Embed Size (px)
Citation preview
INTERRESSEZ VOUS AU DROIT AVANT QUE LE DROIT NE S’INTERRESSE A VOUS …
Eric Barbry Avocat
Directeur du pôle « Droit du numérique »
22
Introduction
• Contexte : Aspects juridiques • Enjeux : Nul n’est sensé …. • Défi : D’accord mais en pratique comment je fais • Actualités : Quand il y en a autant…
3
DSI et RSSI, une lente mutation…
1. DSI & RSSI avant 2009
2. DSI & RSSI en 2009
3. DSI & RSSI en 2010
4. Furorologie
1. DSI & RSSI avant 2009
2. DSI & RSSI en 2009
3. DSI & RSSI en 2010
4. Furorologie
4
DSI, RSSI, un seul métier, un seul salaire, plusieurs responsabilités !
7
DSI & RSSI, 2011…
OU
8
DSI et RSSI, des petits problèmes techniques à résoudre …
1. Dans l’entreprise
2. Hors de l’entreprise
3. Et ailleurs…
1. Dans l’entreprise
2. Hors de l’entreprise
3. Et ailleurs…
9
Risques techniques : Vol d’information
Vol de matériel – contenus inside
Vol de matériel – contenus inside
Key loggerKey logger
Savez vous d’où vient la clef USB
qu’on vous a donné
Savez vous d’où vient la clef USB
qu’on vous a donné
10
Connexions sauvages et
responsabilité de l’abonné
Connexions sauvages et
responsabilité de l’abonné
Interception et mouchards
Interception et mouchards
Risques techniques : nouvelles tendances
11
Dispersion de l’information
12
13
Risques d’image
14
Avec un peu d’imagination et quelques services
17
Risques juridiques : Usurpation d’identité
18
Risques juridiques : le nouveau phishing
• Touche les salariés via les systèmes d’entreprise
– Attaque ministère économie
• Se font passer pour l’entreprise elle-même
– Ex: attaque via Université
• L’entreprise peut mettre en place des solutions
– Même si elles sont faibles
• Mais elle doit réagir en bon professionnel
– Information aux salariés sur les codes d’accès
– Message d’alerte au cas par cas
• Sans aller trop loin : émettre toutes réserves !
20
Risques juridiques : gestion des droits
21
DSI & RSI, des gros problèmes juridiques à traiter
1.Un socle solide
2.2010 un Millésime
1.Un socle solide
2.2010 un Millésime
22
De la responsabilité générale…
Art 1383 Code Civil
« Chacun est responsable du dommage qu’il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence »
1384 Code Civil
« on est responsable non seulement du dommage que l’on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre (…) les maîtres et les commettants du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés »
121-2 Code pénal
« Les personnes morales, à l’exclusion de l’Etat, sont responsables pénalement (….) des infractions commises, pour leur compte, par les organes dirigeants ou représentants »
23
STADFraude
informatique1988
STADFraude
informatique1988
Loi sécurité Quotidienne (LSQ)
2001
Loi sécurité Quotidienne (LSQ)
2001
Loi sécurité Intérieure (LSI)
2003
Loi sécurité Intérieure (LSI)
2003
Informatique & Libertés II
2004
Informatique & Libertés II
2004
LCENInternet
2004
LCENInternet
2004
LSFSécurité financière
2003
LSFSécurité financière
2003
Normes et standards – ISO 27001 et s.Normes et standards – ISO 27001 et s.
B
U
D
A
P
E
S
T
B
U
D
A
P
E
S
T
20012001
SOXSociétés cotées
2002
SOXSociétés cotées
2002
Solvency II (secteur assurance)
2008
Solvency II (secteur assurance)
2008
Bale II(secteur bancaire)
2004
Bale II(secteur bancaire)
2004
Lutte contre le terrorisme
2006
Lutte contre le terrorisme
2006
Hadopi Téléchargement
2009
Hadopi Téléchargement
2009
Loi sur les jeux d’argent
2010
Loi sur les jeux d’argent
2010
U
E
U
E
Décision cadre 92/242/CEE –
Sécurité des SI
Décision cadre 92/242/CEE –
Sécurité des SI
Décision cadre 2005/222/JAI
Attaques SII
Décision cadre 2005/222/JAI
Attaques SII
Règlement
460/2004
Création ENISA
Règlement
460/2004
Création ENISA
Infrastructure
Européennes
essentielles
Infrastructure
Européennes
essentielles
Un droit particulier de la sécurité…Un droit particulier de la sécurité…
24
La sécurité est un droit fondamental
« La sécurité est un droit fondamental et l’une des conditions de l’exercice des libertés individuelles et collectives »
Article 1er de la loi n°95-73 du 24 janvier 1995 d’orientation et de programmation relative à la sécurité modifiée par la LSI (18 mars 2003) et par la loi relative à la lutte contre le terrorisme (23 janvier 2006)
« La sécurité est un droit fondamental et l’une des conditions de l’exercice des libertés individuelles et collectives »
Article 1er de la loi n°95-73 du 24 janvier 1995 d’orientation et de programmation relative à la sécurité modifiée par la LSI (18 mars 2003) et par la loi relative à la lutte contre le terrorisme (23 janvier 2006)
25
Piqure de rappel 2009 – Les 10 conseils Cnil pour sécuriser son SI
1. Adopter une politique de mot de passe rigoureuse
2. Concevoir une procédure de création et de suppression des comptes utilisateurs
3. Mettre en place le verrouillage automatique des postes
4. Identifier précisément qui peut avoir accès aux fichiers
5. Veiller à la confidentialité des données vis-à-vis des prestataires
6. Sécuriser le réseau local7. Sécuriser l’accès physique aux
locaux8. Anticiper le risque de perte ou de
divulgation des données 9. Anticiper et formaliser une
politique de sécurité du système d’information
10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi "informatique et libertés"
26
JURISPRUDENCEJURISPRUDENCELCEN
Internet 2004
LCENInternet
2004
LCEN (décret)LCEN
(décret)
INFORMATIQUE ET LIBERTES 3
INFORMATIQUE ET LIBERTES 3
CNIL 2010CNIL 2010
Bale II(secteur bancaire)
2004
Bale II(secteur bancaire)
2004
LOPPSI 2LOPPSI 2 HADOPI 3HADOPI 3 JEUX D’ARGENT 1JEUX D’ARGENT 1
2010 UN MILLESIME…2010 UN MILLESIME…
27
LOPSSILoi d’orientation et de programmation pour la performance de la sécurité intérieure
Revue de détail
• Des trous à combler• Une nouvelle infraction pénale
: usurpation d’identité• De la vidéo-surveillance à la
vidéo-protection• La perquisition numérique• … and so and so
– Intelligence économique– Distribution d’argent ;-)
Impact
• Culture de l’identité numérique
• Vérification des systèmes de vidéo
28
HADOPI… La mise en œuvre
Revue de détail
« Art. L. 336-3. – La personne titulaire de l'accès à des services de communication au public en ligne a l'obligation de veiller à ce que cet accès ne fasse pas l'objet d'une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d'œuvres ou d'objets protégés par un droit d'auteur ou par un droit voisin sans l'autorisation des titulaires des droits prévus aux livres Ier et II lorsqu'elle est requise.
Impact
• Obligation légale• Nouvelle sanction civile
– Sur l’abonné …
• L’obligation de filtrer• L’obligation de réagir
aux « notifications »
29
Loi Informatique et libertés 3.0« visant à mieux garantir le droit à la vie
privé à l’heure du numérique »
Revue de détail
• « Tout numéro identifiant le titulaire d’un accès »
– IP = données I&L• Un Cil obligatoire pour
presque tous – Autorisation 25, 26 et 27– 100 personne
• accès direct (ou)
• en charge de leur mise en œuvre
• Nouvel article 34
Impact
• Audit I&L sur les accès• Désignation d’un CIL• Implémentation de
l’article 34
30
Le nouvel article 34 est arrivé !
« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8. » - Art. 34 I&L
AVANTAVANT APRESAPRES« Le responsable du traitement met en œuvre toutes les mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entrainant accidentellement ou de manière illicite la destruction, le stockage, le traitement ou l’accès non autorisé ou illicite.
En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant "informatique et libertés" ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le responsable du traitement, avec le concours du correspondant "informatique et libertés", prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données. Le correspondant "informatique et libertés" en informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes, sauf si ce traitement a été autorisé en application de l’article 26. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant "informatique et libertés
Des décrets, (…)
31
La Cnil 2010
• Délibération 22 avril 2010 – Stop un système de vidéosurveillance
• Délibération 22 avril 2010 – Avertissement sur « commentaires »
• L’horreur des blocs notes, un risque pour tous
• Délibération 18 mars 2010 – Stop un système biométrique
• Délibération 22 avril 2010 – Stop un système de vidéosurveillance
• Délibération 22 avril 2010 – Avertissement sur « commentaires »
• L’horreur des blocs notes, un risque pour tous
• Délibération 18 mars 2010 – Stop un système biométrique
32
Jeux d’argent et ARJEL
Revue de détail
• Loi la + récente • 17 agréments• Tout le monde pense qu’il
peut jouer • … pendant la coupe du
monde ET depuis le bureau
Impact
• Obligation légale – Inaccessibilité des sites
illégaux
• Obligation élémentaire – Filtrer aussi les jeux
agréés
33
LCEN … « le retour »
Revue de détail
• Décret d’application art 6 • Données d’identification • Hébergeur et FAI• Type de données pour 1 an
Impact
• Obligation légale • Implémentation impérative • Implémentation conseillée• Si vous ne pouvez pas
identifier… ce sera vous !
34
Et c’est pas fini ;-))))
• Exemple légal : Proposition de loi tendant à faciliter l’identification des éditeurs de sites de communication en ligne et particulière les blogueurs
• Exemple jurisprudence : Que va devenir Facebook
• Exemple légal : Proposition de loi tendant à faciliter l’identification des éditeurs de sites de communication en ligne et particulière les blogueurs
• Exemple jurisprudence : Que va devenir Facebook
35
Les DSI & RSSI, eux aussi ont droit au bonheur…
1. L’entreprise responsable
2. DSI & RSSI responsables
3. Les secrets du bonheur
1. L’entreprise responsable
2. DSI & RSSI responsables
3. Les secrets du bonheur
36
Les donnes pour l’entreprise
•L’obligation de contrôler
•L’obligation de réguler
•L’obligation de sécuriser
•L’obligation de tracer
37
Qui est le responsable, non coupable !
38
Maîtriser les risques juridiques et judiciaires c’est possible …
Code métierCode métier
Tableau de bordTableau de bord
La boite à outilsLa boite à outils
39
C’est possible 1 …
Code du DSI ou du RSSICode du DSI ou du RSSI
RL GeneralRL General RL MétierRL Métier
40
C’est possible 2…
La boite à outilsLa boite à outils
41
Charte des personnelsCharte des personnels
Charte des droit d’administration
Charte des droit d’administration
Charte des droits d’accès
Charte des droits d’accès
Autres ChartesEx : poste Libre service
Télé-travail
Autres ChartesEx : poste Libre service
Télé-travailGuide utilisateurGuide utilisateurLivret technique Livret technique
EVALUAT
I
ON
EVALUAT
I
ON
Code éthiqueCode éthique Politique de logsPolitique de logs Règles internes I&LRègles internes I&L
Plan de Sensibilisation
Plan de Sensibilisation
Plan de continuité d’activités
Plan de continuité d’activités
Plan d’archivagePlan d’archivage
Boite à outils – Gouvernance 4GBoite à outils – Gouvernance 4G
M
C
O
M
C
O
42
C’est possible 3…
Tableau de bordTableau de bord
Une nouveauté ? Une nouveauté ? Une action ?Une action ?
On ne rattrape pas le temps perdu… Où alors avec un budget conséquent On ne rattrape pas le temps perdu… Où alors avec un budget conséquent
43
Maîtriser les risques judiciaires
Un métier àhaut risque
Se faire adouber (Normes et audits)
Partager ses Insomnies
(Cil, RSSI, juriste et avocat)
Guide des opérations de contrôle
Organiser sa Responsabilité(Délégation ?)
44
Le secret du bonheur pour un RSSI
S’intéresser au droit …
Avant que le droit ne s’intéresse à lui
45
46
Contact
ALAIN BENSOUSSAN AVOCATS29 rue du colonel Pierre Avia Paris 15è Tél. : 33 1 41 33 35 35 Fax : 33 1 41 33 35 36 [email protected]
Eric Barbry L.D. : 33 1 41 33 35 27 Mob. : 33 6 13 28 91 28 [email protected]
ALAIN BENSOUSSAN AVOCATS29 rue du colonel Pierre Avia Paris 15è Tél. : 33 1 41 33 35 35 Fax : 33 1 41 33 35 36 [email protected]
Eric Barbry L.D. : 33 1 41 33 35 27 Mob. : 33 6 13 28 91 28 [email protected]
