, et belle ambition (1) ! Reste qu’en pratique l’utilité du texte laisse à désirer (2) et celui-ci prévoit des dispositions inquiétantes d’imprécision comme cette future obligation de se faire faire un audit de sécurité par l’Autorité Nationale de Sécurité des Systèmes d’Information, qui s’imposera à la manière du contrôle fiscal (3).

J’étais à Miami ces dernières semaines et j’en ai profité pour faire une courte vidéo pour expliquer rapidement les points essentiels du nouveau projet de règlement européen qui va bouleverser toute l’économie de la protection des données personnelles en Europe dans les années à venir :

J’intervenais la semaine dernière à l’ISSA dans le cadre d’une conférence internationale sur les aspects juridiques de la fraude informatique interne. Cela m’a inspiré quelques réflexions en particulier sur une série de jurisprudences qui sont toutes relatives aux mêmes cas : lorsque l’employeur oublie de désactiver les codes d’accès de salariés qui quittent l’entreprise, ou qui se font licencier :