Hello, L'interception SSL n'est pas illégale dès lors que les employés sont informés de l'existence du dispositif, et ce préalablement à sa mise en place, et que certaines mesures sont prises. En 2015, la CNIL s'était montrée favorable au dispositif mais sous certaines conditions (cf. article NextINpact <https://www.nextinpact.com/news/93673-la-cnil-favorable-a-l-analyse-flux-https-sous-conditions.htm> )
L'information faite aux utilisateurs doit être claire, accessible (de préférence, annexée à la charte informatique) et complète ; elle doit indiquer: - les finalités poursuivies par le dispositif ; - son fondement légal (l'intérêt légitime de l'entreprise, a priori) ; - la nature des données inspectées - les durées de conservation (live + archivage, le cas échéant) ; - la localisation du stockage/traitement (attention ,à ce que ça reste dans un pays adéquat selon RGPD) ; - l'éventuel accès par des tiers (si le proxy est infogéré par exemple) ; - les modalités d'exercice des droits d'accès (onconditionnel), de rectification, de suppression, etc. (sur motif légitime). Ne pas omettre de présenter le dispositif aux IRP de votre entreprise, qui doivent avoir été consultés au préalable. D'autre part, je dirai qu'il faut aussi s'assurer que les administrateur feront preuve d'éthique dans l'analyse des données, notamment par le biais d'un contrôle des opérations d'accès aux données (qui devront donc être tracées) et d'une charte pour les admin. C'est moins évident à faire si c'est infogéré (il faut blinder les contrats de sous-traitance de clauses ad hoc). Enfin, le dispositif doit être bien sécurisé: accès par des comptes individuels, authentification robuste, durcissement, patching régulier, protection physique and so on... L'ANSSI avait publié une note technique à ce sujet: ici <https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_TLS_NoteTech.pdf>. Nicolas Le lun. 24 juin 2019 à 16:17, Vincent Duvernet <vincent.duver...@nolme.com> a écrit : > Bonjour, > > J'ai posé la question à Sophos (car nous avons des XGxxx en production) et > que la question m'interpellait. > > Voici la réponse que j'ai obtenue : > > " Deloitte nous certifie SOC1 niveau 2" > > Bonne journée, > > Vincent > > > -----Message d'origine----- > De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de > Maxime Jouveaux > Envoyé : vendredi 25 janvier 2019 08:55 > À : frnog-m...@frnog.org > Objet : [FRnOG] [MISC] Proxy + interception SSL = RGPD? > > Bonjour la liste, > > > Petite question RGPD, je gère actuellement un proxy squid et pour > renforcer la sécurité je regardais pour faire de l'interception SSL(HTTPS). > > Actuellement, il logue tout le HTTP et que la première demande en HTTPS, > mais sans collecter de données. > > > Mais je sais que l’interception SSL (HTTPS) peut être illégale vis-à-vis > des droits et liberté de chacun, car le proxy verra toutes les informations > HTTPS en clair, ce qui représente une attaque informatique appelée « Man on > the middle ». > > Étant donné que l’accès de chaque utilisateur d’internet n’est pas limité, > il peut donc aller sur le site de sa banque ou sur un site médical et > consulter des informations personnelles durant sa pause (Autorisée par le > code du travail). > > Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair > (exemple : les codes personnels, code carte bancaire etc…). > > Ce qui est *une violation du RGPD *de l’employé. > > > > Est-ce que je me trompe? > > > Note: j'ai une charte informatique en place qui informe les employés que > j'ai un proxy. > > > Merci à vous. > > > Maxime JOUVEAUX > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
