Catégories
Non classé

Cryptographie

Articles

L’archivage de l’acte électronique, Juillet 2002
Loi du 13 Mars 2000 sur la signature électronique, Mai 2000
Commerce électronique : les réformes européennes, Juin 1999
Les problèmes posés par la législation française en matière de chiffrement, Octobre 1998

Réglementation

Cryptologie : textes en vigueur, sur le site du SCSSI
Signature et preuve électronique : extrait du Code civil
Autres ressources

Catégories
Non classé

Law firm of Valerie Sedallian

[French version]

Legal practice

The areas of expertise of the law firm cover computer and information technology law. The legal services offered include litigation and advice (advising, negociating and drafting contracts, setting up of internal legal procedures).

Following are examples of matters for which the firm has assisted clients on over the last years :

– litigations concerning liability of internet providers (acces and hosting service providers). – litigations related to criminal computer law : software infringment, security of personnal data. – personnal data : audits, privacy policies, studies related to the marketing of databases, filings with the French Protection Data Authority . – negociating and drafting contracts : hosting agreements, copyright assignments, computer related services agreements, software licences, e-business contracts, domain names. – advices and studies : security of electronic communications, information systems security, legal aspects of storage of electronic acts, free sofwares, managing of copyright in a digital environment.

– legal watch : the firm is the French correspondant of  Cullen International which provides regulatory support services concerning the European Union and its Member States on e-business and multimedia law.

Resume

Valérie Sédallian was admitted to the Paris  Bar in 1992,  where she  worked as an associate in law firms engaged in general corporate law, before she deciding in 1997 to create her own law firm and to dedicate her practice to the field of computer and new information technology law.

She has obtained her masters in law at the University of Paris XI, Sceaux (Maîtrise en Droit Privé 1989) and an advanced degree in business law at the Sorbonne (DEA  Droit des Affaires 1990).

In January 1996,  she decided to create  the Internet Juridique ,  the first French web site dedicated to information technology law.

She is the author of the “Internet Law” , ( Droit de l’Internet ), éditions Net Press, 1997, one of the first books published in France on the subject.
She lectures law students at the University of Paris X for the classes of the DESS de Droit public des NTIC and at the University of Poitiers for the classes of the  Magistère en droit des techniques de l’information et de la communication .

“Internet Law” ,  Net Press éditions, 1997, ISBN 2-9510901-0-2.

Ensure the security of electronic exchanges, Eurostaf editions, March 2003.

Liabilities of employers as ISP, LEGICOM, n° 27, 2002/2, page 47.

“Warranties and liabilities in free software, Juriscom.net, September 2002

“Storage of electronic acts” , Cahiers Lamy Droit de l’informatique et des Réseaux, Juillet 2002.

“Contractual obligations of computer technology providers” , Juriscom.net et Cahiers du Lamy Droit de l’Informatique et des Réseaux, Octobre 2001.

Comments on the Yahoo France Case :

“Comments on research tools liability” , Cahier Lamy Droit de l’informatique et des réseaux, May 2000.

“The Internet and the evolution of the legal practice : a lawyer’s experience” , contribution to the collective book, Law and Artificial Intelligence, under the direction of Danièle Bourcier, Patricia Hassett, Christophe Roquilly, édtions Romillat, 2000.

Les droits des salariés au regard du traitement et de la diffusion de données les concernant sur un intranet, JCP E, 1999 n° 49 p. 1952.

“Liability of Internet Service Providers in the United States Digital Millenium Copyright Act and in the draft of the  European Directive on E-commerce” , Cahiers Lamy du Droit de l’Informatique et des Réseaux, janvier 1999.

“Questions raised by French legislation on cryptology” , Revue Droit de l’informatique et des télécoms, 1998/4 p. 23.

“Lliability of internet acces providers”, Bulletin de la Compagnie Nationale des Experts Judiciaires en Informatique et Techniques Associées, May 1997.

Oral presentations / Speeches

Valérie Sédallian has given various speeches and oral presentations on new technology law, such as :

“Legal aspects of storing electronic data” , 19th IDT/Net Congress , Session on continuance of digital information, Paris, June 4-6, 2002.

“Copyright law and the Internet” , Autour du libre 2002 , INT Evry, 29-31 mai 2002.

“On-line services offers for information technology professionals : the important contract terms” , software, ADBS  meetings on on-line information-documentation and business competitiveness,  Reims, March 30-31, 2001.

“Proof and electronic signature” , 4th French-German seminar organized by the Association des avocats conseils d’entreprises and the deutscher anwalt verein on “Law and New technologies”, April 14-15, 2000.

“Implementation of the European Directive on Personal Data and the inconsistency with the United States legislation” , IDT/Net Congress, Session on legal updates, Paris,  june 8-10, 1999.

“Questions raised by key-escrow systems” ,  International Congress on Information Technology Security, Paris La Défense, June 4-5, 1998.

“Use of the Internet within work places” , Euroforum conference: “Which legal framework for the Internet”, Paris January 28-29, 1998.

26th conference de the International Bar Association, in Berlin, October 23rd, Media Law Committee ” Censoring the Internet : a lawyer’s deceit “, presentation on : “Controlling illegal content over the Internet : the French situation “.

Other activities

Member of the Scientific Board of  Juriscom.net .

Member of the CLUSIF committee on “Security of health information systems”.

In charge of the law committee of the French Chapter of the Internet Society (ISOC)

Member of the Paris bar committee on new technologies.

Member of the Association of Avocats Conseils d’Entreprises .

Catégories
Non classé

actu1002

Cette rubrique a pour objectif d’apporter un éclairage particulier sur un thème tiré de l’actualité du droit des nouvelles technologies.

Octobre 2002
Sécurité et signature électronique La sécurité est plus que jamais un thème d’actualité. Nous allons explorer ce thème sous l’angle de la sécurité de la signature électronique.

Petit retour en arrière. La révolution juridique de l’année 2000 en matière de nouvelles technologies a certainement été la publication de la loi du 13 mars 2000 qui a consacré la valeur probante de l’écrit sous forme électronique, et a introduit la signature électronique dans notre droit. On nous l’a répété à l’envi, la signature électronique est désormais valable.

Cependant, tous les procédés de signature électronique n’ont pas la même valeur juridique. La fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire lorsque ce procédé met en ?uvre une signature électronique sécurisée, laquelle doit remplir deux conditions :

     –        Etre établie grâce à un dispositif sécurisé de création de signature électronique ;
–        La vérification de cette signature doit reposer sur l’utilisation d’un certificat électronique qualifié.

(article 2 du décret n° 2001-272 du 30 mars 2001) Pour schématiser, disons que seules les signature qui se basent sur des produits et services offerts par des fournisseurs certifiés ont la même force légale qu’une signature manuscrite. Les derniers textes nécessaires à la mise en place du processus de certification des fournisseurs ont été publiés au cours de l’année 2002 (décret n° 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information et arrêté du 31 mai 2002 relatif à la reconnaissance de la qualification des prestataires de certification électronique et à l’accréditation des organismes chargés de l’évaluation). On a beaucoup parlé des tiers certificateurs, mais qu’entend on par un dispositif sécurisé de signature électronique ? Voici un petit échantillon de dépêches parues ces derniers mois :

          –        Des logiciels espions dans des ordinateurs d’université aux Etats-Unis (CNET News.com, 24 juin 2002) ; –        Haro sur les certificats numériques sous Windows ! (VNUNET France, 31 août 2002) ; –        Une faille dans Explorer menace le commerce électronique (01 Réseaux, 6 septembre 2002) ; –        Le FBI sponsorise le Top 20 des bugs informatiques (CNET News.com, 4 octobre 2002).

Sans être un expert en sécurité des systèmes d’information, on peut se demander si les exigences de la réglementation française en matière de signature électronique sécurisée pourront être respectées dans un tel contexte. Notamment, un ordinateur traditionnel, sans protection particulière, n’est visiblement pas apte à porter la dénomination de « dispositif de signature sécurisée ».

Certains spécialistes soulignent que la signature n’est pas un service isolé et indépendant des actions humaines. Tant que l’ensemble du processus n’est pas réputé sûr, les signatures émises ne peuvent pas être considérées comme certaines. Cela concerne le matériel, le système d’exploitation, les logiciels et les interfaces. Or, aucun de ces systèmes n’est garanti actuellement par les fournisseurs comme étant exempt de bugs et de dysfonctionnements. Enfin, la responsabilité des fournisseurs du dispositif de création de la signature électronique n’a pas été envisagée par les législateurs français et européen, elle ressort entièrement du domaine contractuel.

En l’état de la sécurité présentée par les systèmes informatiques, dont les carences dans ce domaine sont régulièrement dénoncées, et alors que la sécurité informatique est un processus complexe à gérer, tant dans ses aspects techniques qu’organisationnels, nos signatures électroniques seront-elle vraiment sécurisés ? En savoir plus Le palmarès 2002 des vingt plus grandes failles de sécurité :
http://www.sans.org/top20/ Base de données ICAT (base de données recensant les failles informatiques) :

http://icat.nist.gov/icat.cfm

Bruce Schneier, Secrets et Mensonges, Vuibert Informatique, Paris, 2001.

[Retour]

Catégories
Non classé

actu0902

Cette rubrique a pour objectif d’apporter un éclairage particulier sur un thème tiré de l’actualité du droit des nouvelles technologies.

Septembre 2002

Logiciels libres et réglementation de la cryptologie
La France a maintenu malgré plusieurs réformes successives, une réglementation contraignante et complexe de la cryptographie. L’article 28 de la loi du 29 décembre 1990, modifié par la loi du 26 juillet 1996, fixe le cadre réglementaire de la cryptographie. La législation française distingue d’une part les fonctions d’authentification et d’intégrité des données (produits utilisés pour l’authentification et le contrôle d’intégrité et d’accès de contenus eux-mêmes non chiffrés), soumises à un régime plus souple, et les fonctions de confidentialité (chiffrement de contenus), sur lesquelles l’Etat entend garder un contrôle  étroit. En pratique, beaucoup de moyens assurant des fonctions d’authentification et d’intégrité chiffrent également des données : ils rentrent alors dans le cadre du régime applicable aux outils offrant des fonctions de confidentialité. Selon les cas, un procédé de cryptographie relève soit d’une procédure dite de déclaration préalable, soit d’une procédure de demande d’autorisation préalable. Les dossiers de déclaration et de demande d’autorisation sont instruits par la DCSSI (Direction centrale de la sécurité des systèmes d’information). Les dispenses de formalités concernent des hypothèses limitées. Notamment, l’utilisation, la fourniture, l’exportation et l’importation de moyens et prestations de plus de 128 bits qui permettent d’assurer des fonctions de confidentialité sont soumises à autorisation préalable. En pratique, l’autorisation accordée à un fournisseur couvre en principe tous les utilisateurs. Cette procédure peut devenir un véritable casse-tête juridique pour les logiciels libres qui peuvent être fournis par différentes personnes (et non par un fournisseur unique), téléchargés depuis internet (importation), et offerts en téléchargement (exportation). Il faut vérifier si le procédé de cryptologie a bien fait l’objet de la déclaration/autorisation adéquate. Sinon l’utilisateur doit initier les démarches nécessaires auprès de la DCSSI pour utiliser en toute légalité son logiciel. L’autorisation individuelle accordée à cet utilisateur ne bénéficiera pas à d’autres utilisateurs. Le 12 juillet 2002, pour la première fois en France, suite à un dépôt de dossier effectué par le Chapitre Français de la Free Software Foundation Europe, la DCSSI a autorisé l’utilisation et l’importation des logiciels libres de cryptographie GnuPG version 1.0.7 et suivantes et OpenSSL version 0.9.6d et suivantes. OpenSSL est notamment utilisé par les serveurs web sécurisés fonctionnant sous Apache. GnuPG est utilisé pour signer des documents ou chiffrer les courriers électroniques. Les utilisateurs de ces logiciels en France n’ont donc dorénavant aucune démarche à effectuer auprès de la DCSSI, l’autorisation accordée concernant la fourniture pour une utilisation générale. Concernant les exportations, la DCSSI a octroyé à ces logiciels le bénéfice du régime prévu par l’article 10 du décret n° 2001-1192 du 13 décembre 2001 qui dispense de licence d’exportation les logiciels dits grand public. Il n’y a donc dorénavant aucune démarche à effectuer auprès de la DCSSI pour exporter (notamment par internet) ces logiciels. Cette première démarche a rendu également le processus de déclaration/autorisation auprès de la DCSSI plus simple pour d’autres logiciels libres. La FSF France a en effet mis en ligne les dossiers déposés auprès de la DCSSI, ce qui permet de s’en inspirer. Force est de constater néanmoins que la mise en oeuvre effective de la libéralisation totale de l’utilisation de la cryptographie, annoncée par le gouvernement Jospin en janvier 1999, est toujours attendue. En savoir plus Le communiqué de presse de la FSF France :
http://france.fsfeurope.org/news/article2002-08-07.fr.html Le mémoire et le rapport de Magali Julin, à l’origine, suite à son stage auprès de la DCSSI, de la démarche de la FSF France :

www.vilya.org/dcssi

Site web de la DCSSI :

http://www.scssi.gouv.fr/fr/index.html

Catégories
Non classé

Cabinet d’avocat de Valérie Sédallian

[English version]

Activités

Les domaines d’intervention du cabinet couvrent le droit de l’informatique, des réseaux  et des nouvelles technologies. Le cabinet intervient aussi bien dans le cadre de contentieux qu’en matière de conseil (consultations, rédaction de contrats, négociations, mise en place de procédures juridiques) pour une clientèle diversifiée.

Le cabinet est capable d’appréhender sous des angles variés et complémentaires les problématiques juridiques liées à l’informatique dans l’entreprise et de bien connaître un environnement technique en constante évolution.

Voici quelques exemples de  dossiers traités au cours de ces dernières années  :

– contentieux relatifs à la responsabilité des prestataires internet (fournisseurs d’accès et d’hébergement). – contentieux relatifs au droit pénal de l’informatique : contrefaçon de logiciels, introduction frauduleuse dans des systèmes informatiques, sécurité des données. – données personnelles : études relatives aux bases de données marketing, déclarations de traitements auprès de la CNIL, audits des traitements de données à caractère personnel, chartes d’usage des outils informatiques. – négociation et rédaction de contrats : hébergement, cession de droits d’auteurs, prestations informatiques, licences de logiciel, commerce électronique, noms de domaine. – consultations et études : sécurisation des échanges électroniques, sécurité des SI, archivage électronique, logiciels libres, gestion des droits d’auteur dans un environnement numérique.

– veille juridique : le cabinet est le correspondant pour la France de la société Cullen International qui offre des prestations de veille réglementaire européenne sur le commerce électronique et le multimédia.

Le traitement des dossiers prend en compte l’analyse des risques juridiques et financiers et les prestations sont adaptées aux besoins concrets des clients. Une convention d’intervention et d’honoraires est proposée afin de fixer l’étendue de la mission confiée, les modalités de traitement du dossier et le montant des honoraires.

Biographie

Valérie Sédallian est avocate et membre du barreau de Paris depuis 1992. Elle fonde son propre cabinet en 1997 afin de dédier  son activité aux problèmes juridiques liés à l’utilisation de l’internet, de l’informatique et des nouvelles technologies de l’information.

Elle est diplômée de la Faculté de droit de Sceaux, Paris XI (Maîtrise en Droit Privé 1989) et de l’Université de Paris I (DEA Droit des Affaires 1990).

Elle crée en janvier 1996 l’ Internet Juridique ,  premier site juridique français consacré au droit des NTIC.

Elle est l’auteur du livre Droit de l’Internet , éditions Net Press, 1997, un des premiers ouvrages publié sur le sujet. Elle enseigne dans le cadre du DESS de Droit public des NTIC de l’Université de Nanterre, et du Magistère en droit des techniques de l’information et de la communication de l’Université de Poitiers.

Droit de l’Internet , ouvrage publié aux éditions Net Press, 1997, ISBN 2-9510901-0-2.

Légiférer sur la sécurité informatique : la quadrature du cercle ? Juriscom.net et Cahiers Lamy ” Droit de l’Informatique”, Décembre 2003

La sécurisation des échanges électroniques, étude réalisée pour les éditions Eurostaf, Mars 2003

La directive européenne “Vie privée et communication électroniques”, Legipresse, Janvier-Février 2003, p.12.

Responsabilité de l’employeur fournisseur d’accès à l’Internet, LEGICOM, n° 27, 2002/2, page 47.

Garanties et responsabilités dans les logiciels libres , Juriscom.net Septembre 2002 et Cahiers Lamy “Droit de l’Informatique”, Novembre 2002.

L’archivage de l’acte électronique , Cahiers Lamy Droit de l’informatique et des Réseaux, Juillet 2002.

Les engagements des prestataires informatiques , Juriscom.net et Cahiers du Lamy Droit de l’Informatique et des Réseaux, Octobre 2001.

Commentaires de l’affaire Yahoo ! :

A propos de la responsabilité des outils de recherche , Cahiers Lamy du Droit de l’informatique et des réseaux, mai 2000.

Internet et l’évolution de la pratique profesionnelle, l’expérience d’un avocat , contribution à l’ouvrage collectif, Droit et Intelligence artificielle, sous la direction de Danièle Bourcier, Patricia Hassett, Christophe Roquilly, édtions Romillat, 2000.

Les droits des salariés au regard du traitement et de la diffusion de données les concernant sur un intranet, JCP E, 1999 n° 49 p. 1952.

La responsabilité des prestataires techniques sur Internet dans le Digital Millenium Copyright Act américain et le projet de directive européen sur le commerce électronique , Cahiers Lamy du Droit de l’Informatique et des Réseaux, janvier 1999.

Les problèmes posés par la législation française en matière de chiffrement , Revue Droit de l’informatique et des télécoms, 1998/4 p. 23.

La responsabilité des fournisseurs d’accès à Internet, Bulletin de la Compagnie Nationale des Experts Judiciaires en Informatique et Techniques Associées, mai 1997.

Valérie Sédallian participe régulièrement à des conférences sur le droit des nouvelles technologies. On citera par exemple :

Les licenses de logiciels libres, CEJEM-ADIM, Centre Panthéon, 13 Mars 2003.

Archivage électronique, Aspects juridiques, 19ème Congrès IDT/Net , Session relative à la pérennisation de l’information numérique, Paris, 4-6 juin 2002.

Internet et droit d’auteur, Autour du libre 2002 , INT Evry, 29-31 mai 2002.

Offres de services en ligne pour les professionnels de l’information : les clauses importantes, Rencontres de l’ ADBS relatives  aux  systèmes d’information-documentation en réseau et performance de l’entreprise, Reims, 30-31 mars 2001.

Preuve et signature électronique , 4ème séminaire franco-allemand co-organisé par l’Association des avocats conseils d’entreprises et le deutscher anwalt verein sur le thème “Droit et nouvelles technologies”, Nice, 14-15 avril 2000.

La transposition de la directive européenne sur les données nominatives et le conflit avec les Etats-Unis , Congrès IDT/Net, Session relative à l’actualité juridique, Paris, 8-10 juin 1999.

Les problèmes juridiques posés par le système des tiers de confiance, Congrès International sur la Sécurité des Systèmes d’information et des Communications, Paris La Défense, 4-5 juin 1998.

L’utilisation d’Internet dans l’entreprise , conférence Euroforum : “Quel cadre juridique pour l’Internet “, Paris 28 et 29 janvier 1998.

26ème conférence de l’International Bar Association, Berlin, 23 octobre 1996, Media Law Committee ” Censoring the Internet : a lawyer’s deceit “, intervention sur : Controlling illegal content over the Internet : the French situation .

Activités Associatives

Membre du Comité scientifique de Juriscom.net .

Membre du groupe de travail “Sécurité des systèmes d’information de santé” du CLUSIF.

Responsable de la Commission juridique de l’ ISOC France.

Membre de la Commission Marchés émergents, nouvelles technologies du Barreau de Paris.

Membre de l’ ACE , l’association française des Avocats Conseils d’Entreprises.

Catégories
Non classé

actu1102

Cette rubrique a pour objectif d’apporter un éclairage particulier sur un thème tiré de l’actualité du droit des nouvelles technologies.

Novembre 2002
Affaire Kitetoa : Base de données mal sécurisée et délit de piratage informatique

Le site Kitetoa.com dénonce régulièrement les sites commerciaux qui sécurisent mal (voire pas du tout) les données personnelles concernant leurs clients. Ainsi, en 1999, l’animateur du site, Antoine C. avait-il signalé à l’hébergeur du site des magasins Tati une faille de sécurité permettant d’accéder au contenu des bases de données clients du serveur grâce à un simple navigateur. Constatant près d’un an après que les failles détectées et signalées existaient toujours, il publiait sur Kitetoa.com un article relatant la faille du site de Tati. L’information était reprise dans un magazine spécialisé, ce qui amenait la société Tati à porter plainte pour introduction non autorisée dans un système informatique. La 13e chambre du Tribunal de Grande Instance de Paris a reconnu dans une décision en date du 13 février 2002 que la société Tati ne semblait pas avoir respecté l’obligation de sécuriser un fichier de données nominatives (article 226-17 du Code pénal), mais a néanmoins condamné le webmestre de Kitetoa à une amende de 1000 euros avec sursis, sur le fondement de l’article 323-1 du Code pénal (accès et maintien frauduleux dans un système de traitement automatisé de données). La société Tati a été déboutée de sa demande en dommages et intérêts. Suite à un appel du Parquet général en vue de solliciter la relaxe du prévenu, démarche dont il convient de souligner au passage le caractère inhabituel, Antoine C. a été relaxé par décision en date du 30 octobre 2002 de la 12ème Chambre de la Cour d’appel de Paris. Le Tribunal avait reconnu que Monsieur Antoine C. avait seulement utilisé les fonctionnalités de son navigateur, sans effectuer de manipulations frauduleuses. Il avait toutefois considéré que l’accès de manière consciente et délibérée à des données que l’on sait être confidentielles, s’agissant de données nominatives protégées par la loi, constituait le délit pénal considéré. Certes, l’exigence de protection du système ne fait pas partie des conditions de l’incrimination du délit d’intrusion frauduleuse. Mais l’utilisation d’un simple navigateur pour accéder dans un système mal protégé mérite t-il une sanction ? En outre, comment la personne qui découvrirait que ses données nominatives figurent dans un fichier mal sécurisé pourrait-elle porter plainte pour défaut de sécurité sans risquer de se voir reprocher de commettre elle-même un délit ? Comment dans ces conditions exercer le journalisme d’investigation ?

Comme le soulignait le Parquet dans ses réquisitions, « il semble inenvisageable d’instaurer une jurisprudence répressive dont il résulterait une véritable insécurité permanente, juridique et judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés ».

Le Parquet considérait que lorsqu’une base de données est, par la faute de celui qui l’exploite, en accès libre par le biais de l’utilisation d’un logiciel de navigation grand public ne nécessitant pas de connaissances particulières ou de manipulations à la limite du piratage, le seul fait d’en prendre connaissance, et même pour un journaliste, un testeur mandaté ou non, d’en réaliser une copie (…), sans intention malveillante (..) ne saurait constituer une infraction. Le parquet considérait donc que l’intention frauduleuse n’était pas caractérisée en l’espèce.

Ce n’est pas exactement la motivation retenue par la Cour d’appel, qui considère qu’on ne peut pas reprocher à un internaute d’accéder ou de se maintenir dans les parties d’un site accessible par la simple utilisation d’un logiciel de navigation, et que « ces parties de site, qui ne font par définition l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès (…). La détermination du caractère confidentiel et des mesures nécessaires à l’indication et à la protection de cette confidentialité relevant de l’initiative de l’exploitant du site ou de son mandataire ».

En tout état de cause, au regard de cette jurisprudence, la possibilité d’accéder à des données stockées sur un site avec un simple navigateur, en présence de nombreuses failles de sécurité, n’est pas répréhensible.
En savoir plus
Dossier de Kitetoa.com sur l’affaire Tati :

http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/index.shtml