Par ALEPH NETWORK
Quelques points juridiques essentiels
Ces termes ne correspondent à aucune notion juridique existante en droit français ou européen.
- Le Deep Web
désigne les sites internet qui ne sont pas indexés par les moteurs de recherche généralistes (Google, Bing, etc.). Plusieurs raisons peuvent l’expliquer : algorithme du moteur de recherche ne jugeant pas le contenu pertinent, éditeur du site ne souhaitant pas être référencé, contenu uniquement accessible avec un compte utilisateur, etc. - Le Dark Web
désigne les sites internet qui sont accessibles uniquement par l’intermédiaire de protocoles spécifiques ou de réseaux d’anonymisation.
Ces outils ont été conçus pour protéger l’identité des utilisateurs et chiffrer leurs communications. Ils peuvent aussi bien être utilisés par des acteurs légitimes (journalistes, militants des droits de l’homme, défenseurs de la vie privée) que par des cybercriminels.
Le Deep Web comme le Dark Web font partie intégrante d’Internet, qui est un réseau de communication technologiquement neutre : n’importe quel contenu peut transiter à travers ce réseau. 
Seuls les usages des internautes peuvent conduire à la commission d’infractions, en raison de la nature des contenus diffusés/consultés ou des produits ou services proposés/achetés.
La recherche sur internet de fuite d’informations – RIFI – est-elle licite ?
Oui, sous certaines conditions : la seule légitimité d’un client à réaliser une RIFI n’est pas suffisante pour la rendre licite. La licéité de la RIFI va notamment dépendre de sa finalité et des modalités de sa mise en œuvre.
En premier lieu, la finalité doit viser à rechercher des fuites de données concernant le client.
Exemple : le client doit utiliser des mots clefs liés à des informations le concernant.
Elle ne doit pas être destinée à rechercher ni accéder à des fuites de données affectant des tiers (ex. : des concurrents) et révélant des données à caractère personnel, des informations confidentielles ou stratégiques.
En deuxième lieu, les modalités de mise en œuvre de la RIFI doivent respecter la réglementation. Aucune atteinte à un STAD ne doit être réalisée pour accéder aux données.
Exemple : le client ou son prestataire ne doivent pas exploiter de vulnérabilités ou contourner des mécanismes de sécurité pour accéder à des informations.
Seules les informations accessibles sans contournement de sécurité doivent être analysées.
En troisième lieu, lorsque l’analyse révèle des informations ne concernant pas le client, celles-ci ne doivent ni être extraites ni conservées.
Exemple : Malgré des mots clefs pertinents, les résultats de la RIFI peuvent renvoyer des faux positifs ou des informations ne concernant pas le client.
Dès que le client acquiert la conviction que les données auxquelles il accède ne le concerne pas, il ne devrait pas poursuivre leur consultation ni en prendre copie.
En quatrième lieu, la RIFI nécessite de se conformer au RGPD, et notamment les recommandations de la CNIL2 .
Exemple : Le client ne pourra dupliquer que les preuves de fuites de données provenant de son SI et devra minimiser la collecte de données personnelles.
La licéité d’une RIFI suppose ainsi une réflexion en amont de son périmètre (finalité, mots clés) et de ses modalités de réalisation.
|
|
|