Ce que vous devez savoir sur la nouvelle loi chinoise relative a la cyber-securite

by Lauren Grest on June 16, 2017 in actualites juridiques with Comments Off on Ce que vous devez savoir sur la nouvelle loi chinoise relative a la cyber-securite

Drapeau Chine

En ce mois de juin 2017, la République Populaire de Chine a mis en place sa loi controversée en matière de cyber-sécurité. Le Gouvernement s’implique davantage en ce qui concerne la protection des données et le renforcement de la législation.

Contrairement au Japon qui se focalise sur la protection des données, la Chine s’intéresse plus particulièrement aux opérateurs réseaux qui ont à gérer des données.

Ci-dessous, voici quelques idées-clés de cette nouvelle législation.

1. Les données stockées sur le territoire : La loi insiste sur le fait que les « informations personnelles » et les « données importantes » des citoyens chinois doivent être stockées sur des serveurs au sein des frontières du pays. Toute entreprise qui réclame une dérogation pour raison dite «vraiment nécessaire» doit se soumettre à une évaluation de sécurité avant que les informations en question ne puissent être communiquées.

2. La loi s’applique aux produits réseaux et aux prestataires de services : La majorité des dispositions de la nouvelle loi s’applique aux «opérateurs d’infrastructures critiques » qui possèdent des données essentielles à la sécurité du pays. Les secteurs principalement visés par ce changement sont la finance, le transport, la santé, les services publics et les télécommunications.

3. Des dispositions plus fortes concernant la protection des données: Compléter les directives existantes sur la protection des données personnelles en Chine, obtenir l’accord des clients avant que les opérateurs réseaux puissent collecter et divulguer leurs informations personnelles, préciser la raison de la divulgation en question, ainsi que de prendre des mesures pour assurer la sécurité des informations personnelles font partie des nouvelles dispositions.

4. Examens de sécurité: Tous les fournisseurs de réseau doivent passer un «examen sécurité réseau ». Cela inclut des exigences spécifiques que les opérateurs réseaux doivent respecter lorsque ceux-ci acquièrent de nouveaux systèmes réseau.

5. Des conséquences importantes en cas de non-conformité: Alors que les pénalités encourues sont actuellement inconnues, l’annulation d’une licence commerciale fait partie des pénalités déjà appliquées à ce jour par la législation. De plus, la nouvelle loi exige que les « opérateurs d’infrastructures critiques » mettent en place des procédures de signalement en cas de violation, ce qui laisse entendre que la Chine prend ceci très au sérieux.

Alors que les professionnels juridiques et de technologies des cabinets d’avocats et des entreprises se préparent aux conséquences induites par la directive européenne RGPD, il est nécessaire de ne pas ignorer les changements importants qui se produisent actuellement en Asie.

Mais surtout, demander conseil localement, avoir des experts dans les pays qui vous aident à collecter, héberger et transporter des données dans le cadre d’investigations, de contentieux ou d’affaire réglementaires est capital.

Request for information – Les autorités de concurrence poussent-elles le bouchon un peu trop loin ?

by Thomas Sely on March 10, 2016 in Concurrence with Comments Off on Request for information – Les autorités de concurrence poussent-elles le bouchon un peu trop loin ?

Pour mener leurs enquêtes, les autorités de concurrence disposent de moyens variés parmi lesquels les demandes de renseignements (« RFI »). Intéressons-nous plus particulièrement ici à l’impact de ces demandes en terme technique et logistique. Les questions peuvent porter sur des chiffres et des éléments de marché mais certaines RFI peuvent couvrir un champ bien plus large et nécessiter la communication de certains documents, y compris sous format électronique, en possession de l’entreprise visée. Pourront, par exemple, être demandés tous les documents internes, emails compris, portant sur tels ou tels sujets ou mots-clés et couvrant une période de plusieurs années.

En pratique, une telle demande peut s’apparenter à un véritable exercice de discovery à l’américaine obligeant l’entreprise et ses conseils à identifier, collecter, trier et revoir un volume important de données afin d’en écarter certaines (échanges couverts par la confidentialité avocats-clients notamment) et identifier les pièces pertinentes à produire. Une gestion artisanale est devenue difficilement tenable compte tenu des volumes de données en jeu et des délais à respecter. Il n’est donc pas étonnant de voir les méthodologies et les technologies issues de l’e-discovery appelées à la rescousse pour répondre aux RFI les plus massives.

Un workshop a été organisé par la revue Concurrences le 4 février dernier sur ce sujet. Nous avons pu contribuer aux discussions en apportant notre vision technique. La synthèse des débats ainsi que les présentations complètes sont disponibles sur le site internet de Concurrences.

Comment répondre de manière plus efficace à une RFI massive ?

Une RFI massive peut être assez déstabilisante pour une entreprise qui devra mettre en branle des ressources importantes, tant en interne qu’en externe, pour rassembler les informations pertinentes, s’assurer qu’elles soient exactes, complètes et les communiquer dans le format requis et dans les délais impartis sous peine de sanction. Mieux vaut alors être bien organisé si l’on souhaite éviter d’y passer trop de temps et limiter les coûts directs et indirects.

Une des clés consiste à gérer cette logistique afférente aux données électroniques selon l’Electronic Discovery Reference Model (EDRM) qui modélise les différentes étapes d’une procédure d’e-discovery, ceci afin de permettre aux équipes juridiques internes et externes de se concentrer sur les aspects purement juridiques de la situation. L’intervention d’un prestataire technique spécialisé dans l’e-discovery pour se charger de la gestion des données électroniques permettra alors à chacun de se recentrer sur sa valeur ajoutée.

 

  • La 1ère phase de la réponse consiste à identifier en interne les sources susceptibles de contenir les données concernées (messageries électroniques, répertoires réseau ou stockés en local sur un ordinateur, logiciels divers utilisés au sein de l’entreprise).
  • Les données identifiées doivent ensuite être copiées hors de leur support. Ces opérations peuvent être réalisées par les équipes IT internes ou par un prestataire spécialisé, notamment s’il est nécessaire d’adopter une démarche forensic (respect de l’intégrité des données et maintien d’une certaine traçabilité).
  • Les données pourront être confiées à un spécialiste de l’e-discovery qui saura les traiter, les préparer et les charger sur une plateforme de revue de documents en ligne, sorte de data room collaborative dotées de fonctionnalités spécifiques permettant aux données d’être plus facilement analysées, recherchées et triées par les équipes juridiques (internes et/ou externes) au regard de l’objet de l’enquête et des risques que pourrait représenter la communication de tel ou tel document à l’autorité.
  • Les documents concernés seront exportés hors de la plateforme et communiqués à l’autorité dans le format convenu.

Peut-on anticiper et mieux se préparer à répondre aux RFI ?

Si l’on s’en réfère à l’EDRM ci-dessus, une bonne gouvernance de l’information est une étape préliminaire indispensable pour pouvoir répondre à une RFI, ou toute autre situation apparentée à une discovery, de manière plus efficiente. Si la plupart des aspects couverts par la gouvernance de l’information relève plutôt du bon sens, voici quelques conseils pratiques qui pourront servir de base de réflexion pour les juristes, leurs collègues internes (service informatique et autres) et leurs conseils externes :

  • Réaliser un data mapping (Quelles données ? Où sont-elles stockées ? Qui a accès ?) et le garder à jour, notamment suite à une opération de fusion/acquisition.
  • Adapter sa politique de rétention de données à ses enjeux réglementaires.
  • Lors des départs de salariés, s’assurer que leurs données pourront être facilement et légalement accessibles en cas de besoin ultérieur.
  • Rédiger un plan de réponse (étapes, délais, personnes/prestataires impliqués, circuit de validation, …). Une telle approche documentée permettra de se justifier auprès des autorités si besoin.
  • Organiser ses archives en permettant une identification et une restauration rapide des données (notamment pour les bandes de sauvegarde magnétique).

 

Saisies informatiques & e-Discovery : quoi de neuf ?

by Amélie Bourdrel on July 8, 2015 in les meilleures pratiques with Comments Off on Saisies informatiques & e-Discovery : quoi de neuf ?

Jeudi 2 juillet, Paris, autour d’un buffet, commençait le séminaire organisé par la revue Concurrences en partenariat avec le cabinet DLA Piper et l’entreprise Kroll Ontrack.

La salle remplie d’avocats et de directeurs juridiques était impatiente et attendait beaucoup de ce rendez-vous, et surtout de l’intervention des représentants de l’Autorité de la Concurrence et de la DGCCRF qui allaient annoncer pour la première fois leur nouvelle procédure en matière d’opération de visite et de saisie pour les documents et supports d’information numériques.

Jusqu’à présent, l’approche des autorités était contestée par les entreprises et leurs avocats car elle ne permettait pas une protection suffisante des documents relevant de secret des correspondances entre avocat-client. En effet, les saisies informatiques (notamment celles des boîtes de messagerie) étaient relativement globales et les éventuels échanges confidentiels étaient restitués a posteriori, après être passés entre les mains (et sous les yeux ?) des enquêteurs.

Dorénavant, la nouvelle procédure met en place une protection renforcée des documents relevant du secret des correspondances entre avocat-client, en prévoyant un scellé provisoire. Une liste des fichiers saisis est alors laissée à l’entreprise qui a quinze jours pour identifier les échanges confidentiels qu’elle souhaite voir retirer du scellé.

 

Sur le papier, cette procédure semble répondre aux attentes des entreprises et de leurs avocats. Toutefois dans la pratique, les experts de Kroll Ontrack ont déjà pu noter quelques difficultés d’ordre pratique, sur la base de leur expérience.

En effet, aucune copie du scellé provisoire n’est communiquée immédiatement à l’entreprise. Conséquence : une fois que l’Autorité a terminé son intervention, c’est à l’entreprise elle-même de copier les données afin de pouvoir identifier les pièces pertinentes qui seront ultérieurement communiquées à l’Autorité. C’est d’abord une perte de temps mais surtout un inconvénient dans la mesure où la base de travail ne sera pas la même pour les enquêteurs et l’entreprise. Pourquoi ? Toute utilisation d’un ordinateur modifie potentiellement les métadonnées des fichiers et de la boîte de messagerie. Il peut être alors compliqué de retrouver à l’identique les fichiers désignés dans la liste du scellé provisoire communiqué par l’Autorité.

Il a donc été suggéré qu’une copie du scellé soit fournie dans la foulée à l’entreprise et que le délai de quinze jours puisse être prolongé en fonction du volume des données saisies.

Pour les entreprises, il est plus que nécessaire qu’elles intègrent ces changements dans leur plan de réponse aux saisies informatiques et qu’elles se fassent assister par des spécialistes en e-Discovery afin de répondre aux problématiques de volume et de délai.

La nouvelle procédure semble être une avancée appréciable : il ne reste plus qu’à voir ce que la pratique révèlera…

 

Intervenants :

  • Autorité de la concurrence : Virginie BEAUMEUNIER et Catherine GONZALEZ, Rapporteure générale et Chef du service investigations
  • DGCCRF : André MARIE, Sous-Directeur adjoint et Chef du bureau Politique de la concurrence
  • DLA Piper : Marie HINDRE, Avocate associée
  • Kroll Ontrack : Thomas SELY, Consultant e-Discovery et Emmanuel LAURENTIN, Directeur du laboratoire forensic et Expert judiciaire de KROLL ONTRACK

 

Lien vers les présentations :

http://www.concurrences.com/Photos/saisies-informatiques/

E-discovery : Les pièges à éviter.

by Pearl Mendes on February 23, 2015 in Uncategorized with No comments
ediscovery

Si vous envisagez de vous marier, d’acheter une maison ou d‘entreprendre quoique ce soit pour lequel vous êtes peu ou pas expérimenté, il est préférable de consulter des personnes qui sont déjà passées par là et qui peuvent partager avec vous leur expérience. De la même manière, nous nous adressons à des experts lorsque nous avons besoin de conseils juridiques ou professionnels. Lorsqu’il s’agit du E-discovery, la discussion avec des experts techniques apporte de nombreux avantages.

Lorsque j’ai rejoint Kroll Ontrack en qualité de stagiaire il y a trois semaines, ma connaissance du E-discovery était limitée. Désirant en apprendre autant que possible, j’ai pensé qu’il serait utile de demander aux experts autour de moi à Kroll Ontrack des conseils sur les meilleures pratiques en matière de E-discovery et comment d’éviter les erreurs. Voici donc leurs conseils techniques pour gérer efficacement les projets de E-discovery. Dans ce premier billet, je mets l’accent sur ce qu’il ne faut pas faire. Dans un prochain billet, je proposerai quelques meilleures pratiques supplémentaires.

Chercher à l’aveugle

Ne sous-estimez pas l’importance d’un examen attentif qui vise à déterminer quelles sont les détenteurs d’information et les sources de données que vous allez pouvoir collecter et traiter. Les entreprises qui ont pour vocation de gérer les processus de E-Discovery, peuvent proposer des services et des technologies remarquables pour réduire la quantité de données à examiner (par exemple, en fournissant des services d’évaluation préliminaire des données ou en utilisant des filtres par mots-clés). Ils peuvent également optimiser le processus de revue (avec des technologies de codage prédictif, par exemple), MAIS il est très probable que plus vous collecterez de données, plus vous aurez de documents à revoir. Vous devez donc procéder à des sélections minutieuses en fonction des éléments dont vous avez besoin pour gérer votre dossier et veillez à divulguer les informations qui sont absolument nécessaires, tout en gardant à l’esprit le budget que vous allez consacrer à cette opération.

Réduire les coûts de la collecte de données

Tout en réfléchissant bien au processus de collecte des données, vous devez également être le plus exhaustif possible lors de cette opération et éviter la tentation d’exclure des détenteurs d’information simplement par souci d’économie. Il peut être onéreux et chronophage de revenir en arrière pour collecter des données qui seront requises plus tard.

S’efforcer de limiter à tout prix les documents à revoir

Lorsque vous vous préparez à traiter d’importants volumes de données issues de multiples détenteurs d‘information, vous pouvez être tenté de choisir la déduplication globale plutôt que la déduplication de détenteurs, simplement parce qu’elle produit généralement moins de documents à revoir.

Le choix de la déduplication globale signifie que les séries de données de certains détenteurs d’information seront incomplets. En effet, les doublons sont retirés d’un ensemble données d’un détenteur d’informations parce qu’ils apparaissent déjà ailleurs.

Il est donc important de choisir l’approche appropriée en fonction des besoins du dossier et des impératifs de production envisagés, et pas simplement parce que l’on souhaite limiter l’ensemble de documents à revoir à une taille minimale.

S’appuyer sur des hypothèses

Évitez tout malentendu ! On ne sait que ce que l’on nous dit, alors ne prenez pas de raccourcis. Les avocats ou les entreprises qui ont recours à un expert externe doivent veiller à lui communiquer tous les détails nécessaires de l’affaire (échéances, étapes de la procédure, faits et problématiques clés, types de données/documents importants, enjeux financiers ou autres) dès qu’ils en ont connaissance.

De même, les experts doivent clarifier les hypothèses utilisées pour évaluer les volumes de données et le coût de traitement. Personne ne doit sous-estimer ou surestimer les attentes relatives aux volumes de données et au coût. Travaillez autant que possible avec des métrologies réelles extraites des données proprement dites.

Compliquer à outrance le processus de revue

Lorsque vous concevez votre processus de revue de documents, simplifiez autant que possible votre arborescence des catégories (la liste des sujets ou questions qui peuvent être associés à un document donné). Cela aura directement un impact sur la réussite, la rapidité et la qualité de la revue.

Baliser des familles de documents entières de la même manière

Lorsque vous classez des familles de documents, il peut paraître sensé de classer tous les membres de la famille de la même manière. Si un message électronique est pertinent, la logique veut que toutes ses pièces jointes soient également pertinentes, non ? C’est faux. Il y a des chances pour que seuls certains membres de la famille aient un contenu pertinent et qui peut d’ailleurs n’être pertinent que pour un sujet donné. Lorsque vous balisez tous les membres de la même famille de la même manière, vous perdez en clarté quant au contenu de chaque document individuel. Il devient alors difficile de rassembler précisément les documents relatifs à un sujet spécifique sans passer de nouveau en revue les documents.

Je ne pense pas que le e-discovery soit facile, mais en avec l’aide appropriée, vous pourrez échapper avec plus de facilité à ses complexités ! À l’instar de la plupart des relations, le succès d’un projet d’e-discovery et d’une affaire dans son ensemble, tient à une bonne communication et une totale confiance entre toutes les parties concernées.

L’ediscovery se met à l’heure française

by Thomas Sely on September 8, 2014 in Uncategorized with No comments

Vous vous demandez peut-être pourquoi nous lançons en cette rentrée une version française de notre nouveau site internet www.ediscovery.com/fr et de notre blog www.ediscoveryblog.fr? En fait, ce n’est pas seulement la France qui fait l’objet d’attention particulière mais également l’Allemagne et les Pays-Bas qui eux-aussi ont droit à leurs sites dédiés.

L’ediscovery se met à l’heure de l’Europe continentale ! Etonnant ?
Oui, si l’on considère les origines américaines de l’ediscovery, procédure désignant l’échange de pièces documentaires (sous format électronique d’où le « e » devant « discovery ») entre les parties à un litige aux Etats-Unis.
Non, si l’on est conscient de la réalité du monde économique dans lequel les entreprises évoluent aujourd’hui où la globalisation et les rapports de force sont la règle. Il n’est pas rare de voir des entreprises européennes impliquées dans des litiges multi-juridictionnels dans lesquels une procédure de discovery ou une logique similaire s’applique. De plus, les régulateurs du monde entier, les autorités américaines en tête, n’ont jamais été aussi actifs à traquer les infractions à leurs lois anti-corruption, antitrust, fiscales et exportation, sans se limiter à leurs frontières nationales. Ce n’est pas le tableau de chasse du DoJ (Departement of Justice) et de la SEC (Securities and Exchange Commission) qui démontrera le contraire : les entreprises françaises et allemandes y figurent en très bonne place.

De manière plus générale, l’explosion des données électroniques dans les entreprises a rendu les méthodes et les outils issus de l’ediscovery indispensables si l’on souhaite pouvoir identifier, collecter, rechercher et exploiter de manière efficace des documents électroniques (emails principalement mais pas seulement) afin de répondre aux injonctions légales et réglementaires ou même détecter en interne de manière plus proactive un quelconque risque. Et cela est aussi vrai aux Etats-Unis qu’en Europe, pour les grandes entreprises comme les plus petites.

Pour revenir à la France, s’il restait encore des entreprises et des avocats qui pensaient que l’ediscovery n’avait pas d’application en France, le récent exemple de « BNP » a pu avoir l’effet d’une bombe. Le réveil peut s’avérer douloureux (sans parler de l’addition) pour ceux et celles qui ne se sont jamais intéressés à leurs données électroniques et plus exactement à comment ils réagiraient s’ils devaient rechercher et analyser des millions d’emails et de documents dans un délai plus que serré.

Comme dans les autres aspects de notre vie quotidienne, les nouvelles technologies peuvent nous aider à faire mieux, plus vite et moins cher, à condition de savoir qu’elles existent et de les maîtriser.
Dans ce nouveau site internet et ce nouveau blog, les équipes de Kroll Ontrack mettront l’ediscovery à nu: méthodes, technologies, application, coût, particularités liées à la réglementation française. Nous espérons que ces sources d’information contribueront à donner aux entreprises françaises et à leurs conseils des clés pour mieux s’approprier l’ediscovery afin d’en faire une source de gain d’efficacité et d’économie.

Blog Tout sur l’ediscovery.

by Thomas Cavro Dupont on August 14, 2014 in Uncategorized with No comments

Nous sommes fiers de vous présenter notre nouveau site français – www.ediscovery.com/fr.

Ceci est un espace pour s’informer sur “tout sur Kroll Ontrack”, ainsi que sur “tout sur l’ediscovery”. Vous aurez donc l’opportunité de tout savoir sur nos services de conseils, événements, professionnels, bureaux européens ainsi que sur nos produits (y compris notre service d’ediscovery sur site Onsite.  Vous serez également en mesure de vous tenir informé des derniers développements dans le domaine de l’ediscovery grâce aux dernières informations publiées par nos experts à travers nos Twitterati, articles récents, blogs, jurisprudence et autres lois et règlementations portant sur l’ediscovery.

Nous espérons vivement que ce site web deviendra pour vous une source riche d’informations concernant l’ediscovery en France ainsi qu’en Europe.