PCI DSS Quels enjeux juridiques ?

Slides:



Advertisements
Présentations similaires
L’ORGANISATION DE L’AVIATION CIVILE
Advertisements

Drt 6903A Droit du commerce électronique Cours 6 – Atelier Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton
La responsabilité des sites de courtage en ligne APRAM commission internet 16 mars 2006 LA RESPONSABILITE DES COURTIERS EN LIGNE Damien Challamel, Avocat.
Thierry Sobanski – HEI Lille
8ème thème : Le transfert à létranger de données à caractère personnel.
Tout traitement automatisé d'informations nominatives doit, avant sa mise en œuvre, être déclaré ou soumis à l'avis de la CNIL. Introduction I : les formalités.
Droit à l'image.
Publier des photos délèves sur linternet Publier des photographies délèves mineurs sur linternet doit toujours se faire avec laccord des parents. Ce document.
Protéger la personne et la vie privée
CADRE ORGANISATIONNEL ET JURIDIQUE
Le cadre juridique dintervention des agents commissionnés police de leau.
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
Les recommandations de la CNIL
Art. 60 et législation relative au bien-être Groupe de travail activation 7 juillet 2012.
C2i Être responsable à l'ère du numérique
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
FORFAIT E-COMMERCE Vous disposez dun site de type e-commerce et vous souhaitez sécuriser juridiquement votre activité en ayant recours à un avocat. Vous.
Quelle est la nationalité dun site web ? Quelles sont les lois quil doit respecter ? 1 Quentin Boitelle Présentation TIC Février 2013.
DATICE. Propriété intellectuelle et droit dauteur Respect de la vie privée (notamment droit à limage) Protection des données personnelles ne pas diffuser.
Dossier d'évaluation intégrée (DEI) Protection de la vie privée et sécurité pour les utilisateurs du DEI.
Gestion des risques Contrôle Interne
Les exigences de la norme ISO 14001
0 NOUVEAUTÉS LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.
L’attaque rebond Réunion de crise
Guide de gestion environnementale dans l’entreprise industrielle
Section 4 : Paiement, sécurité et certifications des sites marchands
Solidarités et réussites Académie de Créteil 1. Présentation du Cartable en ligne 2. Intégration des emplois du temps 3. Charte, droits.
Les intervenants en prévention des risques professionnels
Petit exercice, analyse de l’art 293 C.cr
Protection de la vie privée
ADMINISTRATION ELECTRONIQUE L'administration, nouvel hébergeur.
LE PROGRAMME INES Identité Nationale Electronique Sécurisée.
Entre circulation et protection des renseignements personnels Le consentement.
Intervention du 30 janvier 2009 Aspects juridiques et déontologiques de lusage des TIC dans le domaine de lEAD Philippe AMBLARD Expert TIC au Ministère.
Législation.
Présentation de M e Christiane Larouche Service juridique, FMOQ 28 mai 2014.
Pr. François-André ALLAERT Médecin de santé publique et juriste
Vidéosurveillance..
Campagne de sensibilisation européenne aux droits des consommateurs.
F. Fretouly M. Thevenin C. Jacquot
L’ordonnance du 8 décembre 2005
Barreau de Grenoble Présentation Grilog 6 février 2014
CNIL : loi n° du 6 Janvier 1978 relative
P. 1 Réunion des administrateurs l 03/05/2012 Déclaration des traitements comportant des données personnelles.
LE DROIT DE LA CONCURRENCE
CHARTE D’UTILISATION DE L’INTERNET, DES RESEAUX ET DES SERVICES MULTIMEDIA PREAMBULE Cette charte s’applique à tout utilisateur membre du personnel ou.
Protection des mineurs sur Internet dans les établissements scolaires
1 Copyright WebTrust France Nouveautés Copyright WebTrust France Les premiers sceaux français délivrés par WebTrust France.
Diffusion de la « culture Informatique et Libertés » par le C2i
ASSURANCE ET RESPONSABILITES. L’activité sportive et la notion de risque  Notion de risque : futur, aléatoire, réel et licite L’assurance a pour but.
Symposium de l'OMC sur la fourniture transfrontières de services Réglementation et fourniture transfrontières 29 avril 2005 Thomas Chan, Représentant adjoint,
Séquence 1 : Environnement du commissariat aux comptes
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Me Isabelle Chvatal 25 septembre 2014 Réseau REPCAR.
1 CEL 6001 : Introduction au commerce électronique Cours 6 - « Passport » de Microsoft et le droit à la vie privée Lundi 21 octobre h – 12h (Pratte,
1 Atelier Juridique du 6/10/09 Cybervendeurs : quelles sont vos obligations ? Franck Martin Selarl – 15 rue Vignon Paris Contact :
Les données personnelles
Me Jean Chartier – Président de la CAI au Québec et de l’AFAPDP Enjeux de la régulation : comment assurer une protection efficace des renseignements personnels.
TICE Exposé L’école et la Vie Privée
Gouvernance des données. Renseignement Confidentiel Renseignement Personnel Obligations Sécurité Valorisation.
Secrétariat général direction de la Recherche et de l’Animation scientifique et technique Présentation de la directive européenne INSPIRE.
CONDITIONS GENERALES DE VENTE 1 - Souscription et paiement de l'abonnement 1.1 L'abonnement annuel est souscrit par le représentant légal pour les abonnés.
Le droit et le Web MTEYREK Mohamad.
Informatique et Libertés individuelles. 2 La CNIL La loi en vigueur Nous sommes surveillés ?
ARCNA – Formation adhérents 2015 L’extranet - loi ALUR du 24 mars 2014 N°12.
La Charte Informatique
Etre responsable à l’ère du numérique Domaine D2.
Les aspects juridiques de l'externalisation des données et services ARAMIS 2012 « Virtualisation et Bases de données » Yann Bergheaud – Lyon3.
© Logica All rights reserved Veille secteur bancaire – Avril 2012 Emetteur Samuel Le Péchoux Pôle Conseil I-SC Réglementation La Commission européenne.
LES FAILLES DE SÉCURITÉ INFORMATIQUE PRÉSENTÉ PAR MOISSON ARTHUR, TORRES BALTAZAR, FULCHER ARNAUD.
Transcription de la présentation:

PCI DSS Quels enjeux juridiques ? 2 juillet 2013 Isabelle Renard Docteur Ingénieur – Avocat Associée irenard@racine.eu

PCI DSS : quel positionnement vis-à-vis du droit ? - Sommaire - PCI DSS : quel positionnement vis-à-vis du droit ? PCI DSS et protection des données personnelles Cabinet Racine

PCI DSS Quel positionnement vis-à-vis du droit ? Cabinet Racine

PCI DSS n’est pas une obligation légale PCI DSS est un standard « auto proclamé » élaboré par une organisation américaine Le respect des standards PCI DSS ne fait l’objet d’aucune obligation légale Mais les standards PCI DSS sont reconnus comme des « standards de fait » et ils sont imposés contractuellement par les grands réseaux de carte bancaire   Cabinet Racine

Quel impact juridique ? Même si ce n’est pas une obligation légale, la reconnaissance de PCI DSS comme standard de fait à un impact fort Pourquoi ? Cabinet Racine

En droit, dans un domaine technique, le professionnel dont le produit/service a causé un dommage peut s’exonérer s’ii peut démontrer qu ece produit/service est conforme à l’ « état de l’art » Un standard de fait est généralement considéré comme un « état de l’art » Dans notre cas : les conséquences d’un dommage causé par une faille de sécurité pourraient être atténuées si l’acteur concerné est conforme au standard PCI DSS Cabinet Racine

Limite de l’exercice…. La « jurisprudence AZF » = l’excès de la « norme alibi » La conformité à la norme ne doit pas empêcher le professionnel de mettre en œuvre les mesures qui s’imposent, même si elles ne sont pas prévues par la norme Cabinet Racine

PCI DSS Et Protection des données personnelles Cabinet Racine

Quel cadre juridique? La Loi Informatique et liberté (n°78-17 du 6 janvier 1078) La recommandation CNIL du 19 juin 2003 Le futur règlement européen sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel Cabinet Racine

La CNIL n’y fait pas non plus directement allusion sur son site En France, aucune obligation de la Loi Informatique et Libertés ne mentionne expressément PCI DSS La CNIL n’y fait pas non plus directement allusion sur son site Mais le respect du standard est un des éléments de conformité avec les obligations de la Loi Informatique et Libertés Cabinet Racine

La finalité du traitement des numéros de carte bancaire Qui est tenu de la déclaration à la CNIL ? Tout acteur qui collecte/traite les numéros de carte Cabinet Racine

La sécurité des traitements : une obligation juridique fondamentale La sécurité des traitements est une OBLIGATION FONDAMENTALE de la Loi Informatique et Libertés (article 34) : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » Cabinet Racine

ARTICLE 226-17 CODE PENAL : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende » Cabinet Racine

Sur la sécurité : les recommandations de la CNIL en 2003 : « Les responsables de traitements utilisent uniquement des systèmes de paiement en ligne sécurisés conformes à l'état de l'art et à la réglementation applicable » Cabinet Racine

« les responsables de traitements ne mémorisent pas les informations relatives au cryptogramme visuel (CVV2) de la carte bancaire de leurs clients » Cabinet Racine

« S'agissant des mesures organisationnelles propres aux responsables de traitement, ces derniers adoptent une politique de gestion stricte des habilitations de leur personnel ne donnant accès au numéro de carte bancaire des clients que lorsque cela est rigoureusement nécessaire et aux seules personnes exerçant des fonctions liées à la finalité déclarée. Les responsables devraient s'assurer que les numéros de cartes bancaires apparaissent toujours de façon tronquée sur l'écran des salariés habilités (seuls les 5 derniers chiffres restent apparents). Le personnel devrait être sensibilisé aux risques de fraudes existant en la matière » Cabinet Racine

« dès lors que le numéro de carte bancaire est enregistré dans une base de donnée, les commerçants aient recours à des procédés techniques permettant de crypter de manière irréversible le numéro de la carte bancaire dès que la transaction a été réalisée » Cabinet Racine

« les responsables de traitements portent une attention particulière aux risques qu'il y aurait à mémoriser le numéro de carte bancaire dans l'ordinateur personnel du client, en particulier par l'intermédiaire de cookies ou fichiers log. Dans une telle situation, et conformément aux dispositions prévues par la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, les individus doivent être informés de la mise en oeuvre de dispositifs techniques sur leur ordinateur et doivent disposer de la possibilité de s'opposer à la mise en oeuvre de tels dispositifs. L'exercice du droit d'opposition devrait pouvoir couvrir les utilisations futures qui pourraient être faites de ces dispositifs durant des connexions ultérieures Cabinet Racine

« s'agissant de la mise en place de système d'authentification en ligne, permettant d'accéder directement à un profil client et à des coordonnées bancaires ("portefeuille électronique"), les commerçants informent clairement leurs clients sur les risques induits par certains gestionnaires de mots de passe intégrés à des navigateurs internet et leur préciser la méthode permettant de désactiver ces systèmes » Cabinet Racine

Sur la durée de conservation : les recommandations de la CNIL en 2003 « La Commission considère en conséquence que la durée de conservation d'un numéro de carte bancaire ne saurait excéder le délai nécessaire à la réalisation de la transaction ou à la finalité de lutte contre la fraude au paiement du traitement mis en oeuvre conformément aux lois et règlement en vigueur » Cabinet Racine

Le porteur doit-il donner son consentement exprès si le numéro de carte est conservé au-delà du temps nécessaire à la réalisation de la transaction ? Pour la CNIL, la réponse est OUI : TOUTE UTILISATION DU NUMERO DE CB DOIT FAIRE L’OBJET D’UNE INFORMATION COMPLETE ET CLAIRE DU PORTEUR Cabinet Racine

Quid des traitements de profiling des comportements du porteur pouvant conduire au refus d’une opération? ILS SONT SOUMIS A AUTORISATION DE LA CNIL Cabinet Racine

PCI DSS et CNIL : en synthèse Les recommandations de la CNIL sont partiellement vieillies Pour certains points le standard PCI DSS va maintenant au delà Le respect du standard PCI DSS apparaît en tous cas comme un « must » pour ce qui concerne le respect de ses obligations CNIL par tout acteur concerné Attention toutefois aux points non couverts par le standard : notamment finalité, durée de conservation Cabinet Racine

Vos commentaires et vos questions sont les bienvenus Cabinet Racine