SSI : quand sécurité rime avec responsabilité! Marie Barel - Juriste, consultant spécialisé TIC/SSI



Documents pareils
Revue d actualité juridique de la sécurité du Système d information

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

Responsabilité professionnelle des Infirmiers

LE DOCUMENT UNIQUE DE DELEGATION

Charte d'hébergement des sites Web sur le serveur de la Mission TICE de l'académie de Besançon

Réglement intérieur. Supélec Rézo

TIC : QUELS RISQUES JURIDIQUES POUR L ENTREPRISE? COMMENT LES LIMITER? Présentation 9 Avril 2015

Continuité d activité. Enjeux juridiques et responsabilités

Jean Juliot Domingues Almeida Nicolas. Veille Juridique [LA RESPONSABILITE DES ADMINISTRATEURS SYSTEMES ET RESEAUX]

La responsabilité juridique des infirmiers. Carine GRUDET Juriste

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

La responsabilité juridique des soignants

Institut Interuniversitaire de médecine du travail de Paris Ile de France, 16 mars. S Fantoni Quinton, CHRU Lille

La responsabilité pénale dans l entreprise

Les divulgations face à la loi : informer sur les sanctions, peut-on efficacement agir en justice?

Jurisanimation.fr Tous droits réservés. Les docs de LA RESPONSABILITE DU DIRECTEUR D ACM

CHARTE INFORMATIQUE LGL

LES RESPONSABILITES DES AGENTS PUBLICS DE L ÉTAT. Formation AVS Janvier 2013

Notions de responsabilité. Stage initial initiateur CTD 74 - nov Jean-Pierre GUERRET

LA RESPONSABILITE DES DIRIGEANTS

Les responsabilités à l hôpital

TITRE VI- De diverses infractions liées au commerce électronique

AT/MP 3. - Responsabilité pénale et délégation de pouvoirs. Maître Olivier BARRAUT 09/10/2014

Dossier pratique n 6

La faute et les délits non intentionnels M. Benillouche

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

L ABUS DE CONFIANCE I - CONDITION PREALABLE A - LES BIENS CONCERNÉS B - LA REMISE DU BIEN

Législation et droit d'un administrateur réseaux

Notions de responsabilité. Commission Technique Régionale Est

Formation des formateurs relais 3RB. Paris, 2 et 3 avril 2009

DIRECTIVE SUR L UTILISATION DES OUTILS INFORMATIQUES, D INTERNET, DE LA MESSAGERIE ELECTRONIQUE ET DU TELEPHONE ( JUIN V.1.

Secourisme en milieu de travail et responsabilité des différents acteurs.

CHARTE WIFI ET INTERNET

CHARTE D UTILISATION DES MATERIELS, DE L INTERNET, DES RESEAUX ET DES SERVICES MULTIMEDIAS DANS LE CADRE EDUCATIF DE L ETABLISSEMENT SCOLAIRE

Le guide des parents

Responsabilité civile et pénale de l instituteur

Loi C-28: Première loi «anti-spam» au Canada

VIE PROFESSIONNELLE ET RESPECT DE LA VIE PRIVEE Par Béatrice CASTELLANE, Avocate au Barreau de Paris

Quel cadre légal pour l exploitation des «Big data»? Jean-François Forgeron

Nathalie Calatayud - Responsabilité juridique de l'infirmière

Aspects juridiques des tests d'intrusion

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Les autorités judiciaires françaises n ont pas mis en œuvre de politique nationale de prévention dans ce domaine.

La responsabilité civile et pénale. Francis Meyer -Institut du travail Université R. Schuman

OSSIR Groupe de travail. Livre blanc sur les logs

COMPRENDRE, EVALUER ET PREVENIR LE RISQUE DE CORRUPTION

Règlementation : Notion de Responsabilité

Directive Lpers no 50.1

Introduction au droit La responsabilité professionnelle

Charte informatique du personnel

SÉCURITÉ INFORMATIQUE

Principes de bonne pratique :

Droit du travail - Jurisprudence. Inaptitude médicale résultant de faits de harcèlement moral

Nous constatons de nos jours

Yves Delessert Etre bénévole et responsable

CHARTE INFORMATIQUE. Usage de ressources informatiques et de service Internet

Charte d'hébergement des sites Web

DES RESSOURCES INFORMATIQUES DE L'IFMA

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

87 boulevard de Courcelles PARIS Tel : Fax : contact@haas-avocats.com

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

Guide de Conduite Éthique des Affaires Guide de bon usage de la messagerie électronique

Toute utilisation du site doit respecter les présentes conditions d utilisation.

Introduction : un contentieux aux trois visages différents

L EVALUATION PROFESSIONNELLE

LA RESPONSABILITE CIVILE ET PENALE EN MATIERE DE SANTE AU TRAVAIL : BREF ETAT DES LIEUX

Académie d Orléans-Tours Février Proposition de situation d enseignement Christine Fillâtre et Marie-Line Zanon

Charte d installation des réseaux sans-fils à l INSA de Lyon

CHARTE D UTILISATION DU SYSTEME D INFORMATION

Données informatiques et droit des salariés

Communication : de quels droits disposez - vous?

Conférence Débat : Traçabilité et Monitoring

onditions Générales P h o n e W e b M é d i t e r r a n é e Club des Pins - STAOUELI- Tél : Fax: info@phoneweb-med.

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Le droit d auteur et les. thèses électroniques

Guide de connexion sur les bornes hot-post WIFI de la collectivité de Saint-Pierre

CHARTE D UTILISATION DU SYSTEME DE TRAITEMENT DE L INFORMATION ET DE LA COMMUNICATION DOCUMENT ANNEXE AU REGLEMENT INTERIEUR

En devenant majeur-e, vous devenez responsable de vos actes, c est-à-dire que vous en mesurez toutes les conséquences.

Le régime de la responsabilité civile des enseignants

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Avertissement. Le Conseil général. L association ADEJ. Les jeunes connaissent bien les dangers d Internet.

Directive de la Direction 6.2. Utilisation d Internet, de la messagerie électronique, des réseaux sociaux, de la téléphonie et du poste de travail

LE PRET DE MAIN D OEUVRE

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

Qu est ce qu un ?

Responsabilités. du dirigeant : quels risques pour vous. Nul n est censé ignorer la loi : voilà un

BULLETIN D ACTUALITES JURIDIQUES

La cybercriminalité et les infractions liées à l utilisation frauduleuse d Internet : éléments de mesure et d analyse pour l année 2012

CE : comment obtenir vos budgets

RESPONSABILITE ET ASSURANCES

- La mise en cause d une personne déterminée qui, même si elle n'est pas expressément nommée, peut être clairement identifiée ;

VIEW FROM SWITZERLAND ON FIGHTING CYBER CRIME

RISQUE SPORTIF, RESPONSABILITES ET ASSURANCE. MONTPELLIER 27 mai 2013

Règlement relatif à l utilisation des ressources informatiques et de télécommunication

Collège MARCEL ANDRE Le Promenoir Seyne-les-Alpes Tél :

REPUBLIQUE FRANCAISE AU NOM DU PEUPLE FRANCAIS. LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l arrêt suivant :

Les victimes et auteur-e (s) de violences domestiques dans la procédure pénale

E-RÉPUTATION ET MAUVAISE RÉPUTATION

ASSURANCE RC MANDATAIRES SOCIAUX Questions/Réponses. Questions relatives à l objet des garanties :

Transcription:

SSI : quand sécurité rime avec responsabilité! Marie Barel - Juriste, consultant spécialisé TIC/SSI 1

Introduction : le contexte actuel Des professionnels de la SSI dans la tourmente Nouvelles lois, nouvelles contraintes et nouvelles sources de responsabilité La nécessité d appréhender de nouveaux risques faisant appel à des compétences plus larges Des responsabilités en cascade : civile ou pénale, personnelle ou du fait d autrui, avec ou sans faute, 2

Analyse de cas (1) Scenario 1 : responsabilité du fait d un préjudice causé à un tiers au travers du système d information Exemple de la défaillance de la sécurité du système causant une perte de données à caractère personnel - Longue chronique d actualités sur ce sujet : pour une gestion responsabilisante - Art. 34 de la LIL (modifiée par la loi du 6.8.2004) / art.226-17 CP (5 ans d emprisonnement et 300.000 euros d amende) - L affaire Kitetoa : la sécurité du système comme condition de l incrimination d accès frauduleux? 3

Analyse de cas (2) Hypothèse de l attaque par rebond : exemple de serveurs de messagerie mal configurés utilisés comme relais pour la propagation d un virus dissimulé dans un mail à caractère de spam - Responsabilité pénale et intention délictueuse - Responsabilité civile en vue de la réparation du dommage : la faute non intentionnelle - Organisation de la preuve de son innocence et posture de «poursuivant» 4

Analyse de cas (3) Scénario 2 : responsabilité engagée du fait des agissements d un salarié L employeur, responsable civilement : l affaire LUCENT TECHNOLOGIES TGI Marseille, 11 juin 2003 / CA Aix-en-Provence, 13 mars 2006 (confirmation) http://www.legalis.net/jurisprudencedecision.php3?id_article=1611 - La responsabilité du commettant du fait de ses préposés : article 1384 alinéa 5 du Code civil Conditions d exonération (AP, 19 mai 1988): le salarié a agi i hors des fonctions auxquelles il est employé, ii sans autorisation et iii à des fins étrangères à ses attributions. Crim., 23 juin 1988 : est dans l exercice de ses fonctions le salarié qui a trouvé dans son emploi «l occasion et les moyens de sa faute». - De l importance de la qualité des chartes d usage des ressources informatiques 5

Analyse de cas (4) Comportement délictueux du salarié accompli dans le cadre de son emploi - Une hypothétique condamnation de l entreprise et son dirigeant sur le fondement de l obligation de surveillance et de contrôle interne : des conditions difficiles à remplir Preuve de la participation intentionnelle de l employeur à la commission de l infraction Salarié ayant agi à l insu de ce dernier : exit la coaction La complicité écartée faute d une «participation volontaire et consciente de l aide apportée» (T.corr. Lyon, 19 déc. 1983), «une simple négligence ne pouvant être assimilée à une participation intentionnelle» (Crim., 6 déc. 1989) Exemple du téléchargement d images pédophiles par un salarié sur l Internet : Tribunal correctionnel du Mans, 16 février 1998 Intérêt à «se placer du côté des poursuivants» en dénonçant les agissements délictueux : l abstention ou le silence «en connaissance de cause» susceptible de se transformer en «aide ou assistance» 6

Analyse de cas (5) Scenario 3 : responsabilité engagée du fait des mesures de cybersurveillance opérées sur le réseau d entreprise La licéité des contrôles : un fragile équilibre entre respect des droits du salarié et droit de surveillance de l employeur Exemple du contrôle de la messagerie : TGI Paris, 2 nov. 2000 ; CA Paris, 17 déc. 2001 (affaire du laboratoire PNMH Charte Renater) Notion d interception illégale de correspondances (art.226-15 C.Pén.) et accès au contenu des messages Limites de la mission de contrôle des administrateurs réseaux en charge des opérations de surveillance - Divulgation de contenu et devoir de confidentialité - Question en suspens : comment réagir face à la constatation de faits graves ou répétés, préjudiciables à l entreprise (voire à un tiers) et nécessitant des mesures d investigation non contradictoires? 7

Analyse de cas (6) Exemple de l opération commando «bureau propre» : Cass.soc., 17 mai 2005 - http://www.droit-tic.com/juris/aff.php?id_juris=29 Faits de l espèce : Découverte de photos érotiques* dans le tiroir du bureau d un salarié absent Recherche sur le disque dur du PC de fichiers de nature similaire «Ensemble de dossiers totalement étrangers (aux) fonctions figurant sous un fichier intitulé perso» et ayant motivé un licenciement pour faute grave Attendu de principe : «l employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus dans le disque dur de l ordinateur qu en présence de ce dernier ou celui-ci dûment appelé», à moins que cela ne soit justifié par un «risque ou évènement particulier.» - Respect du contradictoire - Sauf (// jurisprudence en matière de fouille sur le lieu de travail) : * atteinte à la sécurité de l entreprise * degré de gravité certain * caractère d urgence Remarque : sur la possession et la consultation d images érotiques ou pornographiques. 8

Analyse de cas (7) Scenario 4 : responsabilité engagée du fait d un défaut de conformité à la réglementation Exemples divers Dispositions relatives à la collecte, la conservation, les flux transfrontaliers de données à caractère personnel (loi n 2004-801 du 6 août 2004, article 14) Obligations en matière de conservation des données techniques de connexion (loi du 15 nov. 2001 ; décret d application du 24 mars 2006) Règles en matière de contrôle l export, (parfois) l import, la fourniture et l usage de biens de cryptologie (Loi n 2004-575 du 21 juin 2004 «LCEN», Titre III, chapitre 1 er ) DSI/RSSI en charge de l application des textes : conditions d une délégation de pouvoir valide et d un transfert de responsabilité du chef d entreprise vers les managers de niveau intermédiaire. Autorité Compétences Moyens Délégation précise et ayant un caractère de permanence, information sur les conséquences de la délégation Sub-délégation possible (Crim, 30 octobre 1996) 9

Bilan : «responsables mais pas coupables» 10

Conclusion : gardez la maîtrise! PGRJ (Politique de Gestion des Risques Juridiques) 1. Cartographie dans toutes les ressources de l entreprise des risques potentiels et obligations au regard des spécificités de l activité 2. Définition du niveau de risque acceptable (stratégie, environnement technique, commercial, humain) 3. Traitement du risque (réduction) et gestion du risque résiduel (assurance e.g.) Outils : Tableau de bord des risques juridiques, Chartes, Veille, Formation et sensibilisation des collaborateurs, Ressources spécialisées : CIL & co 11

CONTACT Marie BAREL, Links conseil Expertise TIC/SSI marie.barel@legalis.net 12

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back