Appel à 10:59, durée de 17 minutes.
Point de contact officier de sécurité:
+32 2 226 87 04
Résumé des déclarations de l'officier de sécurité :
-
L'officier de sécurité a regardé le site web et le dossier avant d'appeler.
-
Comme expliqué hier avec la collaboratrice Sabrina Panzone, le CCJ on n'y coupe pas. On doit pouvoir répondre 24h/7j et, dans le cadre des petits opérateurs, c'est l'IBPT elle-même qui joue le rôle d'officier de sécurité. Il rappelle que le CCJ est juste une interface de communication entre le système judiciaire et les opérateurs, rien de plus.
-
Nouvelle information : La cellule CCJ peut être assurée par un tiers qui peut-être une entreprise externe/prestataire technique. Parfois, des petits opérateurs qui achètent de la numérotation chez un autre opérateur plus gros, s'arragent avec ce dernier pour que ce soit ce dernier qui assure le rôle de CCJ.
-
Heureusement, parmi les services qu'on propose, on ne fournit pas de téléphonie mobile. Ce service est en effet soumis à des lois spécifiques, et c'est une autre paire de manche de les implémenter.
-
Ici, comme nous assurons uniquement de la connectivité IP via VPN, il nous est toutefois demandé d'assurer une certaine tracabilité.
- Le fait que nous donnions un accès VPN à chacun de nos membres sans aucun mécanisme de vérification est un problème. Est considéré comme membre toute personne donnant un pris libre à l'association et montrant son intérêt de participer. Nous ne pouvons pas nous baser sur le bon vouloir des personnes de dire qui elles sont. Une simple checkbox "[x] Je certifie être la personne que je prétends être" sur un formulaire lors de l'inscription n'est pas valable, car il ne démontre pas de notre volonté d'assurer un mécanisme de contrôle. Il n'est pas nécessaire de demander la carte d'identité (se poserait alors la question de la gestion de ce genre de données vis-à-vis du RGPD). Un simple SMS de confirmation est suffisant. La loi ne décrit pas de mécanisme formel pour identifier quelqu'un.
- Avoir un identifiant VPN par membre
- Nous NE devons PAS casser la couche HTTPS/TLS du traffic passant par le VPN. Ca serait même illégal si on le faisait.
- On doit simplement conserver l'adresse IP source de la personne qui se connecte (elle devrait déjà être dans les logs). La durée légale de conservation est en pleine révision suite à mise en conformité RGPD demandée par l'Europe. La précédente durée était d'un an, mais la révision souhaiterait diminuer ce délai (certainement entre 6 mois et un an).
-
La ligne téléphonique pour les sans papiers (https://neutrinet.be/fr/sans-papiers) est en pleine zone grise.
- Sur le fond, c'est Neutrinet qui assure la responsabilité du numéro
- La situation législative va elle aussi évoluer. Il n'est pas nécessaire de placer un cahier à côté du combiné demandant l'identité de la personne qui utilise le combiné.
- Cette situation rappelle l'idée du Wi-Fi public qu'on avait, la législation n'est pas claire non plus à ce sujet : elle parle d'adresse MAC à conserver, mais en pratique c'est difficile (MAC qui change sur les iPhones et Android récénts)
- Cette question de ligne fixe n'est mentionnée nulle part dans la législation. Si cette ligne est employée par l'association qui aide directement les réfugiés, ça pourrait dimunuer notre risque d'exposition en terme de responsabilité, vu que les aociations de ce genre disposent de régimes particuliers.