L’exemple de la cyberattaque Wannacry illustre parfaitement la nécessité de l’actualisation et la sécurisation juridique des systèmes informatiques des startups.

CONTEXTE DE LA CYBERATTAQUE WANNACRY

Entre le 12 et le 13 mai 2017, des dizaines de milliers d’ordinateurs ont été infectés dans une centaine de pays, touchant des organisations et des entreprises, dont Renault par une cyberattaque simultanée à l’aide d’un logiciel de rançon.

Les experts en sécurité ont pointé l’exploitation d’une faiblesse dans les systèmes Windows utilisés par une majorité d’utilisateurs (organisations et entreprises).

(c) Cabinet Levrel

• L’ANSSI[1] l’Agence Nationale de la Sécurité des Systèmes D’information ;
• CERT-FR Centre Gouvernemental de veille, d’alerte et de réponse aux attaques informatique ;
• La BEFTI[2] Brigade D’enquêtes sur les Fraudes aux Technologies de L’Information ;
• L’OCLCTIC l’Office Central de Lutte Contre la Criminalité liée aux Technologies de L’information et de la Communication ;
• Europol le Bureau de la police européenne.

Le CERT-FR qui participe à la mission d’autorité nationale de défense des systèmes d’information de l’ANSSI, a constaté l’apparition d’un nouveau rançongiciel « Wannacryp », aussi désigné sous les noms de : Wannacry, Wcry, Wanna crypt, Wana cryptor, ou Wana decript0r. Ce rançongiciel exploite la vulnérabilité d’un ordinateur ou d’un réseau informatique[3].

Le mode opératoire : Le programme malveillant qui pourrait être diffusé par courriel exploite des vulnérabilités pour se propager. Ces dernières sont celles décrites dans le bulletin de sécurité MS17-010

QU’EST-CE QU’UN RANÇONGICIEL OU RANSOMWARE ?

Un rançongiciel ou ransomware comme Wannacry est un logiciel malveillant qui provoque le chiffrement des fichiers d’ordinateurs (et des fichiers accessibles en écriture sur les dossiers partagés si votre ordinateur est connecté à un réseau informatique) jusqu’au versement d’une rançon, généralement en bitcoins, pour rendre les données à nouveau lisibles ou accessibles certaines fonctionnalités de l’ordinateur. Les autorités recommandent de façon claire de ne pas payer les pirates informatiques parce que cela ne garantit pas que l’accès aux donnés sera restauré.

(c) Cabinet Levrel

SCHEMA DE PROPAGATION DE WANNACRY

Le virus se diffuse par le biais de documents attachés ou de liens renvoyant prétendument vers des sites connus. Ce sont en fait des répliques contenues dans des courriels en apparence envoyés par des individus auxquels l’utilisateur est connecté.

Le programme malveillant serait constitué :

• D’un composant chargé de la propagation via le réseau qui utiliserait une vulnérabilité du service de partage de fichier ;
• D’un rançongiciel/ ransomware.

Pour éviter d’être infecté, il faut appliquer les mêmes règles de précaution contre le phishing (hameçonnage des données personnelles). Dans le doute il faut alors vérifier les adresses URL utilisées sur le site ad hoc, chercher ou demander à l’expéditeur du courriel s’il est bien à l’origine de l’envoi.

La version connue de Wannacry ne vise que les ordinateurs fonctionnant sous Window. Des rançongiciel visant les ordinateurs fonctionnant sous Mac ont cependant fait leur apparition ces dernières années. Des précautions doivent être prises en matière de mises à jour, de sauvegardes régulières et de vigilance à l’égard de la provenance des emails.

EPILOGUE DE LA CYBERATTAQUE

Un jeune britannique de 22 ans connu sous le pseudo « @malwaretechblog » a mis un coup d’arrêt au logiciel en exploitant sa « dépendance au nom de domaine ». Il a découvert qu’un simple achat de nom de domaine, pouvait endiguer la propagation du ransomware.

Le logiciel était conçu de façon à se connecter automatiquement à ce nom de domaine. Si ce dernier de répond pas alors l’opération peut se dérouler comme prévue : il bloque la machine, chiffre les données et exige une rançon. En revanche, s’il répond, alors le logiciel devient inactif. C’est ce qui s’est passé quand le nom de domaine a été enregistré.

• Recommandations de sécurité du CERT-FR

• Appliquer immédiatement les mises à jour de sécurité permettant de corriger les failles exploitées et arrêter la propagation du virus ;
• Limiter l’exploitation du service de partage de fichiers sur internet ;
• De manière préventive, s’il n’est pas possible de mettre à jour le serveur, il est recommandé de l’isoler, voir de l’éteindre le temps d’appliquer les mesures nécessaires ;
• En complément, le CERT-FR recommande la mise à jour des bases de signature d’antivirus.
• Il ne faut surtout pas céder aux hackers/pirates

Certains auteurs de rançongiciels font monter les enchères à mesure que le temps passe. Les spécialistes en sécurité informatique font remarquer que rien ne garantit que l’accès aux données piégées sera rétabli après versement de la rançon exigée.

• Les risques financiers sont réels :

Les cyberattaques ont notamment touché le service public de la santé britannique (NHS), bloquant les ordinateurs de nombreux hôpitaux du pays. Téléfonica en Espagne, Renault en France. L’Australie, la Belgique, l’Allemagne, l’Italie et le Mexique ont également été touchés.

Renault a reconnu samedi 12 mai avoir été touchée par la cyberattaque. Des sites de production du constructeur français ont aussi été mis à l’arrêt notamment à l’usine de Sandouville, en Seine Maritime. Outre les sites en France, l’ANSSI a déclaré qu’une filiale de Renault en Slovénie a été touchée sans victime répertoriée en France.

Le virus a fait plus de 200 000 victimes dans 150 pays dont la France selon Europol[4].

Le Parquet de Paris a ouvert une enquête pour « accès et maintien frauduleux dans des systèmes automatisés de données », « entrave au fonctionnement de ces systèmes », « extorsions et tentatives d’extorsions ».

Bien avant les conséquences d’une cyberattaque, des moyens juridiques existent pour les prévenir.

DROIT PENAL ET SECURITE DES SYSTEMES INFORMATIQUES

Les CTO[5] et les spécialistes du droit de l’informatique ont vocation à travailler ensemble pour l’amélioration et le renforcement des systèmes informatiques.

Pourquoi ? Parce qu’un avocat spécialisé en droit des Nouvelles Technologies de l’Information et de la Communication connait l’arsenal juridique encadrant l’atteinte aux systèmes informatiques et peut de façon générale accompagner les CTO dans la mise en place d’un audit et d’une cartographie des risques afin d’évaluer la sécurité des systèmes informatiques de l’entreprise ou de la Start up et ainsi identifier les risques pouvant affecter le système informatique et collaborer à la mise en place d’un plan d’action.

Comment ?

Avant le risque de cyberattaque :

• Audit des systèmes informatiques : en réalisant un état des lieux des risques liés à l’insécurité informatique, en évaluant les risques et en élaborant un programme de mise en conformité personnalisé, adapté aux secteurs d’activité d’une entreprise ou d’une Start up.

• Cartographie des risques :la réalisation d’une cartographie des risques applicative présentant une vision synthétique, fonctionnelle du système informatique de l’entreprise ou de la startup ainsi que les informations relatives à la fonction de chaque application, et les interfaces et contrôles qui leurs sont associés.

• Plan d’action : Le conseil juridique assistera l’entreprise ou la Start up dans la gestion de crise en cas de failles de sécurité affectant les traitements de données à caractère personnel en évaluant la criticité du sinistre, en élaborant une stratégie de défense, en mettant en œuvre des mesures conservatoires et précontentieuses.

• D’autres éléments sont à prendre en compte dans l’amélioration de la sécurité informatique. Notamment, l’utilisation d’une signature électronique certifiée pour authentifier de façon sécurisée les documents et la mise en place d’une architecture de confiance qui permettrait, la reconnaissance de la validité des actes et contrats électroniques, les évolutions des obligations déclaratives des entreprises ainsi que le développement de la facturation électronique : courrier sécurisé, télétransmis

• Gestion des régulateurs : Le conseil juridique vous accompagnera dans le cadre de contrôles CNIL et de toute autre procédure contentieuse devant les juridictions (prudhommales, commerciales, civiles et pénales).

• Information : Le conseil juridique interviendra également pour sensibiliser le management et les fonctions opérationnelles aux risques liés aux données personnelles afin d’accélérer l’adoption des bonnes pratiques.

Après le risque de cyberattaque :

 La sécurité du patrimoine informatique est digne d’être protégée dans la mesure où les atteintes aux systèmes informatiques font l’objet de sanctions par le droit pénal, avec des incriminations spécifiques. Dans sa vocation dissuasive et répressive, il constitue un instrument essentiel de lutte contre la fraude informatique.

Quelles sont les incriminations prévues, par le droit pénal liées à l’informatique ? A quelles conditions celles-ci peuvent-elles être retenues et quelles sanctions sont susceptibles d’être encourues ?

Il existe dans le code pénal des incriminations spécifiques contre les atteintes aux systèmes de traitement automatiques de données[6] c’est-à-dire le système informatique.

(c) Cabinet Levrel

Le Cabinet Levrel accompagne les startups sur l’ensemble des problématiques stratégiques relatives à la protection, notamment contre le risque de la cybercriminalité et à la valorisation de leur patrimoine informationnel.

Pour en savoir plus, contacter le Cabinet Levrel.

[1] Actualité ANSSI : Alerte campagne de rançongiciel _ Mis à jour 14/05/17

[2] Brigade d’enquête sur les fraudes aux Technologies de l‘Information

[3] Bulletin d’alerte du CERT –FR n°CERTFR-2017-ALE-010

[4] Actualité Europol : Wannacry ransomware : recent cyber-attack, 13 May 2017

[5] Chief Technology Officier

[6] Article 323-1 à article 323-8 du code pénal

The post Ransomware Wannacry : chronique d’une cyberattaque appeared first on Aurélie Levrel - Avocat à Paris.

La gestion des cookies peut être un véritable casse-tête tant la législation sur les données personnelles est importante. Le développement des services de l’information se caractérise par l’introduction de nouveaux services de communication électronique qui offrent de grandes capacités et de vastes possibilités pour le traitement des données à caractère personnel, notamment en dehors des frontières européennes. Le succès du développement de ces services dépend en partie de la confiance qu’auront les utilisateurs que ces services ne porteront pas atteinte à leur vie privée. Force est de constater, que le développement des services de l’information pose avec une plus grande acuité la question du traçage des personnes qui y ont recours.Lorsqu’ils naviguent sur le web ou utilisent des applications mobiles, les utilisateurs sont de plus en plus suivis par différents acteurs. Ce traçage est réalisé par l’intermédiaire de différentes technologies, dont la plus répandue est aujourd’hui celle des « cookies ».

Depuis octobre 2014 le gendarme des droits et libertés sur internet, la CNIL contrôle de façon assidue le respect par les entreprises de la règlementation relative aux cookies : ses audits portent généralement sur la nature des cookies déposés, les modalités d’information du public, la visibilité et la qualité de l’information fournie.

Dans ce contexte, un panorama en 10 leçons vous permettra de vous assurer de la conformité de vos pratiques avec la législation en vigueur.

Définitions :

Cookie : témoin de connexion défini par le protocole de communication http comme étant une suite d’informations envoyée par un serveur HTTP à un client HTTP, que ce dernier retourne lors de chaque interrogation du même serveur HTTP sous certaines conditions ;

La donnée personnelle définie par l’alinéa 2 de l’article 2 de la loi de 1978[1] comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne » ;

Le responsable de traitement : La personne physique ou morale, l’autorité publique, le service ou un organisme qui, seul ou conjointement, détermine les finalités et les moyens du traitement ;

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

La gestion de la conformité des cookies à la règlementation CNIL pose notamment les questions pratiques suivantes : Quand faut-il ajouter un bandeau sur son site Web ? Dans quels cas faut-il obtenir un consentement… et quel consentement ? Jusqu’à quel niveau de détails faut-il décrire les marqueurs utilisés ?

Voyons ensemble, les 10 points qui vous permettront d’y recourir conforment à la législation.

1. Comprendre ce qu’est un cookie

Le cookie est l’équivalent d’un fichier texte de petite taille, stocké sur le terminal de l’internaute. Existant depuis 1990 il permet au développeur du site web qui les a déposés, d’identifier et de stocker des informations relatives à la navigation de l’utilisateur sur le web (mots clés utilisés, sites visités, pages visitées et actions réalisées sur ces sites, temps passé, géolocalisation, langue utilisée, etc…) et de conserver des données utilisateurs afin de faciliter la navigation et de permettre certaines fonctionnalités.

Les cookies ont fait l’objet de controverses dans la mesure où ces derniers contiennent des informations personnelles résiduelles pouvant potentiellement être exploités des tiers.

La législation s’applique aux cookies déposés et lus, notamment lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile, quel que soit le système d’exploitation, le navigateur ou le terminal utilisés (par exemple un ordinateur, une tablette, un ordiphone ou smartphone, une télévision connectée, une console de jeux vidéo connectée au réseau internet)[2].

2. Identifier la finalité du dépôt d’un cookie

Cookie de session ou temporaire : cookie éponyme effacé automatiquement dès que l’utilisateur ferme son navigateur ;

Cookie persistant ou traceur : cookie qui reste stocké dans l’équipement terminal de l’utilisateur jusqu’à une date prédéfinie variant de quelque minute à plusieurs années. Ils permettent de tracer la navigation de l’utilisateur sur plusieurs sites différents (au-delà du site initialement visité et qui a donné lieu au dépôt du cookie) ;

Cookie de personnalisation : cookie utilisé pour mémoriser l’information sur l’utilisateur d’un site, dans le but de lui montrer un contenu approprié lors de sa prochaine navigation sur le site. Par exemple, un serveur peut envoyer un cookie contenant le dernier nom d’utilisateur utilisé pour connecter à ce site web, afin que ce nom d’utilisateur puisse être pré-rempli lors des prochaines visites ;

Cookie de pistage : cookie utilisé pour suivre les habitudes de navigation des utilisateurs d’internet. Le pistage peut être fait également en utilisant l’adresse IP de l’ordinateur faisant une requête d’une page ou à l’aide de l’enquête http « référant » que le client envoie à chaque requête, mais les cookies permettent une plus grande précision.

Ex 1 (sans cookie) : si l’utilisateur fait appel à une page d’un site, et que la requête ne contient pas de cookie, le serveur présume que c’est la première page visitée par l’utilisateur. Le serveur crée alors une chaine aléatoire et l’envoie au navigateur en même temps que la page demandée.

Ex 2 (avec cookie) : A partir de ce moment, le cookie sera automatiquement envoyé par le navigateur à chaque fois qu’une nouvelle page du site sera appelée. Le serveur enverra la page comme d’habitude, mais enregistrera aussi l’URL de la page appelée, la date, l’heure de la requête et le cookie dans un fichier de journalisation.

En regardant le fichier de journalisation, il est alors possible de voir quelles pages l’utilisateur a visité et dans quel ordre. Le pistage est généralement utilisé pour des raisons statistiques. Il convient de respecter la réglementation à cause des possibles intrusions dans la vie privée.

Dans la mesure où l’utilisation des cookies peut entrainer une intrusion dans la vie privée des internautes, leur utilisation doit être encadrée. Plusieurs types de cookies nécessitent une information précise et un consentement préalable de l’internaute :

-Les cookies liés aux opérations relatives à la publicité ciblée ;

-Les cookies de mesure d’audience ;

-Les cookies traceurs de réseaux sociaux générés par les « boutons de partage de réseaux sociaux » ; notamment lorsqu’ils collectent des données personnelles sans consentement des personnes concernées [3].

Les cookies analysent la navigation, les déplacements et les habitudes de consultation ou de consommation, afin notamment de proposer des publicités ciblées ou des services personnalisés.

3. Identifier l’auteur du dépôt de cookies

Les cookies sont généralement produits et déposés notamment par les acteurs suivants :

-Les éditeurs de sites, de système d’exploitation, et d’applications ;

-Les régies publicitaires ;

-Les réseaux sociaux ;

-Les éditeurs de solutions de mesure d’audience.

4. Rappel du principe de la confidentialité des données à caractère personnel

Les données relatives au trafic, générées par les communications effectuées au moyen de service de communication électronique sont confidentielles. Il est, par principe, interdit à toute autre personne que l’utilisateur d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic, ou de les soumettre à tout autre moyen d‘interception ou de surveillance, sans le consentement des utilisateurs concernées, sauf lorsque la personne y est légalement autorisée [4].

L’équipement terminal de l’utilisateur d’un réseau de communication électronique ainsi que toute information stockée sur cet équipement relève de la vie privée de l’utilisateur particulier, qui doit être protégé conformément aux dispositions de l’article 8 de la Convention Européenne des Droit de l’Homme. Or les logiciels espions, les pixels invisibles (web bug), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin d’accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisé qu’à des fins légitimes, et portée à la connaissance de l’utilisateur concerné sans ambiguïté.

C’est notamment le cas pour les utilisateurs salariés, qui dans le cadre de l’exercice de leur activité professionnelle, sont amenés à utiliser les outils de communication électronique mis à leur disposition par leur employeur dans l’exercice de leurs fonctions. Ainsi, l’employeur pourra surveiller, dans le cadre de son pouvoir disciplinaire, les communications électroniques du salarié sur le réseau de communication électronique de la société ainsi que le contenu des équipements électroniques (terminal, smartphone), sous réserve d’en informer préalablement ses salariés, par la signature d’une charte informatique et/ou la remise d’un exemplaire du règlement intérieur. Une jurisprudence de la CEDH de janvier 2016 confirme ce point, en déclarant que le fait pour un employeur de surveiller les communications électroniques de son salarié n’est pas constitutif d’une violation du droit à la vie privée du salarié :«la Cour estime qu’il n’est pas déraisonnable pour un employeur de vouloir vérifier que ses employés accomplissent leurs tâches professionnelles pendant leurs heures de travail.» [5].

Cependant les dispositifs de ce type, par exemple les témoins de connexion (cookies), peuvent constituer un outil utile pour évaluer l’efficacité de la conception d’un site et de la publicité faite pour ce site, ainsi que pour contrôler l’identité des utilisateurs effectuant des transactions en ligne. Lorsque des dispositifs du type précité, tels que des témoins de connexion, sont destinés à des fins légitimes, par exemple faciliter la fourniture de service de la société de l’information, leur utilisation devraient être autorisée à condition que les utilisateurs se voient donner des informations claires et précises.

5. Recueillir le consentement des utilisateurs

Le consentement peut être donné selon toute modalité appropriée permettant à l’utilisateur d’indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu’il visite un site internet[6].

6. Obligation d’information des utilisateurs incombant au responsable de traitement

Les obligations incombant aux responsables de traitement sont les suivantes :

-préciser l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

-préciser la finalité poursuivie par le traitement auquel les données sont destinées ;

-préciser le caractère obligatoire ou facultatif des réponses ;

-préciser les conséquences éventuelles, à son égard, d’un défaut de réponse ;

-préciser les destinataires ou catégories de destinataires des données ;

-préciser les droits qu’elle tient des dispositions de la section 2 du chapitre V de la loi dont celui de définir  des directives relatives au sort de ses données à caractères  personnel après sa mort,

-préciser le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de l’Union européenne[7]

7. Moment et durée

Le consentement au dépôt des cookies a une durée de treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site[8].

8. Conditions du traitement des cookies

Tout traitement de données à caractère personnel doit être effectué licitement et loyalement à l’égard de la personne concernée. Il doit, en particulier, porter sur des données adéquates, pertinentes, et non excessives au regard des finalités poursuivies, qui doivent être explicites et légitimes et déterminées lors de la collecte des données.

Les utilisateurs doivent avoir la possibilité de refuser qu’un témoin de connexion ou un dispositif similaire soit placé sur leur équipement terminal. Ce point est particulièrement important dans le cas où un terminal de connexion est partagé par plusieurs utilisateurs qui peuvent avoir accès aux données sensibles qui y sont stockées.

9. Contrôler la conformité de vos cookies

Information de l’utilisateur

-Indiquer la finalité précise des cookies utilisés ;

-Indiquer la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;

-Indiquer le principe selon lequel la poursuite de la navigation vaut accord du dépôt de cookies sur son terminal.

Critères du bandeau d’informations

-Il doit être transparent, clair et non équivoque ;

-Il doit être apparent jusqu’à la poursuite de la navigation (c’est-à-dire de se rendre sur une autre page ou une clique sur un élément du site) ;

sauf consentement expresse et préalable de l’internaute, le dépôt et la lecture de cookies ne doivent pas être effectués.

10. Effectuer une déclaration auprès de la CNIL

En France, l’utilisation de cookies est incontestablement un moyen de collecter des informations nominatives débouchant sur un traitement automatisé et doit en conséquence faire l’objet d’une déclaration auprès de la Commission Nationale Informatique et Liberté (CNIL) en vertu de la loi no 78-17 du 6 janvier 1978 . Très tôt, cette autorité a émis des avis sur l’emploi des cookies et précisé les obligations pesant sur les utilisateurs de ces techniques.

Le responsable de traitement doit veiller, sous peine d’être sanctionné de 5 ans d’emprisonnement et 300.000 euros d’amende, le collecteur de données doit veiller :

— à ne pas commettre un détournement de la finalité déclarée du traitement ;

— à ne pas collecter les données par un moyen frauduleux, déloyal ou illicite, et à ne pas procéder à leur traitement malgré l’opposition légitime du consommateur ;

— à ne pas collecter les données relatives à la vie privée, aux origines raciales, aux opinions politiques, philosophiques ou religieuses, aux appartenances syndicales, à la santé, aux mœurs, sans le consentement exprès du consommateur.

La CNIL peut prononcer :

— des avertissements qu’elle peut également rendre publics ;

— des sanctions pécuniaires si « le montant de la sanction pécuniaire prévue est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement » ;

— toutes mesures permettant de faire cesser l’infraction constatée[9]

L’information à fournir aux utilisateurs concernant les cookies doit ainsi être rédigée avec soin et ne saurait se réduire à une annonce générale relative à l’existence desdits cookies. Une analyse circonstanciée est nécessaire puisqu’il n’existe pas de message type. Chaque information doit être adaptée au cas par cas en fonction du type de cookies utilisé et des finalités poursuivies. La difficulté réside dans la manière de fournir cette information, potentiellement dense, de manière conviviale et suffisamment claire, précise et visible pour les utilisateurs.

Pour vous accompagner dans cet étape, n’hésitez pas à contacter votre conseil juridique.

Pour aller plus loin…. Contactez le Cabinet Levrel

[1]Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertéstelle que modifié par la loi n° 20014-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel

[2]Article 1 Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978  _ l n’y a dans la recommandation aucune injonction, même s’il est clair que l’on peut considérer comme de bonne politique de s’y conformer, la CNIL qui juge la loi violée pouvant toujours saisir les autorités judiciaires

[3] Cette liste n’est pas exhaustive

[4]Alinéa 1 article 5 de la DIRECTIVE 2002/58/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 12 juillet 2002 concernant le traitement des données à caractères personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

[5]Arrêt CEDH du 12/01/16 Requête n° 61496/08 Affaire Barbulescu c. Roumanie

[6] Considérant 17 de la directive vie privée et communications électroniques

[7]Art. 32. – I. – La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant :

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

[8]Article 5 Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978 

[9]Article 7 de la loi du 6 août 2004, modifiant le chapitre VII de la loi de la loi du 6 janvier 1978

The post Le casse-tête des cookies géré en 10 leçons appeared first on Aurélie Levrel - Avocat à Paris.