Lycée militaire Aix-en-Provence

Transcription

1 Lycée militaire Aix-en-Provence Dossier réduit S.S.I. à l'usage des utilisateurs. (Édition 2014) Référence : PSSI-A Exemplaire remis à :. 1

2 SOMMAIRE I. Introduction... 3 II. Sécurité physique Installation du matériel informatique Contrôle de l'accès du personnel au matériel Connexion de biens privés Support de sauvegarde... 1 III. Sécurité informatique Sauvegardes Sécurité logique... 1 IV. Protection des informations... 1 V. Acquisition et mise en œuvre des logiciels Nature des besoins Installation des logiciels Suivi de l'intégrité des logiciels... 2 VI. Règles élémentaires (applicables à tout type d'ordinateur) Contrôler l'accès aux ressources et aux informations Appliquer le principe de la table rase Proscrire toute intervention sur les fichiers systèmes Contamination de support magnétique amovible Contamination de l'ordinateur par un virus... 3 VII. Règles applicables aux portables Prise en compte Antivirus Connexion Synchronisation Classification... 3 VIII. Sécuriser l'accès par des mots de passe Authentification de l'utilisateur Structure des mots de passe Utilisation frauduleuse Ecrans de veille... 4 IX. Internet Connexion Stations blanches Charte internet... 4 Engagement individuel de responsabilité

3 I. INTRODUCTION L'utilisateur est la personne nommément autorisée à faire usage de biens ou de services informatiques. Il doit appliquer les procédures, règles et recommandations spécifiées dans ce document, notamment pour l'utilisation des matériels, logiciels et applications dans le cadre de ses fonctions. A ce titre, il est responsable des biens informationnels qu'il produit et qu'il utilise : - toute édition sur support papier ou support numérique, - mots de passe de toutes natures, - logiciels. Il doit s'assurer que les dispositifs de protection installés sont adéquats. Il est responsable de la sécurité de son poste de travail. En particulier, il doit le protéger ainsi que les données qu'il contient. Il doit s'assurer que toute personne à qui il prête son poste dispose bien des mêmes habilitations que luimême à accéder aux informations et qu'elle respecte les consignes de sécurité. Tout personnel devant avoir accès aux ressources informatiques doit au préalable signer un document d'engagement de responsabilité. 3

4 II. SECURITE PHYSIQUE 1.1 Installation du matériel informatique Pendant l'absence du personnel, les locaux où se trouvent les postes de travail doivent être fermés à clé. 1.2 Contrôle de l'accès du personnel au matériel Les supports d'informations sensibles (sauvegardes ), non en cours d'utilisation, doivent être conservés dans une armoire fermée à clé. 1.3 Connexion de biens privés La connexion de tout bien privé actif sur un système d'information et de communication (sic) de l'armée de terre est interdite. Cette interdiction stricte vaut notamment pour les logiciels, les périphériques de transfert de données (graveur, ZIP ), les imprimantes, les modems, les ordinateurs portables, les PDA, les téléphones mobiles, sans que cette énumération soit exhaustive. 1.4 Support de sauvegarde Les supports destinés à contenir des informations classifiées (de défense, personnel, médical), doivent être amovibles (disque extractible, portable) afin d'être entreposés en armoire forte ou stocké d'une manière sécurisée lorsqu'ils ne sont pas utilisés. Ils doivent être identifiés par un marquage adéquat, visible et durable. III. SECURITE INFORMATIQUE 2.1 Sauvegardes La fréquence et le mode de stockage des sauvegardes des données, fichiers et logiciels, doivent être définis et documentés par chaque propriétaire en tenant compte de leur sensibilité respective aux différents risques informatiques (contamination par virus, rupture du service, atteinte à la confidentialité, etc.). 2.2 Sécurité logique La protection des accès aux données doit être organisée de façon à éviter toute atteinte à l'intégrité ou à la confidentialité, en particulier dans les situations suivantes : - démonstration de produits réalisée par des fournisseurs, - téléchargement de logiciels à partir de serveurs professionnels, - usage illicite du poste de travail par un personnel non habilité. IV. PROTECTION DES INFORMATIONS Les écrans des postes de travail doivent être disposés de telle sorte qu'ils ne puissent pas être vus par des personnes non autorisées, dès lors que des informations sensibles peuvent y apparaître. En particulier, ils ne doivent pas faire face aux fenêtres et aux portes. Les écrans doivent être effacés ou éteints quand une personne non autorisée est proche du poste de travail. 1

5 V. ACQUISITION ET MISE EN ŒUVRE DES LOGICIELS 4.1 Nature des besoins Les besoins exprimés en vue de l'acquisition de logiciels correspondent à des usages professionnels. Sont donc interdites : - toute installation ou utilisation de logiciels de jeu (à l'exception des jeux standards fournis avec "Windows"), de logiciels acquis à titre privé, - toute installation ou utilisation de freeware ou shareware, - toute utilisation de copies illicites de logiciels ou de logiciels dont l'origine est douteuse (la responsabilité pénale de l'utilisateur peut être engagée). 4.2 Installation des logiciels Les logiciels sont livrés au personnel habilité ayant passé la commande. Ils sont installés sur les postes de travail après avoir subi des contrôles d'intégrité. Dès l'installation du logiciel, l'inventaire des biens informationnels de l'organisme ou bureau concerné est mis à jour : - date d'installation du logiciel, - fonctionnalités du logiciel, - propriétaire du logiciel. 4.3 Suivi de l'intégrité des logiciels Le suivi régulier de l'intégrité des logiciels et des données est réalisé sous la responsabilité du propriétaire ou, s'il s'agit d'un réseau local, de l'administrateur du réseau. La détection d'anomalie de fonctionnement entraîne : - le retrait du logiciel soupçonné, - l'information des correspondants informatiques concernés (sécurité, gestionnaire du bureau), - la revalidation des données et autres logiciels supports par le moyen bureautique incriminé. VI. REGLES ELEMENTAIRES (APPLICABLES A TOUT TYPE D'ORDINATEUR) 5.1 Contrôler l'accès aux ressources et aux informations Vérifier l'existence d'un contrôle d'accès au moment de la connexion du micro-ordinateur (cf. paragraphe VII : "mot de passe") et s'assurer de l'activation systématique de la mise en veille automatique du poste avec mot de passe. 5.2 Appliquer le principe de la table rase - En cas d'absence prolongée, l'utilisateur du poste de travail doit éteindre sa machine. - En cas d'absence de courte durée, il doit fermer les documents en cours de création, de modification ou de consultation après les avoir sauvegardés et verrouiller son poste de travail. En dehors des problèmes liés à la sécurité, un poste de travail doit de toutes manières être éteint tous les soirs afin de permettre les mises à jour automatiques logicielles. 5.3 Proscrire toute intervention sur les fichiers systèmes Tout modification de la configuration informatique est interdite (processus réservé au gestionnaire : BFAO). 5.4 Contamination de support magnétique amovible - Tout support magnétique d'origine inconnue est suspect et donc interdit. - Tout support magnétique doit être contrôlé. Prévenir le CSSI et le BFAO dès qu'une atteinte virale est suspectée. 2

6 5.5 Contamination de l'ordinateur par un virus Les mesures à prendre immédiatement sont les suivantes : - déconnecter le poste de travail et ses périphériques immédiats de toutes liaisons depuis et vers l'extérieur, sans couper l'alimentation électrique = DEBRANCHER LA PRISE RESEAU INTRADEF OU INTERNET ; - alerter aussitôt le BFAO. Lui seul est apte à prendre les actions appropriées ; - faire impérativement contrôler les sauvegardes qui ont été réalisées sur ce poste de travail. VII. REGLES APPLICABLES AUX PORTABLES 6.1 Prise en compte Tout matériel portable doit être pris en compte par un utilisateur unique qui est responsable de son utilisation. 6.2 Antivirus Les ordinateurs portables doivent être dotés de l'antivirus officiel de l'armée de terre et doivent posséder une base de signature systématique rafraîchie au moins une fois par mois et lors de chaque message d'alerte. 6.3 Connexion S'assurer que la connexion du portable sur le lieu de travail ne présente aucun danger pour le système d'exploitation. Dans le doute, soumettre l'appareil et les supports magnétiques suspects à la procédure de dépistage de virus : supports magnétiques analysés avec la station blanche, mise à jour du fichier de signature antiviral pour l'appareil. 6.4 Synchronisation La synchronisation entre un portable et un poste de travail ne peut être effectuée qu'au moyen d'un câble. Les synchronisations infrarouges ou radioélectriques sont interdites. 6.5 Classification L'utilisation d'un ordinateur portable pour traiter des informations de niveau supérieur ou égal à secret défense est interdite. Seuls les niveaux confidentiel défense ou diffusion restreinte sont permis. VIII. SECURISER L'ACCES PAR DES MOTS DE PASSE 7.1 Authentification de l'utilisateur Le mot de passe est propre à chaque utilisateur et connu de lui seul. Il n'est pas écrit. Tout utilisateur autorisant une autre personne à se travailler sur une machine avec son nom de connexion (login) et son mot de passe est entièrement responsable de l usage fait de la machine. 7.2 Structure des mots de passe Les mots de passe doivent être formés d une chaîne d'au moins 9 caractères mélangeant des caractères alphanumériques avec au moins un caractère spécial (@ - é - ; - à - ( - ] - % -! -? ) et un chiffre pour les usagers et 14 caractères pour les administrateurs. Ils ne peuvent être identiques aux 6 derniers mots de passe utilisés. 3

7 7.3 Utilisation frauduleuse Le nombre de tentatives illicites d'utilisation du mot de passe est limité à six au cours d'une même session. En cas de blocage de l'ordinateur, contacter le DET CIRISI. 7.4 Ecrans de veille Les écrans de veille sont associés à un mot de passe tel que décrit au VII-2 et se déclenchent en cas de nonutilisation du poste de travail durant un délai de 15 mn. En cas d'absence de son poste, l'écran de veille doit être mis par l utilisateur (CTRL+ALT+SUPPR + ENTREE ou TOUCHE WINDOWS + L). IX. INTERNET 8.1 Connexion La connexion à Internet est obligatoirement réalisée sur des postes dédiés non reliés au réseau Intradef et sur lesquels on ne doit trouver aucune information sensible ou classifiée. Toute connexion d'un poste de travail (classique ou portable) à Internet est strictement interdite. L'installation d'outils bureautiques sur un ordinateur relié à Internet est interdite. Ces ordinateurs doivent être éteints au moins une fois par jour (installation des mises à jour) et en cas de non utilisation. La page d'accueil est celle du site Internet du LMA. Une station blanche est disponible à proximité des postes Internet. Enfin, l'exportation des données sensibles par Internet est possible après chiffrement par le logiciel du ministère de la défense ACID (CSSI, suppléant CSSI, chef de corps, chancelier, secrétariat bureau sécurité, secrétariat proviseur). Les opérations de chiffrement et de déchiffrement ne doivent pas être réalisées sur les ordinateurs reliés à Internet. 8.2 Stations blanches Le passage par la station blanche avant d'importer des données sur un système d'information (Intraterre) est obligatoire, quel que soit le support numérique grâce auquel transite l'information (CDROM, clé USB ). Cette règle s'applique bien entendu pour les données provenant d'internet, mais aussi pour toute donnée provenant de l'extérieur (autre organisme de l'armée de terre ou de la défense, industriels ). La station blanche est dotée de l'antivirus de l'armée de terre. 8.3 Charte internet La Charte se réfère à trois lois : Loi informatique et libertés 6 janvier 1978 Loi sur la communication audiovisuelle du 29 juillet 1982 modifiée en 1986 Loi d orientation sur l éducation 10 juillet 1989 La mise à disposition des différentes ressources informatiques et multimédias du lycée répond à un objectif pédagogique et éducatif. Ces moyens ne peuvent être utilisés à des fins personnelles et sont soumis aux règles d accès, d usage et de déontologie inscrites dans cette charte. Article 1 : à qui s applique la Charte Tout utilisateur (élève, enseignant, personnel militaire et civil, personnel temporaire ou stagiaire) est soumis à la charte d utilisation des moyens informatiques et multimédias. L accès est réservé : - Priorité 1 : aux élèves dans le cadre : de travaux demandés par le corps enseignant du lycée, de recherche de documents pour un travail à caractère pédagogique. - Priorité 2 : aux enseignants dans le cadre de leurs travaux préparatoires. - Priorité 3 : aux élèves dans le cadre : de consultation de site à caractère culturel et/ou informatif, 4

8 d initialisation à la navigation sur le Web, de recherches personnelles ayant trait à leurs activités au sein du lycée. - Priorité 4 : à tous les autres personnels affectés au lycée (y compris les contractuels). - Priorité 5 : à tous les stagiaires reçus dans le cadre d une convention. - Priorité 6 : à la communication par mail. Les travaux liés aux priorités 3 à 6 ne peuvent être réalisés qu à partir des salles multimédias 014 (CDI au rezde-chaussée) et 206 (2 e étage près du bureau vie scolaire). Article 2 : droits de l utilisateur Toute personne régulièrement inscrite ou en stage au lycée ayant accepté les conditions de cette charte par signature peut prétendre utiliser les moyens informatiques et multimédias du lycée sous réserve de l accord du gestionnaire et de la disponibilité des moyens. Les utilisateurs ont droit d accès et de rectification des informations nominatives qu ils ont expressément acceptées de fournir au lycée en vue de leur inscription. Tout utilisateur disposera d un code personnel qu il devra changer mensuellement. Ce code est strictement personnel et confidentiel. En contrepartie, les administrateurs du réseau assurent l intégralité et la confidentialité des travaux des utilisateurs. Les utilisateurs ont le droit d utiliser tous les logiciels mis à la disposition par l établissement (et uniquement ceux-là). Article 3 : engagement de l utilisateur Tout utilisateur s engage : 31 à respecter la législation en vigueur. Sont notamment (mais pas exclusivement) interdits et pénalement sanctionnés : - le non-respect des droits de la personne : atteinte à vie privée, diffamation et injure - le non-respect des bonnes mœurs et des valeurs démocratiques : visionner ou diffuser tout document : * à caractère raciste, xénophobe, pornographique, pédophile, violent, * incitatif à la consommation de substances interdites (drogue, alcool ), * faisant l apologie de crime, suicide, meurtre, crime de guerre, crime contre l humanité et leur négation. - le non-respect de la propriété intellectuelle et artistique : * reproduction ou diffusion d un œuvre de l esprit (extrait musical ou littéraire, photographies ), * violation des droits d auteur, * copies de logiciels, * contrefaçon. 32 à respecter la réglementation interne au lycée. Les salles équipées n étant pas des «cybercafés» mais des lieux de travail et de recherche, sont interdits : * la navigation sur et/ou la participation à des sites de dialogue en direct (forums, chat ), * le stockage dans son répertoire ou sur le disque dur d une station de travail des fichiers exécutables (jeux, outils ou autres), * la recherche et/ou l utilisation du mot de passe d un autre utilisateur, * la copie et/ou la modification de logiciels existants, * le contournement des protections et/ou la modification des droits d accès au réseau par quelque moyen que ce soit, * le téléchargement de logiciels à partir de site internet. Article 4 : emploi des matériels L utilisateur s engage à : * prendre soin du matériel : ne pas déplacer, débrancher ou démonter tout ou partie des appareils, 5

9 * se souvenir de son mot de passe sans le noter, ne jamais le communiquer à qui que ce soit, * se déconnecter correctement avant de quitter une station de travail, * n utiliser les imprimantes que pour l impression d informations en rapport avec un travail à caractère pédagogique ou culturel. Cette impression peut être soumise au contrôle du responsable de salle, * ne pas imprimer plusieurs exemplaires du même document, * ne pas utiliser de support numérique (clé USB, CDROM ) dont la provenance est extérieure à l établissement, * ne pas copier ou installer de programmes. Article 5 : contrôles L établissement peut procéder à des contrôles réguliers ou occasionnels pour vérifier que le réseau et les moyens multimédias sont utilisés dans le respect des règles établies. Il vérifiera les journaux d accès à Internet pour savoir quels sites ont été visités et par quel utilisateur. Ces contrôles ne remettent pas en cause la confidentialité de la messagerie. Le lycée dispose des outils nécessaires à l identification des utilisateurs indélicats. Article 6 : Sanctions Tout manquement au respect des engagements pris est susceptible d aboutir soit sur une sanction prévue par le règlement intérieur, soit sur l interdiction d utiliser les moyens multimédias éducatifs, soit les deux. 6

10 Engagement individuel de responsabilité au bon usage des systèmes d information (IM 2003) INTRADEF / INTERNET (pour les élèves rayer INTRADEF) Grade : Nom : Prénoms : Je reconnais avoir pris connaissance de la charte d utilisation des moyens informatiques du LMA et avoir été informé(e) que : l utilisation des ressources informatiques 1 du ministère doit se faire dans le strict respect de la législation et, en particulier, celle applicable au respect des personnes et de la propriété intellectuelle ainsi qu aux actes de fraude et de malveillance informatique, sauf autorisation, toute modification ou tentative de modification de mon environnement de travail informatique est interdite (ajout et suppression de programmes, de supports externes ou de périphériques ), l équipement informatique et les réseaux mis à ma disposition sont réservés à un usage professionnel. L utilisation à des fins personnelles de système d information non classifié de défense (comme par exemple l Intradef) est tolérée sous réserve qu elle reste exceptionnelle et sans impact sur le bon fonctionnement général du système ou sur la bonne marche du service, la connexion d équipements numériques 2 ou de supports de stockage d informations privés avec tout système d information du ministère de la défense est interdite, l élaboration, la modification, la consultation, le stockage ou la transmission d informations sensibles ou classifiées de défense ne doivent être opérés qu à partir de systèmes d information homologués pour les traiter au niveau considéré dans le respect des procédures d exploitation de sécurité spécifiques à ces systèmes, des dispositifs permettant directement ou indirectement de déceler les éventuelles violations aux dispositions du code de bon usage des systèmes d information et de communication peuvent être mis en place par le ministère de la défense sur ses systèmes, pour des raisons de sécurité, même si, en principe, personne ne doit accéder à l espace personnel clairement indiqué par l utilisateur, des agents automatiques tels les antivirus ou du personnel soumis à une obligation de non divulgation tels les administrateurs, auditeurs, contrôleurs et inspecteurs de la sécurité des systèmes d'information peuvent y être autorisés, l écrit électronique (courriel, fichier, etc.) et les traces informatiques conservés par le ministère de la défense peuvent être utilisés comme preuve par les autorités judiciaires. Je reconnais avoir pris connaissance 3 : de l ensemble des règles relatives aux atteintes à la vie privée (article et du code pénal), des dispositions relatives aux atteintes aux droits de la personne (articles à du code pénal) et aux droits des mineurs (articles et du code pénal), des dispositions relatives aux atteintes au secret professionnel (article du code pénal), de la législation relative à la fraude informatique (article et suivants du code pénal), des dispositions relatives à la propriété intellectuelle (articles L et L du code de la propriété intellectuelle), des informations générales de sensibilisation à la sécurité des systèmes d information mises à ma disposition. Je m engage à respecter les termes de l instruction ministérielle n 2003/DEF/DGSIC du 20 novembre 2008 portant code de bon usage des systèmes d information et de communication du ministère de la défense ainsi que les procédures d exploitation de sécurité spécifiques des réseaux auxquels j aurais accès. Je déclare être pleinement conscient(e) de mes responsabilités et reconnais être informé(e) des conséquences pénales, disciplinaires et statutaires qui pourraient résulter de la non application des dispositions édictées ci-dessus. Date et signature de l intéressé(e) (précédé de la mention «lu et approuvé») Pour les élèves : signature du(es) responsable(s) 1 Sont entendus par «ressources informatiques» tout SI opérationnel et de communication, y compris tout système d informatique générale et d informatique scientifique et technique. 2 Y compris la connexion dans le but de recharger la batterie des équipements (téléphones, ordiphones, etc ) 3 Ces articles sont disponibles au verso de ce document 7

11 Article : Est puni d'un an d'emprisonnement et de euros d'amende le fait, au moyen d'un procédé quelconque, volontairement de porter atteinte à l'intimité de la vie privée d'autrui : 1 En captant, enregistrant ou transmettant, sans l e consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel ; 2 En fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé. Lorsque les actes mentionnés au présent article ont été accomplis au vu et au su des intéressés sans qu'ils s'y soient opposés, alors qu'ils étaient en mesure de le faire, le consentement de ceux-ci est présumé. Article : Est puni des mêmes peines le fait de conserver, porter ou laisser porter à la connaissance du public ou d'un tiers ou d'utiliser de quelque manière que ce soit tout enregistrement ou document obtenu à l'aide de l'un des actes prévus par l'article Lorsque le délit prévu par l'alinéa précédent est commis par la voie de la presse écrite ou audiovisuelle, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables. Article : La révélation d une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d une fonction ou d une mission temporaire, est punie d un an d emprisonnement et de d amende. Article : Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d emprisonnement et de d amende. Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l objet de l une des mesures prévues au 2 du 1 de l article 45 de la loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés. Article A : Lorsqu'il a été procédé ou fait procéder à un traitement de données à caractère personnel dans les conditions prévues par le I ou le II de l'article 24 de la loi n du 6 janvier 1978 précitée, le fait de ne pas respecter, y compris par négligence, les normes simplifiées ou d'exonération établies à cet effet par la Commission nationale de l'informatique et des libertés est puni de cinq ans d'emprisonnement et de Euros d'amende. Article : Le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, est puni de cinq ans d'emprisonnement et de Euros d'amende. Article : Le fait de procéder ou de faire procéder à des traitements de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l article 34 de la loi n du 6 janvier 1978 précitée est puni de cinq ans d emprisonnement et de d amende. Article : Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d emprisonnement et de d amende. Article : Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d'emprisonnement et de Euros d'amende. Article : Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l orientation sexuelle de celles-ci, est puni de cinq ans d emprisonnement et de d amende. Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté. Article : En cas de traitement de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, est puni de cinq ans d'emprisonnement et de Euros d'amende le fait de procéder à un traitement : 1 Sans avoir préalablement informé individuellemen t les personnes sur le compte desquelles des données à caractère personnel sont recueillies ou transmises de leur droit d'accès, de rectification et d'opposition, de la nature des données transmises et des destinataires de celles-ci ; 2 Malgré l'opposition de la personne concernée ou, lorsqu'il est prévu par la loi, en l'absence du consentement éclairé et exprès de la personne, ou s'il s'agit d'une personne décédée, malgré le refus exprimé par celle-ci de son vivant. Article : Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d autorisation ou d avis, ou par la déclaration préalable adressée à la Commission nationale de l informatique et des libertés, est puni de cinq ans d emprisonnement et de d amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi. Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa. Article : Le fait, par toute personne détentrice de données à caractère personnel à l occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l acte réglementaire ou la décision de la Commission nationale de l informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement, est puni de cinq ans d emprisonnement et de d amende. Article : Le fait, par toute personne qui a recueilli, à l occasion de leur enregistrement, de leur classement, de leur transmission ou d une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l intéressé ou à l intimité de sa vie privée, de porter, sans autorisation de l intéressé, ces données à la connaissance d un tiers qui n a pas qualité pour les recevoir, est puni de cinq ans d emprisonnement et de d amende. La divulgation prévue à l alinéa précédent est punie de trois ans d emprisonnement et de d amende lorsqu elle a été commise par imprudence ou négligence. Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit. Article : Le fait, hors les cas prévus par la loi, de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un Etat n'appartenant pas à la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l'informatique et des libertés mentionnées à l'article 70 de la loi n du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de Euros d'amende. Article : Dans les cas prévus aux articles à , l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction peut être ordonné. Les membres et les agents de la Commission nationale de l'informatique et des libertés sont habilités à constater l'effacement de ces données. Article : Les dispositions de l article sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en oeuvre ne se limite pas à l exercice d activités exclusivement personnelles. Article : Le fait, en vue de sa diffusion, de fixer, d'enregistrer ou de transmettre l'image ou la représentation d'un mineur lorsque cette image ou cette représentation présente un caractère pornographique est puni de cinq ans d'emprisonnement et de Euros 8

12 d'amende. Le fait d'offrir, de rendre disponible ou de diffuser une telle image ou représentation, par quelque moyen que ce soit, de l'importer ou de l'exporter, de la faire importer ou de la faire exporter, est puni des mêmes peines. Les peines sont portées à sept ans d'emprisonnement et à Euros d'amende lorsqu'il a été utilisé, pour la diffusion de l'image ou de la représentation du mineur à destination d'un public non déterminé, un réseau de communications électroniques. La tentative des délits prévus aux alinéas précédents est punie des mêmes peines. Le fait de consulter habituellement un service de communication au public en ligne mettant à disposition une telle image ou représentation ou de détenir une telle image ou représentation par quelque moyen que ce soit est puni de deux ans d'emprisonnement et euros d'amende. Les infractions prévues au présent article sont punies de dix ans d'emprisonnement et de Euros d'amende lorsqu'elles sont commises en bande organisée. Les dispositions du présent article sont également applicables aux images pornographiques d'une personne dont l'aspect physique est celui d'un mineur, sauf s'il est établi que cette personne était âgée de dix-huit ans au jour de la fixation ou de l'enregistrement de son image. Article : Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu'en soit le support un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine, soit de faire commerce d'un tel message, est puni de trois ans d'emprisonnement et de euros d'amende lorsque ce message est susceptible d'être vu ou perçu par un mineur. Lorsque les infractions prévues au présent article sont soumises par la voie de la presse écrite ou audiovisuelle ou de la communication au public en ligne, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables. Article : Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de d'amende. Article : Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de d'amende. Article : Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni decinq ans d'emprisonnement et de d'amende. Article : La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de plusieurs des infractions prévues par les articles à est punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée. Article : Les personnes physiques coupables des délits prévus au présent chapitre encourent également les peines complémentaires suivantes : 1 L'interdiction, pour une durée de cinq ans au pl us, des droits civiques, civils et de famille, suivant les modalités de l'article ; 2 L'interdiction, pour une durée de cinq ans au pl us, d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice de laquelle ou à l'occasion de laquellel'infraction a été commise ; 3 La confiscation de la chose qui a servi où était destinée à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution ; 4 La fermeture, pour une durée de cinq ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés ; 5 L'exclusion, pour une durée de cinq ans au plus, des marchés publics ; 6 L'interdiction, pour une durée de cinq ans au pl us, d'émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés ; 7 L'affichage ou la diffusion de la décision prono ncée dans les conditions prévues par l'article Article : Les personnes morales peuvent être déclarées responsables pénalement, dans lesconditions prévues par l'article 121-2, des infractions définies au présent chapitre.les peines encourues par les personnes morales sont : 1 L'amende, suivant les modalités prévues par l'ar ticle , 2 Les peines mentionnées à l'article L'int erdiction mentionnée au 2 de l'article port e sur l'activité dans l'exercice ou àl'occasion de l'exercice de laquelle l'infraction a été commise. Article : La tentative des délits prévus par les articles à est punie des mêmes peines. Article L111-1 : L'auteur d'une œuvre de l'esprit jouit sur cette œuvre, du seul fait de sa création, d'un droit de propriété incorporelle exclusif et opposable à tous. Ce droit comporte des attributs d'ordre intellectuel et moral ainsi que des attributs d'ordre patrimonial, qui sont déterminés par les livres Ier et III du présent code. L'existence ou la conclusion d'un contrat de louage d'ouvrage ou de service par l'auteur d'une œuvre de l'esprit n'emporte pas dérogation à la jouissance du droit reconnu par le premier alinéa, sous réserve des exceptions prévues par le présent code. Sous les mêmes réserves, il n'est pas non plus dérogé à la jouissance de ce même droit lorsque l'auteur de l'œuvre de l'esprit est un agent de l'etat, d'une collectivité territoriale, d'un établissement public à caractère administratif, d'une autorité administrative indépendante dotée de la personnalité morale ou de la Banque de France. Les dispositions des articles L et L à L ne s'appliquent pas aux agents auteurs d'oeuvres dont la divulgation n'est soumise, en vertu de leur statut ou des règles qui régissent leurs fonctions, à aucun contrôle préalable de l'autorité hiérarchique. Article L111-2 : L'oeuvre est réputée créée, indépendamment de toute divulgation publique, du seul fait de la réalisation, même inachevée, de la conception de l'auteur 9