Correspondant Informatique et libertés du CNRS

Correspondant Informatique et Libertés

Centre national de la recherche scientifique

Accueil du siteL’informatique et les technologies de l’informationQuel type de déclaration pour les systèmes de surveillance informatique IDS, IPS, DLP ?

Quel type de déclaration pour les systèmes de surveillance informatique IDS, IPS, DLP ?

Page publiée le 3 juin 2013

Quel type de déclaration pour les systèmes de surveillance informatique IDS, IPS, DLP ?

Source AFCDP, CLUSIR Aquitaine

Les systèmes de surveillance IDS, IPS, DLP

  • IDS (Intrusion Detection System - Dispositif de détection d’intrusion),
  • IPS (Intrusion Prevention System - Dispositif qui empêche les tentatives d’intrusion)
  • DLP (Data Loss Prevention, ou Data Leakage Prevention - Dispositif ayant pour objectif d’empêcher la sortie d’informations d’un périmètre donné)

La CNIL doit examiner ce sujet et déterminer quel type de déclaration faire pour ce type de traitement. En attendant cette décision, une simple déclaration au registre des traitements suffit.


Commentaire de Frederic GOUTH du CLUSIR Aquitaine ( groupe de travail en sécurité informatique)

Pour certains le fait de garder les adresses IP des personnes auteurs d’atteintes au SI de l’entreprise justifie la demande d’autorisation.

Malgré deux arrêts de la Cour d’appel de Paris en 2007 statuant le contraire, l’adresse IP est communément considérée par la CNIL comme une donnée personnelle puisque l’on peut retrouver la personne physique à laquelle elle appartient avec l’aide des FAI. Les juges ont déclaré plus récemment que c’était une donnée personnelle indirecte. Cependant, les adresses recueillies par les systèmes en cause sont, majoritairement, des adresses internes donc appartenant à l’entreprise.

Il en découle que l’entreprise peut, sans préjudice, recueillir ces données (à condition de porter ce systèmes à la connaissance des salariés). Pour les adresses externes, l’entreprise n’est pas en mesure, seule, de retrouver la personne physique détentrice de l’adresse. Une demande d’autorisation concerne, entre autres, les infractions, condamnations et mesures de sûreté.

Dans le cas présent, il faut distinguer les infractions internes qui sont d’origine conventionnelle et ne rentrent pas dans le cadre défini par la CNIL (infraction à la loi) et les infractions commises depuis l’extérieur.

Dans cette dernière hypothèse, l’infraction ne sera effective que lorsqu’un juge l’aura prononcée. En attendant une enquête et un jugement, nous ne pouvons considérer l’intrusion comme une infraction constituée.

L’avis du juriste du club LEXSI est qu’il n’y a pas de nécessité de demander une autorisation à la CNIL pour la mise en place de ces systèmes. Une simple déclaration dans les formes d’un dispositif de surveillance devrait suffire.

A la connaissance du LEXSI , la CNIL ne s’est pas prononcée sur le sujet.

S’il s’avérait en cas de recherches que la situation était néanmoins plus complexe, l’entreprise pourra en toute bonne foi collaborer avec les auditeurs de la CNIL afin d’établir les mesures de correction à mettre en place.

http://www.linkedin.com/groups/Reto...