Me Cathie-Rosalie JOLY

Transcription

1 Me Cathie-Rosalie JOLY Avocat Associé Cabinet Ulys et Docteur en droit Avocat au barreau de Paris et de Bruxelles (Liste E) Chargée d enseignement à l Université Paul Cezanne (Aix Marseille III) Chargée d enseignement à l Université de Montpellier DU Cybercriminalité cathierosalie.joly@ulys.net 14/06/ ULYS

2 DEUX MODES DE GESTION DE LA MOBILITÉ : BYOD / CYOD BYOD: Bring your own device Le salarié utilise ses équipements mobiles personnels (smartphone, tablet, etc.) à des fins professionnelles CYOD: Choose your own device L entreprise propose au salarié un catalogue d équipements mobiles prédéfinis avec des configurations conformes au SI de l entreprise 14/06/ ULYS

3 QUELLE RÉGLEMENTATION EN DROIT FRANÇAIS POUR LE CYOD / BYOD? Pas de réglementation spécifique Mais application possible de plusieurs réglementations existantes: Phénomène de la mobilité et du télétravail en évolution avec différents aspects déjà appréhendés par le droit français Loi Informatique et Libertés, protection des données personnelles et obligation de sécurité (avec des obligations renforcées pour certains secteurs : banque, santé, opérateurs télécoms, etc.); Règles spécifiques sur les fuites de données et les obligations de notification (en cours de renforcement au niveau européen avec le projet de règlement données personnelles); Protection des droits de propriété intellectuelle; Responsabilité et pouvoir de contrôle de l entreprise, 14/06/ ULYS

4 CYOD / BYOD: QUELS OUTILS POUR UNE GESTION MAÎTRISÉE DE LA MOBILITÉ EN ENTREPRISE? I. Quels sont les points d attention? Les obligations concernant la cybercriminalité et la sécurité des communications électroniques et des données La responsabilité de l entreprise du fait de son employé : PI, assurance, etc. Ressources humaines et protection de la vie privée des salariés II. Quelles solutions? Les bons outils juridiques : Charte informatique, règlement intérieur, contrat de travail Information/formation/sensibilisation du personnel Déclaration et autorisation des traitements à la CNIL 14/06/ ULYS

5 LES OBLIGATIONS CONCERNANT LA CYBERCRIMINALITÉ ET LA SÉCURITÉ DES COMMUNICATIONS ET DES DONNÉES Accès frauduleux au système Sanction de l atteinte aux systèmes de traitement informatisé des données Contamination et propagation de virus dans le système d information Est sanctionné le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données Obligations supplémentaires propres à certains secteurs: banque, santé, etc. Divulgation d informations confidentielles / couvertes par le secret professionnel 14/06/ ULYS

6 LES OBLIGATIONS CONCERNANT LA CYBERCRIMINALITÉ ET LA SÉCURITÉ DES COMMUNICATIONS ET DES DONNÉES Divulgation d informations confidentielles / couvertes par le secret professionnel TGI de Versailles du 18 décembre 2007 affaire Valéo : Cas d une stagiaire chinoise qui a copié sur son disque dur des fichiers confidentiels de la société Valéo. Condamnée pour abus de confiance à un an d emprisonnement et euros. Tribunal correctionnel de Clermont-Ferrand 26 septembre 2011 : Vol de données informatiques sans support matériel : une ancienne salariée qui avait transféré le jour de son départ de la société les données des fichiers clients et fournisseurs de son ex-employeur sur une clé usb pour les utiliser à son profit. «les faits de vol de données informatiques confidentielles au préjudice des sociétés X et Y sont établis». 14/06/ ULYS

7 LES OBLIGATIONS CONCERNANT LA CYBERCRIMINALITÉ ET LA SÉCURITÉ DES COMMUNICATIONS ET DES DONNÉES Respect des obligations contractuelles Evaluation des risques en fonction de la nature des données concernées et de la criticité du traitement Obligation de sécurité générale Mise ne œuvre de mesures techniques et organisationnelles assurant la protection des données personnelles - Art Code pénal Renforcement de la sécurité du SI des opérateurs télécom Le ministre chargé des communications électroniques peut imposer aux opérateurs de communications électroniques de soumettre leurs installations, réseaux et services à des contrôles de sécurité et d'intégrité Décret du 15/11/ /06/ ULYS

8 LES OBLIGATIONS CONCERNANT LA CYBERCRIMINALITÉ ET LA SÉCURITÉ DES COMMUNICATIONS ET DES DONNÉES Fuites de données personnelles (risque e-reputation) Obligation de notification imposée aux opérateurs télécoms et FAI : Sanction pénale : 5ans d'emprisonnement et d'amende Exemples de cas constitutifs d une fuite de données selon la CNIL Intrusion dans la base de données de gestion clientèle Récupération de données cartes bancaires dans la boutique en ligne d'un opérateur mobile Envoi par erreur à d autres personnes d un confidentiel destiné à un client Perte d'un contrat papier d'un nouveau client par un agent commercial en boutique 14/06/ ULYS

9 LES OBLIGATIONS CONCERNANT LA CYBERCRIMINALITÉ ET LA SÉCURITÉ DES COMMUNICATIONS ET DES DONNÉES Proposition de réforme globale des règles en matière de protection des données pour accroître la maîtrise que les utilisateurs ont sur leurs données, et réduire les coûts grevant les entreprises => Proposition de règlement (COM(2012) 11 final) 25/01/2012 Un corpus unique de règles relatives à la protection des données valable dans toute l Union européenne Pas de transposition exigée au niveau national => Le règlement s applique directement dans les Etats membres Renforcement des obligations et de la responsabilité du responsable du traitement des données personnelles: les entreprises et organisations devront, dans les meilleurs délais (si possible, dans un délai de 24 heures), notifier à l autorité de contrôle nationale les violations graves de données à caractère personnel Renforcement du pouvoir des autorités nationales indépendantes chargées de la protection des données => Sanctions financières: => Amendes qui pourront atteindre 1 million d EUR ou 2 % du chiffre d affaires annuel global de l entreprise 14/06/ ULYS

10 LES OBLIGATIONS CONCERNANT LA CYBERCRIMINALITÉ ET LA SÉCURITÉ DES COMMUNICATIONS ET DES DONNÉES Proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'union (COM(2013) 48 final) 7/02/2013 Obligation pour les opérateurs d'infrastructures critiques telles que les réseaux d'énergie et de transports, pour les principaux prestataires de services de la société de l'information (plateformes de commerce électronique, réseaux sociaux, etc.) et pour les administrations publiques d'adopter les mesures appropriées pour gérer les risques de sécurité et signaler les incidents graves aux autorités nationales compétentes Extension de l obligation de notification à tous les types de fuites de données (pas seulement les données personnelles)? 14/06/ ULYS

11 LA RESPONSABILITÉ DE L ENTREPRISE DU FAIT DE SON EMPLOYÉ: PI, ASSURANCE, ETC. Responsabilité pour des téléchargements illégaux S assurer que le compte internet n est pas utilisé à des fins de téléchargements illégaux Mettre en œuvre des outils techniques empêchant le téléchargement illégal La responsabilité de l entreprise est retenue en cas de négligence grave Licence de logiciel Risque encouru par l entreprise en cas d utilisation d applications privées à des fins professionnelles Risques de dommages aux personnes ou aux biens (assurance) Responsabilité de l entreprise du fait de ses employés 14/06/ ULYS

12 RESSOURCES HUMAINES ET PROTECTION DE LA VIE PRIVÉE DES SALARIÉS Ressources humaines Coûts financiers: CCass, 19/09/2012: L employeur doit rembourser son employé des dépenses qu il a supportées personnellement à des fins professionnelles Risque de discrimination (à l emploi, dans l accès au système d information) 14/06/ ULYS

13 RESSOURCES HUMAINES ET PROTECTION DE LA VIE PRIVÉE DES SALARIÉS Protection de la vie privée des salariés Respecter la durée légale du travail Respecter la vie privée des salariés Arrêt Nikon (Cass. soc., 2 oct. 2001) Présomption du caractère professionnel du fichier créé grâce au terminal professionnel => droit de l employeur d avoir accès au fichier Exception: lorsque le fichier est identifié comme un fichier «personnel» (Cass. Soc., 18 oct. 2006) Applications récentes: Dictaphone (Cass. Soc. 23 mai 2012): l employeur n a pas le droit de contrôler le terminal personnel du salarié utilisé au travail sans l en avertir Clé USB (Cass. Soc. 12 février 2013): «une clé USB, dès lors qu elle est connectée à un outil informatique mis à disposition du salarié par l employeur pour l exécution du contrat de travail, étant présumée utilisée à des fins professionnelles, l employeur peut avoir accès aux fichiers non identifiés comme personnels qu elle contient, hors de la présence du salarié» 14/06/ ULYS

14 CYOD / BYOD: QUELS OUTILS POUR UNE GESTION MAÎTRISÉE DE LA MOBILITÉ EN ENTREPRISE? I. Quels sont les points d attention? Les obligations concernant la cybercriminalité et la sécurité des communications électroniques et des données La responsabilité de l entreprise du fait de son employé : PI, assurance, etc. Ressources humaines et protection de la vie privée des salariés II. Quelles solutions? Les bons outils juridiques : Charte informatique, règlement intérieur, contrat de travail Information/formation/sensibilisation du personnel Déclaration et autorisation des traitements à la CNIL 14/06/ ULYS

15 LES BONS OUTILS JURIDIQUES: CHARTE INFORMATIQUE, RÈGLEMENT INTÉRIEUR, CONTRAT DE TRAVAIL, ETC. Avenants éventuels au contrat de travail Adapter la Charte informatique et l annexer au règlement intérieur Configuration minimale obligatoire pour la sécurisation du mobile et de l accès au SI Périmètre de la confidentialité (déterminer ce qui peut être conservé sur le terminal et à quelles conditions) Comment distinguer les différents types de données perso/pro, conditions d accès de l employeur, heure d accès et de disponibilité, conditions d effacement des données? Définir les applications qui sont à usage professionnel Définir le périmètre de la surveillance des réseaux Règles d indemnisation / avantages en nature, etc. 14/06/ ULYS

16 INFORMATION / FORMATION / SENSIBILISATION DU PERSONNEL Consultation des organes de représentation des salariés Information et consultation sur les problèmes généraux intéressant les conditions de travail Information et consultation préalablement à la décision de mise en œuvre, dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés Plan de formation des salariés 14/06/ ULYS

17 DÉCLARATION / AUTORISATION DES TRAITEMENTS Principes applicables à tout traitement de données personnelles relatif aux salariés Information préalable du salarié concernant tout traitement de ses données personnelles Traitement nécessaire et proportionné Limitation du traitement dans le temps Transparence Sécurité des données Déclaration préalable et adéquate à la CNIL Responsabilité du responsable du traitement Règles spécifiques en cas d exportation des données vers un Etat non membre de l UE (protection adéquate / binding corporate rules) Traitement nécessitant une déclaration / une autorisation Déclaration (simplifiée ou standard) Autorisation (par ex.: données biométriques) 14/06/ ULYS

18 CONFÉRENCE DÉJEUNER 16/05/2013 MERCI POUR VOTRE ATTENTION DOMAINES D INTERVENTION ULYS, un Cabinet d avocats moderne et humain au service de l innovation! New Technologies, Privacy & ICT Intellectual Property Cinema, Media & Entertainment E-Payment, E-Finance & Internet Banking Sport & Gaming Commercial Law 14/06/ ULYS 2012 Me Cathie-Rosalie JOLY (Avocat Associé Cabinet Ulys) 33 rue Galilée, PARIS cathierosalie.joly@ulys.net 18