Télécharger l`étude

Transcription

Télécharger l`étude

SOMMAIRE
Introduction ......................................................................................................................................................................................... 3
1.
Contexte .......................................................................................................................................................................................................... 3
2.
Objectifs de l’étude ....................................................................................................................................................................................... 3
3.
Méthodologie de l’étude .............................................................................................................................................................................. 3
A. Les enjeux liés aux accès Internet visiteurs dans les organisations ....................................................................................... 4
B. Les résultats de l’étude ................................................................................................................................................................ 5
1. IDENTIFICATION ET CONSERVATION DES DONNÉES DE CONNEXION : S’assurer de l’identité de leurs visiteurs et être en mesure
de savoir qui fait quoi sur leur accès internet..................................................................................................................................................... 5
ETAPE 1 : Mettre en œuvre un moyen technique ou humain permettant de collecter des informations relatives à l’identité du visiteur ............ 6
ÉTAPE 2 : Collecter et enregistrer les informations relatives à l’identité du visiteur ............................................................................................................. 7
ÉTAPE 3 : Vérifier les informations personnelles fournies par le visiteur ................................................................................................................................... 8
Étape 4 : Fournir des identifiants uniques de connexion Internet par visiteur ...................................................................................................................... 9
SYNTHESE : Identification et conservation des données de connexion .............................................................................................................................. 10
2.
INFORMATION : les organisations respectent-elles la protection de la vie privée des visiteurs ? ..................................................... 11
3.
FILTRAGE DES ACCÈS INTERNET : l’organisation est-elle protégée des actes illicites de ses visiteurs ? ............................................. 13
Filtrage et contenus illicites : ........................................................................................................................................................................................................ 15
Le cas particulier de la protection des mineurs ....................................................................................................................................................................... 18
C. Conclusion : Des moyens souvent insuffisants ou mal déployés .......................................................................................... 19
Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 2
INTRODUCTION
1. Contexte
Aujourd’hui, de nombreuses organisations ont franchi le pas et se sont
équipées d'un accès Internet Wi-Fi destiné à leurs visiteurs, d'autres sont
fortement sensibilisées et projettent d'offrir ce service dans les prochains
mois.
Offrir un accès Internet à ses prestataires, ses partenaires ou ses clients
soulève des enjeux de taille notamment en matière de respect de la
législation française et de risque de sécurité du système d’information.
En effet, fournir un accès Internet à des visiteurs, liés
contractuellement ou non à l’entreprise, n’est pas sans danger pour
une organisation. En laissant libre accès à leur réseau Internet,
certaines organisations permettent aux visiteurs de surfer librement
avec la responsabilité de l’entreprise.
2. Objectifs de l’étude
Olfeo lance pour la première fois une étude sur les pratiques des
organisations qui offrent un accès Wi-Fi à leurs visiteurs.
L’objectif de cette étude est de présenter les pratiques actuelles des
organisations en matière d’accès à leurs visiteurs et ainsi analyser dans
quelles mesures elles respectent la législation française à travers trois
étapes clés :
Identification et conservation des données de connexion
-
Information des visiteurs sur les conditions d’accès et le
traitement de leurs données à caractère personnel
Filtrage des contenus reconnus illicites en France ou liés à
protection des mineurs.
Cette étude permet de dévoiler les tendances en termes de moyens
mis en œuvre par les organisations, puis selon les domaines d’activités,
et d’analyser si ces moyens sont suffisants pour être en conformité avec
la législation.
3. Méthodologie de l’étude
Olfeo a réalisé cette enquête sur le premier semestre 2013. Cette
étude a été menée dans des conditions réelles avec un
déplacement dans chacun des lieux. Elle exprime donc la réalité.
Elle porte sur une centaine de lieux offrant un accès Wi-Fi gratuit à ses
visiteurs.
Plusieurs organisations par secteur d’activité ont été étudiées afin
d’obtenir un résultat exhaustif quant aux analyses par secteur.
Les domaines d’activité testés sont : Les administrations, le transport
(aéroports, gares, métro…), les musées, les centres commerciaux, les
espaces publics (parcs, places, jardins…), les centres de
conférence, le tourisme (hôtels, centres de vacances…), les
bibliothèques et médiathèques, la restauration rapide (bars, cafés,
restaurants…)
Pour chacune de ces trois étapes clés, Olfeo précise le cadre
juridique ainsi que les différentes phases d’analyse.
A. LES ENJEUX LIÉS AUX ACCÈS INTERNET VISITEURS DANS LES ORGANISATIONS
Offrir un accès Internet aux visiteurs et par extension inviter un inconnu
dans le système d’information de son organisation n’est pas sans risque.
En effet, un visiteur qui dispose d’un libre accès au réseau Internet de
l’organisation surfe librement sous la responsabilité de l’organisation et
de ses dirigeants. Si le visiteur n’est pas identifié et identifiable, seule
l’organisation est responsable des comportements déviants sur Internet.
Aujourd’hui il est obligatoire pour une entreprise ou une administration
d’identifier et de conserver toutes traces, logs, données de connexion,…
qui serviront de preuves pour poursuivre quelqu’un ou pour protéger
l’entreprise de quelqu’un qui a mal agit et pour lequel la responsabilité
primaire de l’entreprise est engagée.
D’une part, l’organisation a une obligation de veiller à limiter les accès
Internet afin de bloquer les contenus reconnus illicites en France (jeux
d’argents illicites, vente de tabac…).
D’autre part, elle doit également être en mesure d’identifier notamment
des populations de mineurs, auprès desquels les accès Internet doivent
être spécifiquement limités pour la pornographie, les contenus violents…
Enfin dans la mesure où l’organisation identifie un visiteur, elle collecte des informations personnelles. Ce dernier doit être informé des conditions
d’accès et de rectification ou d’opposition à ses données.
Les enjeux liés aux accès Internet visiteurs reposent ainsi sur trois piliers : identification, information et filtrage.
B. LES RÉSULTATS DE L’ÉTUDE
1. IDENTIFICATION ET CONSERVATION DES DONNÉES DE CONNEXION : S’assurer de l’identité de leurs
visiteurs et être en mesure de savoir qui fait quoi sur leur accès internet
Aujourd’hui, authentifier1 les utilisateurs qui naviguent sur le réseau Internet et conserver leurs données de connexion Internet sont des obligations
légales que les entreprises et les administrations doivent respecter pour être en conformité avec la législation et ainsi pouvoir répondre
favorablement à une éventuelle réquisition judicaire. Ces obligations trouvent leurs fondements dans deux textes :

Article 6 de la loi pour la confiance dans l’économie numérique (LCEN) qui dispose que « Les personnes qui fournissent un accès doivent
conserver les données de nature à permettre l'identification de quiconque a contribué à la création de contenus … »

Article L. 34 du Code des postes et des communications électroniques complété par la loi relative à la lutte contre le terrorisme (2006)
qui dispose que « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion
permettant une communication en ligne […] y compris à titre gratuit, sont soumises au respect des dispositions applicables aux
opérateurs de communications électroniques en vertu du présent titre ». Sous-entendu la LCEN, préalablement citée.
OLFEO A DONC ANALYSÉ SI LES ORGANISATIONS QUI OFFRENT UN ACCÈS INTERNET À UN VISITEUR SONT EN MESURE D’IDENTIFIER CE VISITEUR ET DE CONSERVER SES
TRACES, DONNÉES, LOGS DE CONNEXION À TRAVERS 4 ÉTAPES INCONTOURNABLES
ETAPE 1
Mettre en œuvre un
moyen technique ou
humain permettant
de collecter des
informations relatives
à l’identité du visiteur
:
ETAPE 2
ETAPE 3
ETAPE 4
Collecter et
enregistrer les
informations relatives
Vérifier les
informations
relatives
Fournir des
identifiants* uniques
de connexion à
Internet par visiteur
L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité : personne, ordinateur..., autrement dit de certifier l‘identité.
En informatique, on appelle identifiants les informations permettant à une personne de s'identifier auprès d'un système. Un identifiant est souvent composé d’un login et d’un mot
de passe
1
*
ETAPE 1 : Mettre en œuvre un moyen technique ou humain permettant de
collecter des informations relatives à l’identité du visiteur
Les seuls moyens qui permettent de collecter des informations relatives à l’identité d’un
visiteur avant qu’il se connecte au réseau Internet de l’organisation sont :


La mise en place d’un formulaire de renseignements en ligne
L’obligation de demander l’accès Internet à une personne physique
Dans chaque lieu, Olfeo a testé comment un visiteur se connecte au Wi-Fi de
l’organisation.
Par quel moyen un visiteur se connecte au
réseau Internet ?
18%
Accès direct sans authentification
Formulaire en ligne
24%
58%
ZOOM SUR LES RÉSULTATS :
LA
MAJORITÉ
DES
ORGANISATIONS
TESTÉES
INVITENT DES INCONNUS À SE CONNECTER
LIBREMENT À LEUR RÉSEAU INTERNET
42%
des
lieux
testés
semblent
:
sensibilisés
à
l’importance de s’assurer de l’identité d’un visiteur en
proposant un formulaire en ligne ou l’obligation de
demander Internet à une personne physique.
Pour
95%
Internet est
l’accueil.
des administrations testées, l’accès
systématiquement
à
demander
à
Top 3 des domaines d’activité testés mettant en
œuvre un moyen permettant de connaitre l’identité
d’un visiteur :
1.
Administration
et
Tourisme (95%
des
organisations)
Demande d'accès auprès d'une
personne
Transport (70% des organisations)
3. Centre de conférence et Espace public (50%
2.
des organisations)
Seulement
5%
des bibliothèques et médiathèques
mettent en œuvre un moyen
connaitre l’identité d’un visiteur.
permettant
de
ÉTAPE 2 : Collecter et enregistrer les informations relatives à l’identité du visiteur
Bien que certaines organisations aient mis en œuvre des moyens pour collecter les
informations relatives à l’identité de leurs visiteurs, ces informations ne sont pas
nécessairement collectées et enregistrées.
Dans chaque lieu où un moyen de collecte d’informations est déployé, Olfeo a observé
si des informations sont demandées et si celles-ci peuvent être techniquement
enregistrées. Par exemple lorsqu’un formulaire en ligne doit être rempli avant la
connexion, Olfeo est parti du principe que ces données étaient enregistrées. De même
lorsqu’un visiteur doit demander son accès auprès d’une personne, Olfeo a observé si
des informations sont demandées et si celles-ci sont enregistrées informatiquement.
Des informations personnelles sur les visiteurs
sont-elles collectées et enregistrées ?
DES INFORMATIONS SUR L’IDENTITÉ DU VISITEUR
GÉNÉRALEMENT ENREGISTRÉS LORSQU’UN MOYEN
TECHNIQUE OU HUMAIN EST MIS EN ŒUVRE
:
Dans
71% des organisations lorsque des
informations personnelles sont demandées, elles sont
enregistrées.
Dans
80%
des cas, une personne physique ne
collecte pas et n’enregistre pas d’informations
personnelles sur les visiteurs. Elle fournit les identifiants
de connexion soit sur un papier soit à l’oral.
Dans
2
domaines d’activité testés sur
9
aucune
information n’est enregistrée
29%
Demande et enregistrement
d'informations personnelles sur
le visteur
71%
Aucune demande et
enregistrement d'informations
personnelles sur le visteur
Top 3 des domaines d’activité testés qui enregistrent
les informations relatives à l’identité d’un visiteur :
1.
2.
Tourisme (97% des organisations)
Administration
et
Transport (70%
des
organisations)
3. Espace public (50% des organisations)
Les domaines d’activité testés qui ne se soucient pas
de l’identité de leurs visiteurs suite à cette deuxième
étape : Les centres de conférence et les
bibliothèques – médiathèques.
Dans ces deux secteurs d’activité, n’importe quel
visiteur peut donc faire n’importe quoi sur Internet
sans risque.
ÉTAPE 3 : Vérifier les informations personnelles fournies par le visiteur
Lorsque l’organisation a collecté puis enregistré les informations relatives à l’identité d’un
visiteur, il est important de vérifier que les informations délivrées sont exactes afin de
s’assurer de l’identité réelle du visiteur. En effet il est facile dans ces situations de fournir un
faux nom, mail, … il est de la responsabilité de l’entreprise ou de l’administration de vérifier
la validité de ces informations.
Il existe plusieurs moyens pour vérifier ces informations qui offrent un degré de certitude
différents quant à cette vérification :
1. Une personne physique enregistre le numéro de pièce d’identité du visiteur
2. Les codes de connexion sont envoyés par SMS ou par mail (renseigné par le visiteur)
3. Les codes de connexion sont envoyés par mail (renseigné par le visiteur)
Olfeo a testé pour chaque lieu, dans quelle mesure les informations collectées étaient
vérifiées :
UN
VISITEUR
FOURNIES
Dans
9%
des lieux testés vérifient l’exactitude
Classement des domaines d’activité testés qui
enregistrent les informations relatives à l’identité d’un
visiteur et les vérifient :
1. Espace public : 50% des organisations font
une vérification par mail
2. Administration : 35% des organisations grâce
à l’enregistrement du numéro d’une pièce
d’identité
3. Magasin et centre commercial : 8% des
organisations grâce à l’envoi par SMS
Envoi des identifiants par mail
20%
des cas les informations fournies par le
de ces informations.
10%
Aucune verification : impression
de code par une personne
physique
Aucune vérification : accès direct
à Internet
MALGRÉ
:
70%
Seulement
Envoi des identifiants par SMS
10%
INCONNU
visiteur ne sont pas vérifiées et ne permettent pas de
s’assurer de l’identité du visiteur.
une personne physique
50%
UN
L’ENREGISTREMENT DES INFORMATIONS QU’IL A
Les informations du visiteur sont-elles
vérifiées ?
Numéro de la carte d'identité par
10%
RESTE
67%
des domaines d’activité testés sont désormais
en incapacité d’identifier clairement un visiteur à la
suite de cette étape :
Transport
Musée
Centre de conférence
Tourisme
Bibliothèque et médiathèque
Bar, café restauration rapide
Étape 4 : Fournir des identifiants uniques de connexion Internet par visiteur
Lorsque des informations personnelles sont collectées, enregistrées et vérifiées, les
organisations sont en mesure d’identifier chaque visiteur.
Afin de conserver les données de connexion nominatives de chaque visiteur, ce dernier doit
disposer d’identifiants uniques attachés à ses données personnelles. Techniquement il sera
ainsi possible pour l’organisation de connaître la navigation Internet d’un visiteur grâce à
ses identifiants dédiés associés à son identité.
Olfeo a donc testé pour chaque lieu, si les identifiants de connexion fournis sont génériques,
autrement dit les mêmes pour l’ensemble des visiteurs ou bien si ils sont uniques.
Types d'identifiants de connexion fournis par
les organisations
9% DES ORGANISATIONS EN MESURE
D’IDENTIFIER UN VISITEUR, LA MAJORITÉ EST EN
PARMI LES
MESURE
DE
CONSERVER
LES
DONNÉES
DE
CONNEXION NOMINATIVES DE SES VISITEURS
Dans
67%
des cas, les organisations testées ayant
mis en œuvre les moyens pour respecter les 3
premières étapes de cette partie de l’étude
fournissent des identifiants uniques associés aux
visiteurs.
Classement des domaines d’activité testés qui
respectent la législation en matière d’identification et
de conservation de données de connexion :
1. Espace public (50% des organisations)
2. Administration (35% des organisations)
33%
Code générique
Login et mot de passe unique
67%
78%
des domaines d’activité testés ne sont pas
conformes à la législation en matière d’identification
et de conservation des données :
Magasin et centre commercial
Transport
Musée
Tourisme
Bibliothèque et médiathèque
Bar, café restauration rapide
SYNTHESE : Identification et conservation des données de connexion
Offrir un accès Internet à des visiteurs n’est pas un geste anodin et peut engager la responsabilité de l’organisation et de ses dirigeants. Au
regard de cette première analyse portant sur l’identification et la conservation des données de connexion Internet d’un visiteur, le sujet semble
loin d’être maîtrisé par les entités quel que soit le domaine d’activité.
9% des organisations
leurs visiteurs.
testées
100% DES ORGANISATIONS TESTÉES
connaissent l’identité de
6% des organisations testées sont en mesure
d’identifier l’auteur d’un acte illicite ou déviant sur leur
Seulement
42%
•Etape 1 : Mettre en oeuvre un moyen technique
ou humain permettant de collecter des
informations relatives à l'identité du visiteur
réseau Internet.
Ce qui implique que dans
94% des organisations un visiteur
peut naviguer librement sur Internet et adopter un comportement
déviant sans être identifiable. Seule
l’organisation engage
30%
•Etape 2 : Collecter et enregistrer les informations
relatives à l'identité du visiteur
sa responsabilité en cas de navigation illicite.
Les espaces publics et les administrations testés
semblent les plus sensibilisés à ces risques puisque
respectivement 50% et 35% d’entre eux respectent
les 4 étapes indispensables afin de protéger l’entreprise
et répondre favorablement aux obligations légales en la matière.
9%
6%
•Etape 3 : Vérifier les informations personnelles
fournies par le visiteur
•Etape 4 : Fournir un identifiant unique à chaque
visiteur
À l’issue de ces 4 étapes, seulement
lieux testés
législation.
sont
en
conformité
6% des
avec
la
2. INFORMATION : les organisations respectent-elles la protection de la vie privée des visiteurs ?
Lorsqu’une organisation authentifie ses visiteurs, elle collecte et traite nécessairement des données à caractère personnel2 au sens de la Loi
Informatique et Libertés3 pour pouvoir les identifier.
Dès lors, un visiteur dont les données à caractère personnel font l’objet d’un traitement doit être informé, au plus tard au moment de la collecte
des données4 :
 De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
 De la finalité poursuivie par le traitement ;
 Du caractère obligatoire ou facultatif des réponses ;
 Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
 Des destinataires ou catégories de destinataires des données ;
 Des droits qu’il détient : Le droit à l’information ; Le droit d’accès ; Le droit d’interrogation ; Le droit d’opposition ; Le droit de rectification.
 Des transferts de données à destination d’un Etat non-membre de la Communauté européenne.
Ces droits ont pour but « d’encourager la transparence dans l’exploitation des données à caractère personnel ». Les personnes concernées par
le traitement ont en outre le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel les concernant fassent
l’objet d’un traitement5.
Ces informations sont généralement diffusées par le biais d’une charte, appelée également charte Wi-Fi ou encore charte d’accès.
Il est par ailleurs vivement conseillé de diffuser également dans cette charte, les conditions générales d’utilisation d’Internet adaptées au cas
spécifique des visiteurs, autrement dit d’utilisateurs qui n’ont aucun lien contractuel avec l’organisation.
Olfeo s’est donc attaché dans cette seconde partie à analyser si les organisations qui offrent un accès Internet aux visiteurs et qui collectent et
enregistrent des données à caractère personnel informent les visiteurs quant aux règles d’accès et leurs droits à travers 2 étapes
incontournables :
1. Est-ce qu’un moyen de diffusion d’information est diffusé aux visiteurs ?
2. Est-ce que les organisations informent les visiteurs sur les conditions d’accès et leurs droits d’opposition et de rectification de leurs
données ?
Il s'agit principalement des informations qui permettent d'identifier soit directement, soit indirectement par recoupement d'informations, une personne.
La loi Informatique et Libertés, vise ce que l’on nomme les données à caractère personnel et les traitements de données à caractère personnel.
4 Loi 78-17 du 6-1-1978, art.32.
5 Loi 78-17 du 6-1-1978, art. 38.
2
3
Lorsque les données à caractère personnel d’un visiteur sont enregistrées, ce dernier doit
être informé de ses droits d'accès, de modification, de rectification et de suppression de
ses données conformément au droit Informatique et Libertés.
Dans chaque lieu, Olfeo a analysé d’une part si un moyen permettant une diffusion
d’information était déployé et d’autre part si le contenu du document diffusé exposait les
mentions obligatoires dictées par la Loi informatique et Libertés.
UNE COLLECTE DE DONNÉES À CARACTÈRE
PERSONNEL SOUVENT ILLÉGALE
86%
des organisations testées qui collectent et
enregistrent des informations personnelles sur les
visiteurs le font illégalement
Informations légales aux visiteurs
53%
Informations relatives à la Loi Informatique et
Libertés dans les conditions d'utilisation
100%
14%
0%
20%
des organisations testées qui diffusent une
charte auprès des visiteurs, demandent
validation de cette charte par le visiteur.
40%
60%
80%
100%
Le non-respect des obligations de la loi Informatiques et Libertés est passible de sanctions
administratives et pécuniaires. Des sanctions pénales peuvent être également prononcées
en fonction de l’obligation non-respectée.
des organisations qui ont les moyens de
respecter la protection de la vie privée de leurs
visiteurs,
puisqu’elles diffusent un document
d’information, ne mentionnent pas les informations
relatives à la loi informatique et Libertés.
67%
Diffusion de conditions d'utilisation aux visiteurs
:
35%
des administrations et
du secteur du transport
Informatique et Libertés.
65%
une
des organisations
respectent
le
droit
Les autres domaines d’activité ne respectent pas la
Loi Informatique et Libertés et peuvent être
notamment poursuivis par la CNIL.
3. FILTRAGE DES ACCÈS INTERNET : l’organisation est-elle protégée des actes illicites de ses visiteurs ?
Aujourd’hui, les organisations ont l’obligation de limiter l’accès à certains contenus reconnus illicites par le droit français. Un site peut être
reconnu illicite au regard de son contenu ou de ce qu’il commercialise. L’organisation a également l’obligation de limiter les accès auprès d’un
public mineur.
Les types de contenus reconnus illicites en France :
Type de contenu
Description
Alcool
et
Tabac
Condamnés par la Loi
Française
Vente
d'Armes
Condamnée par la Loi
Française
Atteinte Physique et Morale
Contenu faisant la promotion de l'alcool et du tabac contrevenant à l'article 2 de la loi Evin du 10 janvier 1991 et à l'article L33232 du Code de la santé publique ou proposant la vente de tabac, contrevenant à l'article 568 ter du Code général des impôts ou
la vente d’alcool contrevenant à les articles L3331-4, L3342-1 et L3342-4 du Code de la Santé Publique.
Contrefaçon
Promotion
Drogue
et
Vente
de
Jeux d'Argent et Casinos
Condamnés par la Loi
Française
Musiques, Films, Logiciels
Piratés
Peer to Peer
Contenu proposant à la vente des armes contrevenant à l'article 20 du Décret n°95-589 du 6 mai 1995 relatif à l'application du
Décret du 18 avril 1939 fixant le régime des matériels de guerre, armes et munitions.
Contenu incitant à la pratique de jeux dangereux pour les enfants, ainsi qu'à toute pratique menaçant l'intégrité physique et
mentale des personnes et messages violents lorsqu'ils sont susceptibles d'être accessibles aux mineurs contrevenant à l'article 22724 du Code pénal. Contenu portant provocation au suicide d'autrui ou faisant la publicité de moyens de se donner la mort (art
223-13 et 223-14 du Code pénal)
Contenu proposant la vente d'objets contrefaits, contrevenant aux articles L335-2 et L335-3 du Code de la propriété intellectuelle
ainsi qu'à la Loi relative à la contrefaçon du 30 octobre 2007. Contenu attestant de pratiques de piratage informatique
contrevenant aux articles 323-1 à 323-7 du Code Pénal. Cette catégorie intègre plus largement le piratage de tout outil de
technologie de communication numérique ainsi que les sites permettant de tricher aux examens.
Contenu faisant la promotion de la drogue et contrevenant notamment à l'article L3421-1 du Code de la Santé publique et à
l’article 222-37 du Code pénal. Sont notamment intégrés les sites qui expliquent comment bien faire pousser des plantations ou
acheter du matériel pour la culture et la consommation. Les associations d’aide aux toxicomanes sont intégrées dans la
catégorie « Santé ».
Contenu proposant des jeux d’argent de type casino ou loterie enfreignant l'article 56 de la Loi du 12 mai 2010 (sites non labellisés
par l’ARJEL).
Contenus piratés et liens de téléchargement de contenu piraté contrevenant notamment à l’article L122-4 du Code de la
propriété intellectuelle.
Contenu de logiciels Peer to Peer et serveurs associés proposant des liens pour fichier et logiciels piratés qui enfreignent
Pornographie Condamnée
par la Loi Française
Racisme,
Discrimination,
Révisionnisme
Terrorisme, Incitation à la
Violence,
Explosifs
et
Poisons
Vente de Médicaments
Condamnée par la Loi
Française
notamment l'article L122-4 du Code de la propriété intellectuelle.
Contenu pédopornographique contrevenant aux articles 227-22, 23, 24 du Code pénal. Contenu faisant la promotion de la
prostitution et des escortes contrevenant notamment aux articles 225-4 et 225-10-1 du Code pénal.
Contenu portant provocation ou incitation à des crimes, délits, haine ou violence à l'égard de personnes en raison de leur origine
ou de leur appartenance à une ethnie, une nation, une race ou une religion, injure et diffamation raciale, contenus contestant
ou faisant l'apologie des crimes de guerre, des crimes contre l'humanité (Articles 23, 24, 24 bis, 32 et 33 de la loi du 29 juillet 1881).
Contenu faisant la promotion du terrorisme ou de la violence (art 421-1 à 422-7 du Code pénal). Cette catégorie inclut les
contenus expliquant la création d'explosifs, poisons, ...
Contenu proposant la vente de médicaments contrevenant au Code de la santé publique, notamment aux articles L4211-1et
L5125 -20.
Les types de contenus illicites spécifiquement auprès des populations mineures :
Alcool et Tabac
Armes, Chasse, Équipement
de Sécurité
Contenu
Agressif,
de
Mauvais Goût
Jeux
d'Argent,
Micro
Paiement, Loteries
Sexe, Pornographie
Contenu présentant de l'alcool et/ou du tabac respectant strictement le cadre de la loi Evin du 10 janvier 1991, le code de la
Santé Publique (article L3323, 3511-1, ...)
Contenu traitant d'activités impliquant des armes, chasse, clubs de tirs... Cette catégorie inclut également les sites présentant des
armes inscrites dans le cadre d'un usage légal et contrôlé à destination professionnelle (agents de sécurité, ...).
Contenu présentant des sujets et des images agressives ou d'un goût douteux.
Sites de jeux d'argent et de hasard en ligne régulés par les lois du 21 mai 1836 (Prohibition des loteries), du 2 juin 1891 (les paris sur
les courses de chevaux, du 12 juillet 1983 (prohibition des jeux de hasard dans une maison de jeu ou sur la voie publique) et
complétées par la loi n°2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux
d'argent et de hasard en ligne (L'ARJEL : l'Autorité de Régulation des Jeux En Ligne).
Contenu pornographique et érotique. Les sites incluant un nombre de liens publicitaires pornographiques significatifs sont aussi
classés dans cette catégorie
De nombreuses lois encadrent aujourd’hui l’usage d’Internet en France et plus
spécifiquement l’usage illicite d’Internet.
FILTRAGE DES CONTENUS ILLICITES : LE PORNO ET
Filtrage et contenus illicites :
Afin de contrôler si les accès aux contenus illicites sont bloqués ou autorisés, Olfeo a testé 10
sites plus ou moins connus par type de contenus illicites.
LA DROGUE EN TÊTE DES CONTENUS LES PLUS
BLOQUÉS
Parmi l’ensemble des organisations testées, Olfeo s’est d’abord intéressé à la proportion
d’entités qui bloquent l’accès à au moins un site par type de contenus illicites :
En moyenne 48% des organisations ont déployé un
système de filtrage afin de bloquer l’accès à au
moins un type de contenu illicite.
Proportion des organisations testées qui filtrent
les accès par type de contenus
Dans
9% des organisations les sites de
pédopornographies sont bloqués. Les organisations
bloquent plus la pornographie, uniquement illicite
auprès d’un public mineur que la pédopornographie.
Types de contenus illicites en France
Protection des mineurs : Sexe, Pornographie
48%
Vente de Médicaments Condamnée par la Loi…
6%
Terrorisme, Incitation à la Violence, Explosifs et…
6%
Racisme, Discrimination, Révisionnisme
Les sites faisant la promotion ou proposant de la
vente d’alcool et de tabac ne sont jamais bloqués.
6%
Pornographie Condamnée par la Loi Française
9%
Peer to Peer
3%
Musiques, Films, Logiciels Piratés
3%
Jeux d'Argent et Casinos Condamnés par la Loi…
Top 3 des contenus les plus bloqués :
Promotion et Vente de Drogue
45%
Contrefaçon
3%
15%
Vente d'Armes Condamnée par la Loi Française
Alcool et Tabac Condamnés par la Loi Française
1. La pornographie (qui rappelons-le n’est
illicite que pour les mineurs)
2. Promotion et vente de drogue
3. Atteinte physique et morale
6%
6%
0%
0%
20%
40%
60%
80%
100%
Puis, parmi les organisations testées qui filtrent les contenus, Olfeo a mesuré sur les 10 sites
testés, combien étaient bloqués. Naturellement les contenus liés à l’alcool et le tabac ne
sont pas analysés ici puisqu’aucune organisation ne bloque ce type de contenus.
Seulement
bloqués.
75%
Vente de Médicaments Condamnée par la…
15% des sites de pédopornographie sont
Top 3 des contenus les mieux bloqués :
7%
Terrorisme, Incitation à la Violence,…
1. La pornographie
2. Les jeux d’argent
3. Les sites liés à la drogue
36%
Racisme, Discrimination, Révisionnisme
22%
Pornographie Condamnée par la Loi Française
DE MAUVAISE QUALITÉ
En moyenne 6 sites testés sur 10 sont
accessibles lorsqu’un filtrage est mis en œuvre.
Proportion des sites testés bloqués lorsqu'un
filtrage est mis en oeuvre
Protection des mineurs : Sexe, Pornographie
FILTRAGE DES CONTENUS ILLICITES : UN BLOCAGE
15%
Peer to Peer
53%
Musiques, Films, Logiciels Piratés
45%
Jeux d'Argent et Casinos Condamnés par la…
8% des organisations mettent en place des filtres et
72%
Promotion et Vente de Drogue
62%
Contrefaçon
18%
57%
Vente d'Armes Condamnée par la Loi…
0%
25%
20%
40%
60%
80%
100%
au regard de la très faible qualité de blocage
constatée, le filtrage s’avère inefficace. Bloquer 75 %
des sites pornos revient dans les faits à laisser
accessible cette catégorie car il sera très facile
d’accéder au 25 % de sites non reconnus. Les
solutions utilisées sont très souvent des listes noires
gratuites objectivement insuffisantes. Ce problème
s’aggrave sur les catégories beaucoup plus difficiles
comme la pédopornographie ou la contrefaçon
pour lesquelles les listes gratuites sont inopérantes.
Aujourd’hui, le choix d’une solution de filtrage
repose sur 3 critères : des catégories reprenant
l’intégralité des types de contenus illicites en France,
une qualité de classement, autrement dit un
classement des sites dans les bonnes catégories au
regard de la loi et de la culture des utilisateurs et un
taux de reconnaissance des sites élevé.
Enfin, Olfeo a analysé la proportion des sites illicites bloqués par domaine d’activité :
Proportion de contenus illicites bloqués par
domaine d'activité
Transport
FILTRAGE DES CONTENUS ILLICITES PAR DOMAINE
D’ACTIVITÉ : AUCUN DOMAINE TESTÉ EN PARFAITE
CONFORMITÉ
5%
Musée
26%
Magasin / Centre commercial
77%
9%
Espace public : Parc et jardin place
0%
0%
Tourisme : hotel et centre de vacances
des domaines d’activité testés ont mis en
œuvre un moyen de filtrage puisque l’accès à
certains types de contenus est limité
Aucun domaine ne limite l’accès à tous les types de
contenus reconnus illicites en France
5%
Bibliothèque Médiathèque
!
8%
Bar - café - restauration rapide
55%
17%
Administration
uniquement la pornographie et les sites faisant la
promotion et de la vente de drogues
38%
0%
20%
40%
des domaines d’activité testés bloquent
60%
80%
100%
Top 3 des domaines d’activité qui bloquent le
plus les accès à du contenu illicite :
1. Administration
2. Musée
3. Bar café et restauration
Les domaines d’activités testés qui n’ont
déployé aucun moyen de filtrage :


Les espaces publics
Les centres de conférence
Le cas particulier de la protection des mineurs
Il existe plus spécifiquement des lois en matière de protection des mineurs. Une organisation
mettant à disposition du public son accès Internet doit veiller à ce que les mineurs n’aient
pas accès aux contenus violents, pornographiques, aux jeux d’argents ou encore aux sites
faisant la promotion ou proposant à la vente d’alcool et de tabac…
Olfeo a tout d’abord vérifié si les organisations testées étaient en mesure d’identifier un
public mineur afin bloquer les accès spécifiquement interdits à ces populations comme
l’exige la loi. Puis Olfeo a testé deux sites distincts propres à chaque type de contenus lié à
la protection des mineurs.
ACCÈS WI-FI VISITEUR ET PROTECTION DES
MINEURS : UN CONTRÔLE QUASI INEXISTANT
97% des organisations testées ne s’assurent pas de
l’âge de ses visiteurs et ne sont donc pas en mesure
de répondre favorablement aux obligations liées à la
protection des mineurs en termes d’accès Internet
Les 3% d’organisations testées qui contrôlent l’âge de
Proportion des organisations mettant en
oeuvre un moyen d’identifier un public mineur
leurs visiteurs bloquent
70% des types de
contenus
interdits à ces populations.
Dans l’ensemble des organisations testées :
3%
-
0%
des organisations testées bloquent les
contenus liés à l’alcool et le tabac
-
6%
contenus sur les armes
Contôle de l'age du visiteur
-
Aucun contrôle
6%
jeux d’argent en ligne
-
15%
contenus agressifs
97%
-
48%
contenus pornographiques
C. CONCLUSION : DES MOYENS SOUVENT INSUFFISANTS OU MAL DÉPLOYÉS
Les résultats de cette étude démontrent que bien souvent les moyens pour identifier, informer et filtrer sont mis en œuvre mais ne sont pas
exhaustifs.
MOYENS À METTRE EN ŒUVRE :
IDENTIFICATION et CONSERVATION DES DONNÉES
42%
des organisations ont déployé un moyen permettant
d’être en conformité mais seulement
6%
d’entre-elles sont en
mesure de respecter parfaitement l’obligation d’authentifier et
de conserver les logs de connexion internet de leur visiteur.
INFORMATION
67%
des organisations diffusent des conditions générales
d’utilisation auprès de leurs visiteurs mais seulement
14%
d’entre elles mentionnent les dispositions imposés par la loi
informatiques et Libertés.
Mettre en œuvre un moyen technique : formulaire en ligne
ou outil de gestion des accès visiteurs à disposition d’une
personne à l’accueil permettant :
- d’enregistrer des données relatives à l’identité d’un
visiteur et de générer des identifiants uniques
attachés à ces données
- de transmettre ces identifiants par mail ou par SMS
au visiteur
- de conserver les données de connexion
nominatives de chaque visiteur
Avoir les moyens de diffuser et de faire valider à chaque
visiteur ce que l’on appelle communément une charte WiFI présentant les conditions d’utilisation ainsi que les
mentions imposées par la loi informatiques et Libertés.
FILTRAGE
48% des organisations limitent certains accès Internet et sont
donc en mesure de filtrer mais 100% d’entre elles ne filtrent
pas l’ensemble des contenus reconnus illicites en France.
Mettre en œuvre un moyen de filtrage conforme à la
législation française et différent selon un profil visiteur
mineur ou majeur.
À propos d’Olfeo
Olfeo, éditeur français d’une solution de proxy et de filtrage de contenus
Internet, est une société indépendante basée à Paris.
Avec plus de 10 ans d’expertise dans le domaine de la sécurité Internet,
Olfeo développe une solution adaptée aux besoins des entreprises et
des administrations françaises grâce à une approche innovante basée
sur la proximité culturelle.
Olfeo garantit ainsi à ses clients une protection juridique optimale, une
qualité de filtrage inégalée, une haute sécurité du système d’information
et l’association des utilisateurs à la politique de sécurité de l’entreprise.
La solution Olfeo permet aux entreprises et administrations de maîtriser
les accès Internet de leurs utilisateurs internes et de leurs visiteurs, grâce
à 5 produits complémentaires : le Proxy cache QoS, le Filtrage d’URL, le
Filtrage protocolaire, l’Antivirus de flux et le Portail public.
Cette stratégie d’innovation est aujourd’hui plébiscitée par plus de 1500
clients représentant plus de 2 millions d’utilisateurs.
Olfeo : www.olfeo.com

Télécharger l`étude

Transcription

Documents pareils

La charte accueil de l`office de tourisme

Peut-on légalement demander une pièce d\`identité

CENTRE SPATIAL DE TOULOUSE Demande d`accès pour Visiteurs

Fiche professeur visiteur Fiche de visite du professeur responsable

Gestion des accès et accueil des visiteurs sur le site de Bagneux

Consignes à respecter par visiteurs

Visite médicale Changement de profil

Réglement en PDF - Musée de la Ville de Bruxelles