Cyber-sécurité dans l entreprise

Transcription

1 Cyber-sécurité dans l entreprise CADRE REGLEMENTAIRE: OBLIGATIONS ET LIMITES ACTECIL NOUVELLE-CALEDONIE Tel : +687 (00) cchauveau@actecil.fr

2 3. Contrôle en AVAL des dispositifs Référentiel CNIL Expertise CIL CADRE REGLEMENTAIRE OBLIGATIONS ET LIMITES PROBLEMATIQUE Comment répondre aux besoins accrus de sécurisation des systèmes informatiques pour l entreprise et prévoir davantage de garanties pour les personnes? 1. Trouver un équilibre entre protection des données personnelles, innovation et surveillance dans l entreprise => dispositifs ciblés (et non massifs) de surveillance 2. Prévenir en AMONT les risques d abus de dispositifs intrusifs Sensibilisation, (in)formation, auprès des différents publics Absence de données sensibles Durée de conservation des données (Cf. éthique d entreprise -ENR-)

3 CADRE REGLEMENTAIRE APPLICABLES EN NC Loi CNIL (applicable depuis 2004 en NC) LCEN du 21/06/2004 (dans sa version NC) Adaptation du droit pénal Loi LOPSI 2 Projet de loi Renseignement (adoption par AN le 5 mai 2015) Adaptation du Code de la propriété intellectuelle DADVSI HADOPI 1 et 2 Loi 1881 sur les délits de presse

4 CADRE REGLEMENTAIRE APPLICABLES EN NC Loi relative à l informatique, aux fichiers et aux libertés Article 1 L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Article 2 La présente loi s'applique aux traitements automatisés de données à caractère personnel*, ainsi qu'aux traitements non automatisés ou appelées à figurer dans des fichiers, à l'exception des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles Article 6 Un traitement ne peut porter que sur des données à caractère personnel* qui satisfont les conditions suivantes Les données sont collectées et traitées de manière loyale et licite Elles sont collectées pour des finalités déterminées. (..) Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Article 7 Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire des conditions particulières (..) Article 8 Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou éthniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. *Définition «données à caractère personnelle» «Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ". Art. 2 de la loi "Informatique et libertés»

5 CADRE REGLEMENTAIRE APPLICABLES EN NC Pénalisation des comportements liés à la cybercriminalité Atteinte à l intimité et à la vie privée Est puni d un an d emprisonnement et de 5,4 millions de CFP d amende le fait, au moyen d un procédé quelconque de porter volontairement atteinte à l intimité de la vie privée d autrui en fixant, enregistrant ou transmettant sans le consentement de celle-ci, l image d une personne se trouvant dans un lieu privé Art Code pénal Est puni des mêmes peines le fait de conserver, porter ou laisser porter à la connaissance du public ou d un tiers ou d utiliser de quelque manière que ce soit tout enregistrement ou document obtenu à l aide de l un des actes prévus par l article Comment s en prémunir? Faire remplir au préalable une demande d autorisation auprès des personnes concernées, sauf cas prévus par la loi. Sans oublier de faire remplir pour les personnes mineurs une demande d accord auprès des parents Art Code pénal Usurpation d identité Le fait d usurper l identité d un tiers ou de faire usage d une ou plusieurs données de toute nature permettant de l identifier en vue de troubler sa tranquillité ou celle d autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d un an d emprisonnement et de 1,8 million CFP d amende. Art Code pénal

6 CADRE REGLEMENTAIRE APPLICABLES EN NC Le code qui régit les dispositions relatives aux droits d auteurs Code la propriété intellectuelle Régit Les droits d auteur Les droits voisins du droit d auteur Les dispositions générales relatives au droit d'auteur, aux droits voisins et aux droits des producteurs de bases de données adapté par des lois régissant le support internet Loi «DADVSI» n du 1 er août 2006 relative aux droits d auteur et droits voisins dans la société de l information à la commission copie privée Loi «Création & Internet» du n du 12 juin 2009 protège les créations sur internet crée la Haute Autorité pour la Diffusion des Œuvres et la Protection des droits Internet (HADOPI) Loi «Protection pénale de la propriété littéraire et artistique sur internet» du n du 12 juin 2009 HADOPI est autorisée à surveiller les réseaux et à mettre en œuvre les procédures de sanctions prévues par la loi

7 CADRE REGLEMENTAIRE APPLICABLES EN NC L adaptation de la loi de 1881 sur les délits de presse à la cybercriminalité Lorsque l on publie ou diffuse du contenu sur un site WEB ou un blog, les auteurs de ces supports ne doivent pas enfreindre les infractions dites infractions «presse» loi du 29 juillet 1881 modifiée en 2004 Les contenus publiés ne doivent pas reposer sur les principes suivants : La diffamation L injure La diffamation et l injure à raison du sexe, l orientation sexuelle ou le handicap Le provocation à la discrimination et à la haine raciale L apologie de crimes ou la contestation des crimes contre l humanité Les propos discriminatoires à caractère sexiste ou homophobe L offense au Président de la République Le délit de fausses nouvelles Les interdictions d images etc.

8 PREALABLES Le contrôle interne de l utilisation d internet et des messageries est nécessaire ET règlementé Outil : charte informatique interne Le contrôle externe est nécessaire pour palier les attaques

9 OBLIGATIONS : Collecte licite et loyale Destinataires limités (6) Sécurité (5) Finalité Déterminée Proportionnée Explicite Légitime (1)? Information et accord préalables des personnes (4) Données -adéquates, - pertinentes, - non excessives au regard des finalités (2) Données mises à jour avec une Durée de conservation limitée (3)

10 OBLIGATIONS Système d information et données de l entreprise : principe Article 34 LIL : assurer la sécurité et la confidentialité des données personnelles Des moyens de sécurité obligatoire pour l entreprise Notion d obligation de moyens et obligation de résultat Cas particulier des données sensibles Jurisprudences (nationale et locale) Référentiels CNIL

11 OBLIGATIONS Système d information et données de l entreprise : Limites Dans les relations internes Protection dans l accès aux données Salariés signataires de la charte informatique prestataires signataires des clauses protectrices dans les contrats autres (institutions, partenaires sociaux, commerciaux) pouvant être signataires de convention d usages des données Dans les relations externes L obligation de déclarer ses fichiers auprès de la CNIL Obligation d information ou de recueil du consentement des personnes fichées, délais d archivage

12 Et en cas de violation, quelle procédure? Procédures CNIL Signalement de la violation auprès de la CNIL Information des personnes Audit et plan d actions (contrôle de la CNIL) Ex : faille openssl (heartbleed) Sanctions administratives et pénales Sanctions CNIL vers le responsable de traitement Exemples : Crédit mutuel, crédit agricole, Orange Sanctions judiciaires et pénales vers le cyberdélinquant Équilibre entre responsabilité du délinquant et faute de la victime

13 Et quelles sanctions? La sécurité des fichiers Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d information) et adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de d'amende. Article du code pénal La confidentialité des données Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc). La communication d informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de d'amende. La divulgation d informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de d amende. Article du code pénal L information des personnes Le responsable d un fichier doit permettre aux personnes concernées par des informations qu il détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l existence de droits, les transmissions envisagées. Le refus ou l'entrave au bon exercice des droits des personnes est puni de 1500 par infraction constatée et en cas de récidive. Art du code pénal Décret n du 20 octobre 2005 La durée de conservation des informations Les données personnelles ont une date de péremption. Le responsable d un fichier fixe une durée de conservation raisonnable en fonction de l objectif du fichier. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d'emprisonnement et de d'amende. Article du code pénal L'autorisation de la CNIL Les traitements informatiques de données personnelles qui présentent des risques particuliers d atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être soumis à l'autorisation de la CNIL. Le non-accomplissement des formalités auprès de la CNIL Article est sanctionné du code de pénal 5 ans d'emprisonnement et d'amende

14 e la nécessaire coopération des intermédiaires techniques Irresponsabilité de principe des prestataires Activité de transmission de l opérateur : OPT «Toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communication électronique». Pas tenu à une obligation générale de surveillance des contenus transportés Activité de fournisseur d accès Dont «l activité est d offrir un accès à des services de communication en ligne». (art.6.i1 LCEN) Tenu à une obligation de surveillance ciblée (et non générale) Afin de concourir à la lutte contre l apologie des crimes contre l humanité, l incitation à la haine raciale, l apologie des crimes et délais et diffusion d images pédophiles ET Une obligation de signalement : 1) Mettre en place un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance ce type de données 2) Informer promptement les autorités publiques compétentes de toutes activités illicites qui leur seraient signalées 3) Rendre public les moyens consacrés à la lutte contre cette activité Activité d hébergeur «Personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d écrits, d images, de sons ou de messages de toutes natures fournis par des destinataires de ces services». (art. 6.I.2.1 LCEN)

15 e la nécessaire coopération des intermédiaires techniques Les limites à leur irresponsabilité Activité de transmission de l opérateur Irresponsable à la condition qu il ne soit pas à l origine de la transmission, ne sélectionne pas le destinataire de la transmission, et ne sélectionne ni ne modifie les informations faisant l objet de la transmission Activité de fournisseur d accès Irresponsable à la condition qu il ne modifie pas l information et qu il se conforme aux conditions d accès à l information et aux règles de mise à jour de cette dernière Activité d hébergeur Irresponsable s ils n avaient pas effectivement connaissance de leur caractère illicite ou de faits ou circonstances faisant apparaître ce caractère, si dès le moment où ils en ont eu cette connaissance, ils ont agi promptement pour retirer ces données ou en rendre l accès impossible

16 e la nécessaire coopération des intermédiaires techniques Ce que nous révèle l expérience 10 ans après Leur rôle passif est mis en doute Manipulateur de données personnelles Participant à l accès aux contenus contraires aux lois (voire le favorisant) Mobilisation (voire assignation) par l Etat de plus en plus accentuée, exigée par la prévention ou la répression des infractions commises via Internet La voie : coopération publique/privée sur une base partenariale

17 POUR ALLER PLUS LOIN... Les «10 commandements» pour éviter les manquements et valoriser vos données 1. Anticiper la gestion des cyber-risques par des plans, des audits, des formations 2. Identifier les traitements (avec les organisations informatique, juridique et opérationnelle) et les manquements 3. Présenter votre plan d actions à la DG/ Présidence qui hiérarchise les mesures à mettre en place (et s implique ) 4. Déclarer les traitements à la CNIL (de manière centralisée ou non) ou sur le registre si CIL 5. Conserver et centraliser la trace de toutes les déclarations et les classer en un seul endroit 6. Proposer des méthodes de collectes de données et d information praticables par les collaborateurs, Formaliser les pratiques retenues (fiches pratiques, note d information, clause-type, contrat de sous-traitance, partenariat, support de formation) 7. Informer les personnes «fichées» 8. Rendre effectif le droit d accès aux personnes «fichées» (définir une procédure de gestion des courriers CNIL garantissant une réponse satisfaisante et rapide aux demandes formulées par la CNIL) 9. Respecter les principes et engagements définis 10.Participer à des relais publics/privés officiels basés sur un partenariat