Cybercriminalité et les enjeux de la protection des données personnelles de l entreprise

Transcription

1 Cybercriminalité et les enjeux de la protection des données personnelles de l entreprise 23 novembre 2016 HAAS Société d Avocats 32, rue de la Boétie PARIS Tel : Fax : contact@haas-avocats.com

2 LE CABINET HAAS SOCIÉTÉ D AVOCATS Présentation du Cabinet HAAS Société d Avocats HAAS AVOCATS défend et protège les clients nationaux et internationaux intervenant dans les secteurs de la propriété intellectuelle, du droit des nouvelles technologies, de l information et de la communication, de la protection des données, de l e-commerce, de l e-marketing et du droit des affaires. Page 2

3 LE CABINET HAAS SOCIÉTÉ D AVOCATS Page 3

4 Qu est-ce que la cybercriminalité? Quels risques pour l entreprise? Quels moyens mis en place pour lutter contre la cybercriminalité? Comment prévenir les risques? Page 4

5 Cybercriminalité et Big Data Big Data (déluge de données) : Phénomène qui fait référence à des technologies, outils, processus et procédures accessibles, permettant à une organisation de créer, manipuler et gérer de très larges quantités de données, afin de faciliter la prise de décision rapide Page 5

6 Définition de la Cybercriminalité Aucune définition légale de la cybercriminalité Selon l ONU (définition large): «tous faits illégaux commis au moyen d un système, d un réseau informatique ou en relation avec un système informatique» Page 6

7 Les différents types de menaces Atteinte à la protection des données personnelles Atteinte à la réputation en ligne Usurpation d identité ou vol d identité Escroqueries en ligne Contrefaçon en ligne «Phishing» «Spear Phishing» «Water holing» (technique du «point d eau») Page 7

8 Augmentation des cyberattaques Le nombre de cyber-attaques recensées a progressé de 38% dans le monde en 2015 ; les budgets Sécurité des entreprises ont, eux, augmenté de 24% En France, le nombre de cyber-attaques a progressé à hauteur de 51% au cours des 12 derniers mois et les budgets de Sécurité des entreprises françaises ont augmenté en moyenne de 29% Page 8

9 Une cybercriminalité de plus en plus professionnelle Page 9

10 Qu est-ce que la cybercriminalité? Quels risques pour l entreprise? Quels moyens mis en place pour lutter contre la cybercriminalité? Comment prévenir les risques? Page 10

11 L entreprise et les données Données économiques Données personnelles Données comportementales Page 11 DONNÉES COLLECTÉES PAR L ENTREPRISE

12 Typologie des risques Perte financière Perte de compétitivité Atteinte à l ereputation Risque juridique Page 12

13 Atteinte à l image: le cas Orange Page 13

14 Risques juridiques Responsabilité de l entreprise en cas de faille de sécurité - Art.34 loi IEL - Responsabilité pénale du dirigeant Responsabilité du DSI en cas de faille de sécurité - Délégation de pouvoirs valable - Faute du DSI Page 14

15 Qu est-ce que la cybercriminalité? Quels risques pour l entreprise? Quels moyens mis en place pour lutter contre la cybercriminalité? Comment prévenir les risques? Page 15

16 Encadrement législatif Principaux textes - Loi du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004 / Règlement européen du 27 avril Loi du 5 janvier 1988 relative aux atteintes aux systèmes de traitement automatisés des données (loi Godfrain) - Loi pour la confiance dans l économie numérique (LCEN) du 22 juin Loi du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI 2) Page 16

17 Les infractions spécifiques Infractions Textes Peines Accès ou maintien frauduleux dans un système de traitement automatisé de données Article du Code pénal 2 ans d emprisonnement et euros d amende Entrave ou fait de fausser le fonctionnement d un système de traitement automatisé de données Introduction frauduleuse des données dans un STAD ou suppression ou modification frauduleuse des données Article du Code pénal Article du Code pénal 5 ans d emprisonnement et euros d amende 5 ans d emprisonnement et euros d amende Atteinte à la personnalité et à la vie privée en violation des dispositions de la loi Informatique et libertés Article à du Code pénal 5 ans d emprisonnement et euros d amende Page 17

18 Les infractions non-spécifiques Infractions Textes Peines Escroquerie Article du Code pénal 5 ans d emprisonnement et euros d amende Contrefaçon Article L du CPI 3 ans d emprisonnement et euros d amende Atteinte au droit du producteur d une base de données Article L du CPI 3 ans d emprisonnement et euros d amende Faux et usage de faux Article du Code pénal 3 ans d emprisonnement et euros d amende Page 18

19 Les principaux acteurs de la lutte en France ANSSI OCLCITC BEFTI CNIL Page 19

20 Focus - Renforcement des impératifs de sécurité informatique au niveau Européen Directive NSI du 6 juillet objectifs principaux: - Renforcer la coopération et unifier le niveau de sécurité - Instituer une gouvernance européenne de la cyber-sécurité - Réglementer les activités essentielles Page 20

21 Qu est-ce que la cybercriminalité? Quels risques pour l entreprise? Quels moyens mis en place pour lutter contre la cybercriminalité? Comment prévenir les risques? Page 21

22 MENACE Cyber-attaques VULNERABILITE RISQUE Pour contenir les risques d atteinte au système d informations, les entreprises doivent avoir conscience des menaces et agir sur leurs vulnérabilités Page 22

23 Des réponses juridiques 1- Sécuriser en amont 2- Adopter une bonne gouvernance 3- Sécuriser les contrats 4 Désigner un CIL Page 23

24 1- Obligation de sécurité renforcée Loi I&L: prendre toute précaution utile à la sécurité des données Article 32 du Règlement: Mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques Page 24 (c) HAAS - Avocats& LegalFab 2016

25 Obligation de notifier les violations de données Avec le futur règlement général sur la protection des données, toutes les entreprises européennes qui collectent, détiennent ou gèrent des données devront notifier les failles de sécurité 72 heures pour notifier à la CNIL Notification individuelle au client si il y a un risque pour ses droits et libertés Page 25 (c) HAAS - Avocats& LegalFab 2016

26 Adopter l approche Privacy by Design Les entreprises implémentent dès la conception et par défaut les mesures organisationnelles et techniques appropriées comme la minimisation et l anonymisation des données. Page 26 (c) HAAS - Avocats& LegalFab 2016

27 Réaliser un PIA 1.Contexte 4.Validation 2.Mesures 3.Risques Privacy Impact Assesment: Analyse d impact relative à la protection des données Il s agit pour les responsables de traitement d évaluer eux-mêmes leurs traitements et les risques qu ils comportent pour le respect de la vie privée des personnes concernées, puis de mettre en place les mesures appropriées, en conformité avec le règlement. Page 27

28 Etude d impact : cartographie des risques Page 28

29 Sanctions alourdies Le 1 er niveau sanctionne le nonrespect du Privacy by design, Privacy by default, PIA (etc.) 10 Millions d euros ou 2% du chiffre d affaires annuel mondial Le 2 ème niveau sanctionne le nonrespect du droit des personnes ou d une injonction émise par l autorité de contrôle 20 Millions d euros ou 4% du chiffre d affaires annuel mondial Page 29 (c) HAAS - Avocats& LegalFab 2016

30 2 - Adopter une bonne gouvernance Mise en place d un «référentiel sécurité» Charte «Utilisateurs des SI» Charte «Administrateurs des SI» Politique des gestions des incidents Politique d habilitation Politique de conservation et d archivage Page 30

31 3 Encadrer contractuellement les risques liés aux systèmes d informations Clauses de responsabilité Clause de sécurité et de confidentialité des données Clause de réversibilité Clause de transfert des données Page 31

32 4- Désigner un CIL 1 Sécurité juridique Sécurité informatique Simplification des formalités administratives Accès personnalisé aux services de la CNIL Engagement éthique et citoyen Valorisation du patrimoine informationnel Page 32 HAAS -Avocats& LegalFab 2016

33 Du CIL au DPO Réalisation des PIA Garant de la conformité au règlement Informe et conseille Principal interlocuteur en cas de violation des données personnelles Page 33

34 MERCI POUR VOTRE ATTENTION! Nous avons des réponses, avez-vous des questions? Page 34 (c) HAAS -Avocats& LegalFab 2016