SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil arrow Enjeux de la SSI arrow Enjeux arrow Enjeux Juridiques
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formation
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Janua
Stédia-consulting
Syndicate
Vendredi 19 Mars 2010
Advertisement
Enjeux Juridiques Convertir en PDF Version imprimable Suggérer par mail
21-10-2005
Les axes de développement d'une politique de sécurité des informations crédible passent par un ensemble de dispositions basées sur le droit.
Le points fondamentaux restant :
  • Le recours diligent à des dispositifs organisationnels et techniques correspondant à l'état de l'art
  • Une organisation de process maîtrisée et adéquate, permettant de savoir qui a fait quoi et quand,
  • Une organisation juridique de la défense de l'entreprise contre les intrusions
  • Une valorisation et une protection juridique des actifs immatériels
    • Séquestre
    • Archivage numérique
  • La sécurisation des relations juridiques avec les partenaires, sous-traitants ou infogérants.
  La sécurité de informations et des systèmes d'information résulte d'un ensemble complexe de mesures techniques, organisationnelles et juridiques. Elle n'est pas seulement l'affaire des techniciens mais également celle du management, sur qui reposera dans les années à venir une responsabilité de plus en plus forte à cet égard.
 Image


Responsabilité du chef d'entreprise :
Les aspects juridiques liés à la sécurité des systèmes d'information relèvent de manière globale de la responsabilité du chef d'entreprise et de sa capacité à mener toute diligence pour faire en sorte que des mesures soient prises, des investissements réalisés pour prévenir les conséquences juridiques liées à une attaque d'un hacker ou à un acte délictueux commis à partir du réseau de l'entreprise.
"Si une entreprise se trouvait en grave difficultés du fait d'une erreur majeure d'appréciation du dirigeant en matière de sécurité informatique, tel le refus d'accorder un budget pour réaliser des investissements jugés indispensable par l'homme de l'art, sa responsabilité pourrait être mise en cause par ses actionnaires ou ses salariés pour faute de gestion." rappelle Maître Isabelle Renard* qui ajoute :
"Aujourd’hui, la notion de « bon père de famille » est toujours utilisée en droit des sociétés pour apprécier le comportement du dirigeant, et elle a d’ores et déjà pénétré le domaine informatique".
[ Lamy Droit de l’informatique et des réseaux – avril 2005 ].
Pour la Cour de Cassation, la notion du bon père de famille se réfère, s’agissant de professionnels, au comportement «précis du bon professionnel de sa catégorie ».
En matière technique, le comportement du « bon professionnel » sera évalué au regard de l’état de l’art.


(*) Maître Isabelle Renard, Avocate associée au cabinet August & Delouzy et experte en traitement du signal. Elle vient de publier un document sur l'enjeu, pour les entreprises, de la mise en œuvre de moyens de sécurité sur le net, téléchargeable : GUIDE_LEGAL_2005 pdf
AFAI : Enjeux juridiques de la sécurité informatique : l’art du compromis pdf de 3 pages.

Ressources :Medef Fiche Cadre Juridique PDF de 3 pages

Impact sur la vie privée des salariés :
La responsabilité du Chef d'entreprise a accéléré la mise en place des "politiques" précisant les conditions d'éthique liées à l'utilisation en entreprise des moyens de communication (notamment Internet) dont disposent les employés.
Très vite la mise en œuvre de ces stratégies (dont le signalement ou "lignes éthiques") se sont heurté à la notion de délation ou de viol de la vie privée.
Cependant il reste possible à un employeur, en respectant certaines conditions notamment les principes de transparence, proportionnalité et de discussion collective du droit du travail de mettre en place des mesures de surveillance de l'activité des salariés sur Internet par exemple.
Ainsi, la Cnil, qui avait émis jusqu'alors des avis négatifs quant à la mise en place de ces "lignes éthiques", a, avec l’adoption de la décision d’autorisation unique du 8 décembre 2005, fixé les conditions de mise en œuvre des dispositifs d’alertes et de dénonciation «(whistleblowing) au sein des entreprises : l’organisme qui veut mettre en place un dispositif d’alerte doit simplement adresser à la CNIL un engagement de conformité à cette décision.
La jurisprudence évolue en faveur d'un contrôle "proportionné" aux risques pour l'entrepreneur : Lorsqu'une irrégularité est soupçonnée (par exemple au travers des relevés d’outils de surveillance), l’employeur peut prendre connaissance des dossiers en cause dès lors qu’une procédure est respectée.
Les juges sanctionnent les employeurs lorsque les contrôles sont effectués à l’insu des salariés.
En revanche, ils acceptent les preuves collectées loyalement, par exemple au moyen d’outils de surveillance dont l’existence et le fonctionnement a préalablement été porté à la connaissance des salariés. C. Cass, Chambre Sociale, 17 mai 2005.
La mise en oeuvre d’outils de surveillance de l’activité des employés sur Internet est un traitement de données nominatives qui doit être déclaré à la CNIL, conformément aux dispositions de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

MESURES DE SURVEILLANCE DU PERSONNEL :

Aujourd'hui, la question ne se pose plus : La cybersurveillance des salariés est une obligation pour l'entreprise :
Elle découle de la nécessité :
  • de veiller à la sécurité et à l'intégrité de ses actifs immatériels et de son SI,
  • de prévenir et de détecter toute utilisation illicite ou fautive qui pourrait en être faite,
  • éviter de voir sa responsabilité civile ou pénale engagée en raison d'une telle utilisation.

Le Droit du travail indique trois principes fondateurs pour la mise en place de toute mesure de surveillance de l’activité des salariés sur Internet :
Article L120-2 du Code du Travail :            PRINCIPE DE PROPORTIONNALITE
« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché »
Article L121-8 du Code du Travail :            PRINCIPE DE TRANSPARENCE
« Aucune information concernant personnellement un salarié […] ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié [..] »
Article L432-2 du Code du travail :            PRINCIPE DE DISCUSSION COLLECTIVE
« Le comité d’entreprise est informé et consulté préalablement à tout projet important d’introduction de nouvelles technologies, lorsque celle-ci sont susceptibles d’avoir des conséquences sur […] la formation ou les conditions de travail  du personnel ».

Ainsi toute mise en place de mesure de sécurité inspirée des "bonnes pratiques" de la norme ISO 27002 (ex ISO 17799) ayant un impact sur la surveillance des salariés doit passer à l'aulne de ces 3 principes :
principes :
exemple : installation de caméra de vidéo surveillance :
  1. Principe de proportionnalité : Existe-t-il des risques particuliers liés à l'activité et donc aux enjeux de l'entreprise (Vols potentiels dans un entrepôt, lieux particulièrement exposés, secrets de fabrication, secret défense,...) justifiant ce dispositif ?
  2. Principe de transparence : L'ensemble des salariés doit être informé de ce nouveau dispositif, par voie d'affichage par exemple.
  3. Principe de discussion collective : Le Comité d'entreprise doit préalablement être consulté.
limites : la surveillance d'un salarié à son insu (vidéo surveillance incluant un poste de travail par exemple, constitue un mode de preuve illicite quels qu'en soient les motifs. Si l'on a des doutes sur l'activité d'un salarié, il convient  de l'informer préalablement et personnellement de cette possibilité , la mise en place d'un tel dispositif doit faire l'objet d'une déclaration à la CNIL.

Ressources :
 La Cybersurveillance des salariés : Cnil 2004 Pdf de 32 pages.
Données à caractère personnel desemployés : règles et contraintes : Journal du Net : article de CHRISTIANE FERAL-SCHUHL
L'entreprise reste responsable des agissements de ses employés et l'anti-virus ne peut pas tout : 01.NET Affaire DMS
Caprioli-avocats : Introduction au droit de la sécurité des systèmes d'information (SSI) : pdf de 26 pages
Olféo-Cabinet d'avocats Alain Bensoussan : Livre blanc juridique : filtrage et Internet Enjeux et cadre juridique 2009 : pdf de 37 pages

Sarbanes Oxley (SOA) et  Loi sur la sécurité financière (LSF) :
A la suite des scandales financiers dont celui d'Enron, ces lois constituent une réaction législative  visant à apporter des garanties à la qualité de l'information financière. Elles impactent directement la responsabilité des dirigeants quant à la qualité des processus de contrôle interne des sociétés, et notamment des flux d'informations qui passent par le système d'information.
Le Sarbanes Oxley Act s'applique à toutes les sociétés qui émettent des titres dès lors qu'elles sont actives sur le marché US. Les dirigeants portent la responsabilité personnelle d'évaluer la qualité du contrôle interne permettant de présenter fidèlement la situation financière de l'entreprise et de détecter les fraudes.
Impact sur le traitement des données personnelles : Conformément à l’article 7-5° de la loi du 6 janvier 1978 modifiée, les traitements mis en œuvre dans les domaines comptable et d’audit par les entreprises concernées par la section 301de la loi américaine dite «Sarbanes-Oxley» de juillet 2002 entrent également dans le champ de la décision d’autorisation unique du 8 décembre 2005.

La Lois de Sécurité Financière n°2003-706 du 1er Août 2003 s'applique en France aux Sociétés anonymes et aux sociétés faisant appel public à l'épargne.
La loi n'apporte aucune définition des "procédures de contrôle interne" dont le Président aura à rendre compte.
Le C.O.S.O. ou le C.O.B.I.T. permettent de disposer de référentiels sur lesquels pourront se fonder les procédures de contrôle.
l' AMF, le MEDEF et diverses associations professionnelles ont formulé des recommandations et lignes directrices afin de faciliter la rédaction du rapport.
L'impact sur le système d'information concerne 3 points essentiels :
  • La "traçabilité" des processus,
  • La capacité du système d'information à remonter des informations fiables et intègres ainsi que l'origine de l'information,
  • Le contrôle d'accès ou la répercussion au niveau du système d'information de l'organisation et des délégations de pouvoirs.

Pour les sous-traitants, un référentiel dit "SAS 70" permet aux US de vérifier la conformité d'un prestataire aux lois SOA,  via un audit de conformité réalisé par un tiers certifié.
L'important, tout comme pour la LSF est de prévoir une clause d'audit spécifique dans les contrats de sous-traitance.
Dans le domaine Bancaire, le projet de modification CRBF 2005-03 de modification du règlement CRBF 97-02 prévoit des obligations très précises à répercuter aux infogérants.
Pour aller plus loin voir l'article de Philippe Touitou dans le Journal du Net : Avis d'expert : Loi de sécurité financière, contrôle interne et fiabilité des SI.

Responsabilités civiles et pénales des dirigeants du fait de l'utilisation du Système d'Information par les employés :
Il s'agit essentiellement des 3 points suivants :
  • Contrefaçon, utilisation de logiciels ou de contenus protégés par un droit de propriété intellectuel,
  • Actes délictueux :
    • Diffamation,
    • Pédophilie,
    • Incitation à la haine raciale,
    • Espionnage,
    • Traitement de données nominatives sans autorisation,
  • Détournements d'actifs, de savoir-faire, d'informations confidentielles,...
On se référera au document de la CNIL : Guide pratique pour les employeurs

L'Obligation de sécurité mise à la charge des responsables de traitement de données personnelles :

La Loi n° 78-17 du 6 Janvier 1978 relative a l'informatique aux fichiers et aux libertés et les textes modifiant cette loi
Précise cette obligation de préserver la sécurité des données, assortie de sanctions pénales (articles L 226-16 à 24 du code pénal) et qui vise les défauts de sécurité dans la conservation des fichiers nominatifs des clients ou des salariés, ou tous fichiers contenant des informations de nature personnelle (financières, médicales, scoring, etc...). L'entreprise, son représentant légal, voire le DSI s'il est muni d'une délégation de pouvoir, peuvent voir leur responsabilité engagée au plan pénal.
Cette obligation s'étend à tout prestataire, ce qui implique que les contrats liant l'entreprise et le prestataire doivent systématiquement prévoir la possibilité d'auditer le prestataire afin de vérifier le respect par celui-ci des mesures de sécurité et de confidentialité.

La Loi pour la confiance dans l'économie numérique dite LCEN du 21 Juin 2004 version consolidée du 24 Janvier 2006

La Loi n°2004-575    Concerne toutes les entreprises qui ont une présence sur internet, utilisent internet comme moyen de communication, de promotion ou de négoce....c'est à dire à peu près tous ceux qui sont amenés à utiliser ce média de communication. Les aspects recouverts par cette loi concernent principalement :
  • La nature de la communication par voie électronique
  • La responsabilité des hébergeurs, fournisseurs d'accès, opérateurs de "caching"
  • Le commerce électronique
  • Le commerce avec l'étranger
  • La publicité par voie électronique

La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) identifie trois types d’activité particulièrement illicites et contraires à l’intérêt général :
  • l’apologie des crimes contre l’humanité,
  • l’incitation à la haine raciale,
  • la pornographie enfantine.
en principe la surveillance incombe aux hébergeurs, mais attention aux entreprises assimilées à des hébergeurs et fournisseurs d'accès (à leur personnel) voir décision de la Cour d’Appel de Paris du 4 février 2005

Fraude informatique  :

Loi n° 88-19 du 5 Janvier 1988 relative à la fraude informatique. (dite "loi Godfrain")
Définit clairement les infractions et les peines encourues en cas d'intrusion non autorisée dans un système d'information ou de modification non autorisée de programmes ou de données.

Responsabilité des fournisseurs d'hébergement sur Internet :

Loi n° 2000-719 du 1er Août 2000, Loi modifiant la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication.

Preuve et signature électronique :

Loi n° 2000-230 du 13 mars 2000 concernant l'adaptation du droit de la preuve aux technologies de l'information et de signature électronique.

Protection des bases de données :

Loi 98-536 du 1er juillet 1998 relative à la protection des bases de données.

Protection des communications :

Loi n° 82-652 du 29 juillet 1982 concernant la communication audiovisuelle.

Loi n° 85-660 du 3 juillet 1985 et

Loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication.

Loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle.

Proprété intellectuelle :
Code de la propriété intellectuelle  :droits d'auteurs, droits voisins, droit des bases de données, marques, modèles, protection des inventions et connaissances techniques....etc.






 
Dernière mise à jour : ( 31-08-2009 )
< Précédent   Suivant >
[ Retour ]
Copyright 2005-2009 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.