SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Enjeux Juridiques Convertir en PDF Version imprimable Suggérer par mail
21-10-2005
Les axes de développement d'une politique de sécurité des informations crédible passent par un ensemble de dispositions basées sur le droit.
Le points fondamentaux restant :
  • Le recours diligent à des dispositifs organisationnels et techniques correspondant à l'état de l'art
  • Une organisation de process maîtrisée et adéquate, permettant de savoir qui a fait quoi et quand,
  • Une organisation juridique de la défense de l'entreprise contre les intrusions
  • Une valorisation et une protection juridique des actifs immatériels
    • Séquestre
    • Archivage numérique
  • La sécurisation des relations juridiques avec les partenaires, sous-traitants ou infogérants.
  La sécurité de informations et des systèmes d'information résulte d'un ensemble complexe de mesures techniques, organisationnelles et juridiques. Elle n'est pas seulement l'affaire des techniciens mais également celle du management, sur qui reposera dans les années à venir une responsabilité de plus en plus forte à cet égard.
Image


Responsabilité du chef d'entreprise :

Les aspects juridiques liés à la sécurité des systèmes d'information relèvent de manière globale de la responsabilité du chef d'entreprise et de sa capacité à mener toute diligence pour faire en sorte que des mesures soient prises, des investissements réalisés pour prévenir les conséquences juridiques liées à une attaque d'un hacker ou à un acte délictueux commis à partir du réseau de l'entreprise.
"Si une entreprise se trouvait en grave difficultés du fait d'une erreur majeure d'appréciation du dirigeant en matière de sécurité informatique, tel le refus d'accorder un budget pour réaliser des investissements jugés indispensable par l'homme de l'art, sa responsabilité pourrait être mise en cause par ses actionnaires ou ses salariés pour faute de gestion." rappelle Maître Isabelle Renard* qui ajoute :
"Aujourd’hui, la notion de « bon père de famille » est toujours utilisée en droit des sociétés pour apprécier le comportement du dirigeant, et elle a d’ores et déjà pénétré le domaine informatique".
[ Lamy Droit de l’informatique et des réseaux – avril 2005 ].
Pour la Cour de Cassation, la notion du bon père de famille se réfère, s’agissant de professionnels, au comportement «précis du bon professionnel de sa catégorie ».
En matière technique, le comportement du « bon professionnel » sera évalué au regard de l’état de l’art.


(*) Maître Isabelle Renard, Avocate associée au cabinet August & Delouzy et experte en traitement du signal. Elle vient de publier un document sur l'enjeu, pour les entreprises, de la mise en œuvre de moyens de sécurité sur le net, téléchargeable : GUIDE_LEGAL_2005 pdf
Lire aussi le livre Aide-mémoire de droit à l'usage des responsables informatique ecrit en collaboration avec Jean-Marc Rietsch, enseignant et consultant en archivage.
AFAI : Enjeux juridiques de la sécurité informatique : l’art du compromis pdf de 3 pages.


Ressources :Medef Fiche Cadre Juridique PDF de 3 pages

Impact sur la vie privée des salariés :
La responsabilité du Chef d'entreprise a accéléré la mise en place des "politiques" précisant les conditions d'éthique liées à l'utilisation en entreprise des moyens de communication (notamment Internet) dont disposent les employés.
Très vite la mise en œuvre de ces stratégies (dont le signalement ou "lignes éthiques") se sont heurté à la notion de délation ou de viol de la vie privée.
Cependant il reste possible à un employeur, en respectant certaines conditions notamment les principes de transparence, proportionnalité et de discussion collective du droit du travail de mettre en place des mesures de surveillance de l'activité des salariés sur Internet par exemple.
Ainsi, la Cnil, qui avait émis jusqu'alors des avis négatifs quant à la mise en place de ces "lignes éthiques", a, avec l’adoption de la décision d’autorisation unique du 8 décembre 2005, fixé les conditions de mise en œuvre des dispositifs d’alertes et de dénonciation «(whistleblowing) au sein des entreprises : l’organisme qui veut mettre en place un dispositif d’alerte doit simplement adresser à la CNIL un engagement de conformité à cette décision.
La jurisprudence évolue en faveur d'un contrôle "proportionné" aux risques pour l'entrepreneur : Lorsqu'une irrégularité est soupçonnée (par exemple au travers des relevés d’outils de surveillance), l’employeur peut prendre connaissance des dossiers en cause dès lors qu’une procédure est respectée.
Les juges sanctionnent les employeurs lorsque les contrôles sont effectués à l’insu des salariés.
En revanche, ils acceptent les preuves collectées loyalement, par exemple au moyen d’outils de surveillance dont l’existence et le fonctionnement a préalablement été porté à la connaissance des salariés. C. Cass, Chambre Sociale, 17 mai 2005.
La mise en oeuvre d’outils de surveillance de l’activité des employés sur Internet est un traitement de données nominatives qui doit être déclaré à la CNIL, conformément aux dispositions de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

MESURES DE SURVEILLANCE DU PERSONNEL :


Aujourd'hui, la question ne se pose plus : La cybersurveillance des salariés est une obligation pour l'entreprise :
Elle découle de la nécessité :
  • de veiller à la sécurité et à l'intégrité de ses actifs immatériels et de son SI,
  • de prévenir et de détecter toute utilisation illicite ou fautive qui pourrait en être faite,
  • éviter de voir sa responsabilité civile ou pénale engagée en raison d'une telle utilisation.

mais il y a des limites :

Le Droit du travail indique trois principes fondateurs pour la mise en place de toute mesure de surveillance de l’activité des salariés sur Internet :
Article L120-2 du Code du Travail
:            PRINCIPE DE PROPORTIONNALITE
« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché »
Article L121-8 du Code du Travail :            PRINCIPE DE TRANSPARENCE
« Aucune information concernant personnellement un salarié […] ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié [..] »
Article L432-2 du Code du travail :            PRINCIPE DE DISCUSSION COLLECTIVE
« Le comité d’entreprise est informé et consulté préalablement à tout projet important d’introduction de nouvelles technologies, lorsque celle-ci sont susceptibles d’avoir des conséquences sur […] la formation ou les conditions de travail  du personnel ».

Ainsi toute mise en place de mesure de sécurité inspirée des "bonnes pratiques" de la norme ISO 27002 (ex ISO 17799) ayant un impact sur la surveillance des salariés doit passer à l'aulne de ces 3 principes :
principes :
exemple : installation de caméra de vidéo surveillance :
  1. Principe de proportionnalité : Existe-t-il des risques particuliers liés à l'activité et donc aux enjeux de l'entreprise (Vols potentiels dans un entrepôt, lieux particulièrement exposés, secrets de fabrication, secret défense,...) justifiant ce dispositif ?
  2. Principe de transparence : L'ensemble des salariés doit être informé de ce nouveau dispositif, par voie d'affichage par exemple.
  3. Principe de discussion collective : Le Comité d'entreprise doit préalablement être consulté.
limites : la surveillance d'un salarié à son insu (vidéo surveillance incluant un poste de travail par exemple, constitue un mode de preuve illicite quels qu'en soient les motifs. Si l'on a des doutes sur l'activité d'un salarié, il convient  de l'informer préalablement et personnellement de cette possibilité , la mise en place d'un tel dispositif doit faire l'objet d'une déclaration à la CNIL.

Ressources :
Les fiches pratiques de la CNIL :

Le recrutement et la gestion du personnel

La géolocalisation des véhicules des salariés

Les outils informatiques au travail

L'accès aux locaux et le contrôle des horaires

La vidéosurveillance sur les lieux de travail

Toutes les fiches pratiques de la CNIL


 La Cybersurveillance des salariés : Cnil 2004 Pdf de 32 pages.
Données à caractère personnel desemployés : règles et contraintes : Journal du Net : article de CHRISTIANE FERAL-SCHUHL
L'entreprise reste responsable des agissements de ses employés et l'anti-virus ne peut pas tout : 01.NET Affaire DMS
Caprioli-avocats : Introduction au droit de la sécurité des systèmes d'information (SSI) : pdf de 26 pages
Olféo-Cabinet d'avocats Alain Bensoussan : Livre blanc juridique : filtrage et Internet Enjeux et cadre juridique 2009 : pdf de 37 pages

Sarbanes Oxley (SOA) et  Loi sur la sécurité financière (LSF) :
A la suite des scandales financiers dont celui d'Enron, ces lois constituent une réaction législative  visant à apporter des garanties à la qualité de l'information financière. Elles impactent directement la responsabilité des dirigeants quant à la qualité des processus de contrôle interne des sociétés, et notamment des flux d'informations qui passent par le système d'information.
Le Sarbanes Oxley Act s'applique à toutes les sociétés qui émettent des titres dès lors qu'elles sont actives sur le marché US. Les dirigeants portent la responsabilité personnelle d'évaluer la qualité du contrôle interne permettant de présenter fidèlement la situation financière de l'entreprise et de détecter les fraudes.
Impact sur le traitement des données personnelles : Conformément à l’article 7-5° de la loi du 6 janvier 1978 modifiée, les traitements mis en œuvre dans les domaines comptable et d’audit par les entreprises concernées par la section 301de la loi américaine dite «Sarbanes-Oxley» de juillet 2002 entrent également dans le champ de la décision d’autorisation unique du 8 décembre 2005.

La Lois de Sécurité Financière n°2003-706 du 1er Août 2003 s'applique en France aux Sociétés anonymes et aux sociétés faisant appel public à l'épargne.
La loi n'apporte aucune définition des "procédures de contrôle interne" dont le Président aura à rendre compte.
Le C.O.S.O. ou le C.O.B.I.T. permettent de disposer de référentiels sur lesquels pourront se fonder les procédures de contrôle.
l' AMF, le MEDEF et diverses associations professionnelles ont formulé des recommandations et lignes directrices afin de faciliter la rédaction du rapport.
L'impact sur le système d'information concerne 3 points essentiels :
  • La "traçabilité" des processus,
  • La capacité du système d'information à remonter des informations fiables et intègres ainsi que l'origine de l'information,
  • Le contrôle d'accès ou la répercussion au niveau du système d'information de l'organisation et des délégations de pouvoirs.

Pour les sous-traitants, un référentiel dit "SAS 70" permet aux US de vérifier la conformité d'un prestataire aux lois SOA,  via un audit de conformité réalisé par un tiers certifié.
L'important, tout comme pour la LSF est de prévoir une clause d'audit spécifique dans les contrats de sous-traitance.
Dans le domaine Bancaire, le projet de modification CRBF 2005-03 de modification du règlement CRBF 97-02 prévoit des obligations très précises à répercuter aux infogérants.
Pour aller plus loin voir l'article de Philippe Touitou dans le Journal du Net : Avis d'expert : Loi de sécurité financière, contrôle interne et fiabilité des SI.

Responsabilités civiles et pénales des dirigeants du fait de l'utilisation du Système d'Information par les employés :
Il s'agit essentiellement des 3 points suivants :
  • Contrefaçon, utilisation de logiciels ou de contenus protégés par un droit de propriété intellectuel,
  • Actes délictueux :
    • Diffamation,
    • Pédophilie,
    • Incitation à la haine raciale,
    • Espionnage,
    • Traitement de données nominatives sans autorisation,
  • Détournements d'actifs, de savoir-faire, d'informations confidentielles,...
On se référera au document de la CNIL : Guide pratique pour les employeurs

L'Obligation de sécurité mise à la charge des responsables de traitement de données personnelles :

La Loi n° 78-17 du 6 Janvier 1978 relative a l'informatique aux fichiers et aux libertés et les textes modifiant cette loi
Précise cette obligation de préserver la sécurité des données, assortie de sanctions pénales (articles L 226-16 à 24 du code pénal) et qui vise les défauts de sécurité dans la conservation des fichiers nominatifs des clients ou des salariés, ou tous fichiers contenant des informations de nature personnelle (financières, médicales, scoring, etc...). L'entreprise, son représentant légal, voire le DSI s'il est muni d'une délégation de pouvoir, peuvent voir leur responsabilité engagée au plan pénal.
Cette obligation s'étend à tout prestataire, ce qui implique que les contrats liant l'entreprise et le prestataire doivent systématiquement prévoir la possibilité d'auditer le prestataire afin de vérifier le respect par celui-ci des mesures de sécurité et de confidentialité.

La Loi pour la confiance dans l'économie numérique dite LCEN du 21 Juin 2004 version consolidée du 24 Janvier 2006

La Loi n°2004-575    Concerne toutes les entreprises qui ont une présence sur internet, utilisent internet comme moyen de communication, de promotion ou de négoce....c'est à dire à peu près tous ceux qui sont amenés à utiliser ce média de communication. Les aspects recouverts par cette loi concernent principalement :
  • La nature de la communication par voie électronique
  • La responsabilité des hébergeurs, fournisseurs d'accès, opérateurs de "caching"
  • Le commerce électronique
  • Le commerce avec l'étranger
  • La publicité par voie électronique

La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) identifie trois types d’activité particulièrement illicites et contraires à l’intérêt général :
  • l’apologie des crimes contre l’humanité,
  • l’incitation à la haine raciale,
  • la pornographie enfantine.
en principe la surveillance incombe aux hébergeurs, mais attention aux entreprises assimilées à des hébergeurs et fournisseurs d'accès (à leur personnel) voir décision de la Cour d’Appel de Paris du 4 février 2005

Fraude informatique  :

Loi n° 88-19 du 5 Janvier 1988 relative à la fraude informatique. (dite "loi Godfrain")
Définit clairement les infractions et les peines encourues en cas d'intrusion non autorisée dans un système d'information ou de modification non autorisée de programmes ou de données.

Responsabilité des fournisseurs d'hébergement sur Internet :

Loi n° 2000-719 du 1er Août 2000, Loi modifiant la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication.

Preuve et signature électronique :

Loi n° 2000-230 du 13 mars 2000 concernant l'adaptation du droit de la preuve aux technologies de l'information et de signature électronique.

Protection des bases de données :

Loi 98-536 du 1er juillet 1998 relative à la protection des bases de données.

Protection des communications :

Loi n° 82-652 du 29 juillet 1982 concernant la communication audiovisuelle.

Loi n° 85-660 du 3 juillet 1985 et

Loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication.

Loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle.

Proprété intellectuelle :
Code de la propriété intellectuelle  :droits d'auteurs, droits voisins, droit des bases de données, marques, modèles, protection des inventions et connaissances techniques....etc.

Last but not least : La protection contre les délits de violation du secret des affaires :


Le code pénal va bientôt s'enrichir d'un nouveau délit sanctionnant la violation du secret des affaires. Adopté par l'assemblée nationale le 23/01/2012 le texte est actuellement en navette au sénat au 02/02/2012. L'avantage réside dans les définitions précises et la levée des doutes concernant le vol de données sensibles par essence "immatérielles".
extraits du texte :
« Art. 325-1. – Constituent des informations protégées relevant du secret des affaires d’une entreprise, quel que soit leur support, les procédés, objets, documents, données ou fichiers de nature commerciale, industrielle, financière, scientifique, technique ou stratégique ne présentant pas un caractère public dont la divulgation non autorisée serait de nature à compromettre gravement les intérêts de cette entreprise en portant atteinte à son potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle et qui ont, en  conséquence, fait l’objet de mesures de protection spécifiques destinées à informer de leur caractère confidentiel et à garantir celui-ci.
« Ces mesures de protection spécifiques, prises après une information préalable du personnel par le représentant légal de l’entreprise ou par toute personne qu’il aura préalablement désignée par écrit, sont déterminées par décret en Conseil d’État.
« Art. 325-2. – Le fait de révéler à une personne non autorisée à en avoir connaissance, sans autorisation de l’entreprise ou de son représentant, une information protégée relevant du secret des affaires de l’entreprise, pour toute personne qui en est dépositaire ou qui a eu connaissance de cette information et des mesures de protection qui l’entourent, est puni d’une peine de trois ans d’emprisonnement et de 375 000 € d’amende.


Ressources :
Les Echos : Le secret des affaires enfin protégé
Senat : Texte de discussion

Les risques du e-Discovery :


La procédure américaine de Discovery permet à une partie, dans le cadre de la recherche de preuves pouvant être utilisées dans un procès civil ou commercial, (et non au pénal) de demander à la partie adverse tous les éléments d'information pertinents (faits, actes, documents...), quand bien même ceux-ci lui seraient défavorables.
Renforcée en 2006, elle contraint les entreprises à conserver et à produire également tous les documents et informations sous forme électronique tels que les courriels des salariés, disques durs, logs de connexion, etc...
Dans le contexte actuel de mondialisation cette procédure ne touche pas seulement les États Unis, mais aussi les filiales Françaises de sociétés américaines ou les sociétés Françaises qui ont une activité aux états unis.
Très intrusives, ces procédures se heurtent aux règles Françaises (et Européennes) de protection des informations, notamment celles à caractère sensible, ou concernant des aspects personnels et confidentiels. Enfin elles se heurtent aux réglementations relative aux transferts internationaux de données sensibles.
Le refus de transmettre ces informations expose les sociétés concernées qui s'y opposent à de sévères sanction notamment par un jugement défavorable.
La CNIL a rappelé dans une délibération sa position face au Discovery.
La recommandation est donc de ne restituer QUE les informations ayant un rapport avec l'affaire, respectant les principes de transparence, de proportionnalité, de protection des personnes, notamment du droit d'information et de rectification et de durée de rétention. Il n'est pas acquis que nos amis américains de leur côté garantissent ces droits une fois l'information transmise.
L'enjeu pour le RSSI est donc très important car il va s'agir selon le contexte soit de produire volontairement ces informations, soit de subir de façon passive une perquisition qui pourra mettre "à risque" des informations sensibles qui n'ont pas de rapport direct avec l'affaire.
La CNIL recommande l'intervention d'un CIL car ces contraintes vont obliger les RSSI à se poser des questions relatives à la protection de contenus spécifiques et pas seulement des contenants en tant qu'actifs de support d'informations sensibles:
  • Où se trouve cette information pertinente (et exhaustives) par rapport à l'affaire ?
  • Comment limiter les investigations au strict nécessaire dans le respect du droit des personnes et dans le respect des intérêts de l'entreprise ?
  • Comment protéger les informations n'ayant pas de lien direct avec l'affaire ?
  • Quelle information conserver ?
  • Pendant combien de temps la conserver ?
  • Comment la conserver afin qu'elle ait une forme probante ?
  • Comment et quand supprimer l'information ?
Ressources :
CNIL Fiche pratique : Quel cadre juridique pour les procedures de Discovery ?
e-Discovery : la CNIL se prononce : article publié dans Le Journal du Net par Christiane Féral-Schuhl - publié le 03.09.2009, 09h18
Lire aussi le livre Aide-mémoire de droit à l'usage des responsables informatique écrit par Isabelle Renard en collaboration avec Jean-Marc Rietsch, enseignant et consultant en archivage.
CAPRIOLI &  Associés : Cabinet d'avocats spécialisés dans le secteur des technologies avancées, le site est une mine d'informations sur les enjeux juridiques liés à la cybersécurité.



 









Dernière mise à jour : ( 16-05-2013 )
< Précédent   Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.