Projet de loi RGPD : les sénateurs adoptent l’obligation de chiffrement « dès que possible »

Projet de loi RGPD : les sénateurs adoptent l’obligation de chiffrement « dès que possible »

Et Belloubet s'est loupée

Avatar de l'auteur
Marc Rees

Publié dans

Droit

21/03/2018 3 minutes
23

Projet de loi RGPD : les sénateurs adoptent l’obligation de chiffrement « dès que possible »

Dans le cadre de l’examen en séance du projet de loi adaptant notre législation au RGPD, les sénateurs ont plaidé hier soir pour intégrer dans la loi CNIL une obligation de chiffrement « dès que possible ». Le gouvernement s’y est opposé, en vain.

Hier soir, les sénateurs ont adopté un amendement visant à contraindre les responsables de traitement de données personnelles à les chiffrer « chaque fois que cela est possible ».

Selon le sénateur François Bonhomme (LR), l’idée est de rendre explicite « l'obligation de chiffrer de bout en bout chaque fois que cela est possible ». Un tel chiffrement, a ajouté Esther Benbassa (EELV), « est la seule technique pour lutter efficacement contre les intrusions ».

L’exécutif oppose l’article 32 du RGPD

Nicole Belloubet, garde des Sceaux, s’y est opposée : « L'obligation paraît excessive. L'article 32 du règlement prévoit que le responsable de traitement et le sous-traitant utilisent des mesures appropriées, dont la pseudonymisation ou le chiffrement des données à caractère personnel. C'est au responsable du traitement, sous le regard de la CNIL, de définir lesquelles le sont ».

Selon l’article 32 du RGPD (notre analyse du texte), les responsables de traitements et leurs éventuels sous-traitants ont l’obligation de « garantir un niveau de sécurité adapté au risque ». Le texte suggère la pseudonymisation ou le chiffrement des données à caractère personnel, et l’adoption de « moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».

Malgré l’opposition du gouvernement, l’amendement a été adopté, avec avis favorable de la rapporteure Sophie Joissains (UC). Pour survivre dans la future loi adaptant notre législation au RGPD, la disposition devra passer le cap de la commission mixte paritaire, chargée d’arbitrer entre la version du projet déjà voté par les députés et celle des sénateurs.

Le chiffrement devant le Conseil constitutionnel

Hasard du calendrier, le Conseil constitutionnel doit rendre le 30 mars une décision importante. L’enjeu ? Savoir si un individu peut refuser de fournir sa clé de déchiffrement aux autorités sans encourir de sanction.

Selon l’article 434-15-2 du Code pénal, celui qui a connaissance d’une telle clé et qui refuse de la transmettre aux autorités judiciaires encourt jusqu’à trois ans d’emprisonnement et 270 000 euros d’amende, dans le cadre d’un crime ou d’un délit.

L’échelle des peines grimpe à cinq ans d'emprisonnement et 450 000 euros d'amende si ce refus est opposé alors que « la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission » de ces infractions.

Devant la Cour de cassation, un certain Malik X a soulevé une QPC considérant que ce régime vient à rebours de son droit au silence et de celui de ne pas s’auto-incriminer. Les juges de la juridiction civile ont estimé qu’en effet, il « pourrait porter atteinte au droit de ne pas faire de déclaration et à celui de ne pas contribuer à sa propre incrimination qui résultent des articles 9 et 16 de la Déclaration des droits de l’homme et du citoyen du 26 août 1789 ».

La CEDH comme la Cour de cassation ont consacré le droit de se taire et de ne pas s’incriminer. Le 30 juillet 2010, le Conseil constitutionnel avait inscrit le droit au silence au plus haut de la hiérarchie des normes, mais sans viser la disposition du Code pénal précitée.

23

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L’exécutif oppose l’article 32 du RGPD

Le chiffrement devant le Conseil constitutionnel

Commentaires (23)


Pas sur que ça ait un intérêt pour tout le monde d’imposer le chiffrement mais c’est dans le sens de l’histoire. A voir maintenant si ça va aller jusqu’au bout…


“Encrypt like it’s 1984”


L’obligation de chiffrement c’est le plus sûr moyen d’avoir des copies de clé partout. :-)



On a déjà vu ce que donne l’obligation des mots-de-passe: des post-it, feuilles, fichiers txt avec les mots de passes dedans. <img data-src=" />


vive KeePass. <img data-src=" />








127.0.0.1 a écrit :



L’obligation de chiffrement c’est le plus sûr moyen d’avoir des copies de clé partout. :-)



On a déjà vu ce que donne l’obligation des mots-de-passe: des post-it, feuilles, fichiers txt avec les mots de passes dedans. <img data-src=" />







Ouais mais ça, c’est pas un argument valable… Tu peux pas dire “refusons les cadenas car certaines personnes vont oublier leur clé sur leur bureau”, ça n’a aucun sens…



Attention, la prochaine loi imposera un algorithme de chiffrement à base d’ActiveX comme SEED en Corée du Sud.


Dommage que le CC ne se prononce que dans 9 jours ! S’il y a obligation de chiffrement, et obligation de remettre les clés, ça ne sentira pas bon…








Jarodd a écrit :



Dommage que le CC ne se prononce que dans 9 jours ! S’il y a obligation de chiffrement, et obligation de remettre les clés, ça ne sentira pas bon…





C’est comme une interdiction de chiffrement quoi. <img data-src=" />









KP2 a écrit :



Ouais mais ça, c’est pas un argument valable… Tu peux pas dire “refusons les cadenas car certaines personnes vont oublier leur clé sur leur bureau”, ça n’a aucun sens…







Il ne s’agit pas de mettre zéro chiffrement mais le problème c’est d’en mettre partout. C’est ce qui arrivera si c’est une obligation légale, car les entreprises préféreront tout chiffrer tout le temps plutot que de prendre le risque d’être hors la loi une seule fois.



Et a partir du moment où il y a du chiffrement partout, il y aura du déchiffrement partout (car il faut bien exploiter les données).



Tu peux faire le test chez toi: tu mets des cadenas à toutes les portes (chambre, cusine, salle de bain, WC, …). Tu verras vite que tu créeras des duplicatas des clés afin que toute la maisonnée puisse vivre normalement.



mouais.

pas totalement convaincu par cet amendement qui à mon sens est mal rédigé.




  • Concernant les échanges: l’obligation de chiffrement “chaque fois que c’est possible” est bienvenue, et effectivement adaptée. Pour ce qui est du bout en bout, m’étonnerait que ça soit “possible” souvent, mais ce n’est pas le rôle de la loi de définir les normes techniques pratiquées à un instant T.

  • Concernant les données perso stockées à froid: OK aussi

  • Concernant les données perso stockées à chaud: autant les SI sont maintenant adaptés au chiffrement des mots de passe, autant s’il faut chiffrer toutes les données personnelles je vois pas vraiment comment ça peut être appliqué aujourd’hui sans une refonte complète de la plupart des SI (donc “pas possible”?).



    Sinon sur l’objet de l’amendement (et pas l’amendement en lui-même, heureusement):

  • Il décrit une “obligation” de chiffrement de bout en bout, ce qui à l’évidence ne peut concerner que les échanges.

  • Il explique que cette disposition limite les risques d’intrusion, ce qui est faux: ça limite les risques d’exploitation des données.



    edit: ça va dans le bon sens, c’est le principal, mais je pense que faire peser sur le responsable de la protection des données une obligation de protection “efficace” (et donc lui laisser la liberté de la solution appliquée) aurait été plus judicieux. j’aurais gardé la version RGPD moi. ^^








127.0.0.1 a écrit :



Tu peux faire le test chez toi: tu mets des cadenas à toutes les portes (chambre, cusine, salle de bain, WC, …). Tu verras vite que tu créeras des duplicatas des clés afin que toute la maisonnée puisse vivre normalement.







Ouais mais c’est du même tonneau… tu peux pas non plus dire “refusons le chiffrement car certains chiffrerons mal”. Ça n’a aucun sens non plus.

Évidemment qu’un certain nombre de gens/sociétés feront n’importe quoi. On a pas attendu la démocratisation du chiffrement pour ça… ceux qui font n’importe quoi font déjà n’importe aujourd’hui (y’a qu’à voir le nombre de base d’utilisateurs avec les pass en clair - foi d’admin système) donc ça ne changera fondamentalement pas les choses pour eux.

Par contre, ça poussera nécessairement la majorité vers le chiffrement et les bonnes pratiques du chiffrement. Et même si certains se foirent, c’est pas grave, c’est mieux que rien et ils apprendront petit à petit.




Bien que favorable à la protection des données personnelles, je suis dubitatif sur le fait d’ajouter deux mois avant l’échéance des exigences techniques dont l’impact sur les systèmes est important. Ils croient vraiment que parce qu’un amendement a été voté, tout va magiquement se mettre en conformité?

J’ai des fois l’impression que le législateur ne se préoccupe pas trop de savoir si ce qu’il vote est réalisable…


Ajoutons une source de chaleur permanente en chiffant / déchiffrant tout.

Après tout, qu’est ce qu’on risque ? <img data-src=" />


Ça va être rigolo ça quand il va falloir aller négocier les budgets avec la direction <img data-src=" />








hellmut a écrit :



Sinon sur l’objet de l’amendement (et pas l’amendement en lui-même, heureusement):




  • Il décrit une “obligation” de chiffrement de bout en bout, ce qui à l’évidence ne peut concerner que les échanges.

  • Il explique que cette disposition limite les risques d’intrusion, ce qui est faux: ça limite les risques d’exploitation des données.





    Et cela n’empêche pas la société possédant les clés d’exploiter la donnée.&nbsp; Il aurait été préférable d’insister sur l’aspect pré intrusion où comment l’empêcher plutôt que sur l’aspect post intrusion en imposant une solution de type chiffrement dont l’implémentation technique est très loin d’être anodine.

    Peut-être avaient-ils en tête la polémique Facebook mais dans ce cas, les applications tierces auraient eu accès aux données déchiffrées.

    &nbsp;









Estebam a écrit :



Et cela n’empêche pas la société possédant les clés d’exploiter la donnée.





souvent les sociétés ont ces données pour une bonne raison, et les exploitent…





Il aurait été préférable d’insister sur l’aspect pré intrusion où comment l’empêcher plutôt que sur l’aspect post intrusion en imposant une solution de type chiffrement dont l’implémentation technique est très loin d’être anodine.



c’est absolument pas à la loi de définir des solutions pour empêcher des intrusions.

Concernant le débat pré/post intrusion ça n’a pas d’objet: niveau sécu il faut tout prendre en compte.





Peut-être avaient-ils en tête la polémique Facebook mais dans ce cas, les applications tierces auraient eu accès aux données déchiffrées.



à priori cet amendement était préparé depuis longtemps par LQDN



concernant le délai de mise en conformité, il me semble que c’est le décret d’application qui s’en occupe.


bien pour ça que je trouve cet amendement mal écrit.

pour reprendre la métaphore de la maison, à quoi ça sert de mettre un cadenas sur les chiottes? à part faire chier tout le monde (haha lol)?

trop de sécu tue la sécu (je rejoins 127.0.0.1 sur ce point), et entraine un effet inverse: des cadenas avec les clés dessus.

alors que si seules les pièces sensibles sont sécurisées, ça fonctionne.


Chiffrer les bases de données, c’est se protéger de celui qui va perquisitionner tes disques. Le pirate va plutôt s’introduire à distance, utilisant une faille de l’application, celle-là même qui accéde aux données, ayant en elle le moyen de les déchiffrer, parce que c’est son travail de les manipuler.




avec avis favorable de la rapporteure rapporteuse Sophie Joissains…





Parlons français svp. <img data-src=" />



Cela étant dit, c’est une très bonne nouvelle, voire maintenant si le GVT ne va pas mettre son véto, la tentative de limiter (ou d’interdire) le chiffrement est à la mode en Macronie.


Mais c’est tellement évident le chiffrement… On se demande comment cela n’était pas prévu de base jusque là (Merci Marc pour tes news sur le RGPD et merci à David pour son tuto sur GPG qui complète idéalement cette actualité) et j’adore :

&nbsp;

“Et Belloubet s’est loupée”

&nbsp;

<img data-src=" />








psn00ps a écrit :



Ajoutons une source de chaleur permanente en chiffant / déchiffrant tout.

Après tout, qu’est ce qu’on risque ? <img data-src=" />







Le chiffrement ne consomme pratiquement rien en puissance CPU aujourd’hui… le mauvais software, si.



Pt’ain ça fait partie de mon métier ça… y’a bon ça, on va pouvoir enfin avoir un point d’apui juridique pour mettre enfin en place le minimum vital dans les PME (les TPE c’est trop compliqué et trop coûteux souvent pour elles, ça il faut vraiment les accompagner au cas par cas). Cette fois si on sera peut entendu par les directions.



C’est pas tip top moumoute non plus l’amendement mais bon, comme dit ici, c’est le sens de l’histoire. Essayons de le mettre en branle intelligemment.