Droit et cybersécurité des objets connectés

Documents pareils
LA RESPONSABILITE CIVILE ET PENALE EN MATIERE DE SANTE AU TRAVAIL : BREF ETAT DES LIEUX

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

Les cyber risques sont-ils assurables?

N 2345 ASSEMBLÉE NATIONALE PROPOSITION DE LOI

Big Data: les enjeux juridiques

Nathalie Métallinos Avocat à la Cour d'appel de Paris

Aspects juridiques des tests d'intrusion

LES RESPONSABILITES DES AGENTS PUBLICS DE L ÉTAT. Formation AVS Janvier 2013

Jurisanimation.fr Tous droits réservés. Les docs de LA RESPONSABILITE DU DIRECTEUR D ACM

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

RESPONSABILITE DU DIRIGEANT EN DROIT DU TRAVAIL

LE DOCUMENT UNIQUE DE DELEGATION

Nous constatons de nos jours

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Le Réseau Social d Entreprise (RSE)

Prévention LES ENJEUX DE LA PREVENTION. Infos INTRODUCTION : SOMMAIRE :

La responsabilité civile et pénale. Francis Meyer -Institut du travail Université R. Schuman

Titre I Des fautes de Gestion

COURTIER EN ASSURANCE I. CONDITIONS REQUISES. A. Age et nationalité 23/07/2012

La responsabilité des directeurs d unité

Denis JACOPINI est l auteur de ce document. Il est joignable au et sur conferences@lenetexpert.fr

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

Responsabilité de l'expert-comptable

- La mise en cause d une personne déterminée qui, même si elle n'est pas expressément nommée, peut être clairement identifiée ;

Responsabilité civile et pénale de l instituteur

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Invitation séminaire «sûreté entreprise» Sujets abordés: Axes des interventions : Approches Conséquences

Avons ordonné et ordonnons:

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Yves Delessert Etre bénévole et responsable

Le contrat Cloud : plus simple et plus dangereux

Les divulgations face à la loi : informer sur les sanctions, peut-on efficacement agir en justice?

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

Recommandations sur le Cloud computing

Management des organisations et stratégies Dossier n 10 Veille et intelligence économique

NOTIONS DE RESPONSABILITE

SARL NGP INFORMATIQUE au capital de 45059, RCS Rennes NAF 4741Z siège social 9, square du 8 mai RENNES CONDITIONS GENERALES

BANQUE, ASSURANCE ET BIG DATA

LES BASES JURIDIQUES DE LA RESPONSABILITE & DE L ASSURANCE EN MATIERE DE RECHERCHE BIOMEDICALE DIU-FARC-TEC 04/11/2009 1

REPUBLIQUE FRANCAISE AU NOM DU PEUPLE FRANCAIS. LA COUR DE CASSATION, DEUXIÈME CHAMBRE CIVILE, a rendu l arrêt suivant :

Nathalie Calatayud - Responsabilité juridique de l'infirmière

CONDITIONS GENERALES D'UTILISATION. Date de dernière mise à jour et d entrée en vigueur : 11 mai 2015.

Projet de loi Q 6 9 cdmiliétant la loi n formant code de commerce

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

L entreprise face à la Cybercriminalité : menaces et enseignement

Atelier A12. Gestion du contentieux de sinistre Quelles parties prenantes?

Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

BREVET DE TECHNICIEN SUPÉRIEUR INFORMATIQUE DE GESTION

Les principales dispositions de la LOPPSI 2

LES "RPAS" CIVILS RESPONSABILITES ET ASSURANCE

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

L USAGE PAISIBLE DE L INFORMATIQUE. Les solutions assurantielles pour mieux gérer les risques de dommages immatériels

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

Dillenschneider Favaro & Associés

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

DES RESSOURCES INFORMATIQUES DE L'IFMA

ACTUALITÉS ASSURANCES & RISQUES FINANCIERS

Partie 1 - La gestion des risques : identifier, prévenir, éviter, réduire, transférer les risques?

Quelles assurances proposer? Focus sur le cloud computing

CHAPITRE 1 : LA PROFESSION COMPTABLE

PROTÉGER VOS BASES DE DONNÉES

1/ LES CARACTÉRISTIQUES DU CYBER-HARCÈLEMENT

Code de conduite Zoomit

«OUTIL DE GESTION DE LA RELATION CLIENT - CRM» CONVENTION DE PRESTATIONS

Responsabilités juridiques et sécurité dans les accueils collectifs de mineurs

RESPONSABILITE ET ASSURANCES

LA FAUTE MEDICALE : L assurance de responsabilité civile UIA SOFIA 2014

La responsabilité juridique des infirmiers. Carine GRUDET Juriste

BYOD : Suppression des frontières numériques professionnelles

DE LA R^PUBLIQUE FRAN AISE. Mandature Seance du 13 janvier 2015 LES DONNEES NUMERIQUES: UN ENJEU D'EDUCATION ET DE CITOYENNETE

Contrat de création d un site web

Revue d actualité juridique de la sécurité du Système d information

C a b i n e t B a r o n

Emplacement de la photo d ouverture du domaine

BULLETIN OFFICIEL DU MINISTÈRE DE LA JUSTICE n 102 (1 er avril au 30 juin 2006)

En devenant majeur-e, vous devenez responsable de vos actes, c est-à-dire que vous en mesurez toutes les conséquences.

Règlement de la consultation

DISPOSITIF FEMMES EN TRES GRAND DANGER BILAN D UNE ANNÉE D EXPÉRIMENTATION

Le régime de la responsabilité civile des enseignants

La fraude fiscale : Une procédure pénale dérogatoire au droit commun. Par Roman Pinösch Avocat au barreau de Paris

LAR Police IZEO pour mandataires sociaux

La lutte contre le blanchiment de capitaux et le financement du terrorisme

Demande d assistance en Protection Juridique Nouvelle déclaration

Continuité d activité. Enjeux juridiques et responsabilités

Condition générales d'utilisation sur le site et pour toute prestation gratuite sur le site

Introduction au droit La responsabilité professionnelle

Gestion des Incidents SSI

LANGER-NETTER-ADLER AVOCATS AUX BARREAUX DE PARIS ET GENEVE SAVOIR. FAIRE.

Demande d aide juridictionnelle

RESPONSABILITES ET ASSURANCE DANS LE DOMAINE ASSOCIATIF

Les responsabilités des professionnels de santé

CONTRAT DE MAINTENANCE "Matériel informatique"

ACCORD DE SOUS-LICENCE ET DE CERTIFICATION

POUVOIRS & RESPONSABILITÉS

Solution logicielle IDEA

Commentaire concernant l ordonnance sur les certifications en matière de protection des données

RISQUE SPORTIF, RESPONSABILITES ET ASSURANCE. MONTPELLIER 27 mai 2013

Transcription:

16 juin 2016 Droit et cybersécurité des objets connectés François Coupez Avocat à la Cour, associé Droit des nouvelles technologies, de l informatique et de la communication Chargé d enseignement à l Université de Paris II Panthéon- Assas, au CELSA

Le Cabinet ATIPIC Avocat Assiste et conseille les entreprises en droit des nouvelles technologies / propriété intellectuelle Marques, Brevets, Dessins & Modèles, Nom de domaine et droit d auteur, Innovation et transformation numérique, Sécurité des SI, Données personnelles, Contrats informatiques, Dématérialisation, E- commerce, Evaluation, gestion et protection du patrimoine informationnel et actif immatériel, etc. Analyse juridique rigoureuse Certificat de spécialisation en droit des nouvelles technologies, de l informatique et de la communication + Compréhension du fonctionnement technique + Orientation business Anticiper les problématiques juridiques pour mieux les gérer Proposer des solutions juridiques innovantes prenant en compte l ensemble des impératifs 2

La cybersécurité des objets connectés une priorité? Une multiplication du nombre des objets et de leur diversité (drones, capteurs d activité, balances, ampoules, lunettes, voitures, etc.) Une sécurité rarement pensée dès l origine Une mise à niveau souvent compliquée Des exemples de piratage toujours plus nombreux Une surface de risque en augmentation constante Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 3

De nombreux textes applicables sans les viser strictement et notamment Loi Godfrain du 5 janvier 1988 relative à la fraude informatique Loi de 1978 sur la protection des données personnelles Règlement «données personnelles» - RGPD Règlement «identification électronique et services de confiance» Projet de Directive «NIS» (Network and information security) Projet de Loi pour une République numérique Les textes propres à l écosystème de l objet connecté (transport, santé, etc.) Des textes pour réprimer les atteintes et des textes pour imposer leur sécurisation Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 4

Le renforcement des sanctions contre les cyber-criminels La loi Godfrain du 5 janvier 1988 relative à la fraude informatique : l objet connecté est un STAD! Des incriminations au large spectre d efficacité En 2004, lutte contre détention indue des solutions servant au piratage (y compris publication des moyens d exploiter les failles) En 2012, circonstance aggravante si cible = système de traitement automatisé de données à caractère personnel mis en œuvre par l'etat Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 5

Le renforcement des sanctions contre les cyber-criminels En 2014, pénalisation du «vol d informations» extraites d un SI Une sanction plus forte que le vol physique! En 2015, forte aggravation des peines L art. 11 du projet de loi «renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l efficacité et les garanties de la procédure pénale» Une volonté politique forte sans cesse réaffirmée, une application très mesurée par les tribunaux Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 6

La loi de 1978 : protéger les données personnelles collectées Difficile d imaginer un objet connecté sans penser «donnée personnelle» (mais pas impossible) L article 34 et l obligation de sécurité des données art. 226-17 du Code pénal Les sanctions actuelles de la CNIL La question des données de santé Des limites, dont législateurs français et européen sont conscients Le renforcement des sanctions de la CNIL par le projet de loi numérique 1 500 000 (x10) Information des personnes de l existence de la sanction, aux frais de l entreprise sanctionnée Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 7

Focus sur le Règlement européen sur la protection des données à caractère personnel (RGPD ou GDPR) Un texte structurant, applicable dès le 25 mai 2018 Un enjeu de société Une application mondiale en principe L accountability : l enjeu de la conformité L analyse d impact, les exigences fortes en matière de sécurité, l interconnexion de fichiers, les notifications des violations de sécurité, les droits des personnes, les labels, etc. La coresponsabilité du sous-traitant Privacy by design et Legal by design? Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 8

Accountability du RGDP : que le règne de la conformité vienne Faire ne suffit pas, il faut prouver que l on a : Evalué objectivement les risques de chaque traitement pour les droits et libertés des personnes physiques et mis en œuvre les mesures adaptées (analyse de risque) Rédigé des règles internes et des procédures strictes sur tous les aspects du traitement Conservé les traces documentaires Conservé les instructions données au sous-traitant et prévu de strictes clauses contractuelles (également à destination des sous-sous-traitant éventuels) Fait appliquer ces règles (audits, etc.) Réalisé les études d impact pour certains traitements Une traçabilité de tous les instants Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 9

Responsabilité... et co-responsabilité Aujourd hui : le donneur d ordre est le responsable du traitement, pas de délégation de responsabilité Application des règles difficiles par exemple vis-à-vis de certains prestataires US Avec le Règlement : le donneur d ordre est le responsable du traitement mais le prestataire peut devenir co-responsable Les nécessaires garanties du sous-traitant comme conditions de choix par le client Une sous-sous-traitance encadrée strictement Une assistance pour les aspects sécurité et pour le respect des droits d accès, etc. La voie contractuelle pour la distinction des rôles Une assistance pour la preuve des obligations les audits et les inspections! Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 10

Aspect sécurité : on rappelle et précise ce qui est connu Articles 32 à 34 section spécifique Mesures techniques et organisationnelles appropriées, compte tenu du risque (précédemment analysé) Des exemples donnés : pseudonymisation, chiffrement, procédure PDCA, etc. Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 11

Des sanctions qui changent non plus de monde, mais d univers Des sanctions pécuniaires de jusqu à 10 M / 20 M ou, dans le cas d une entreprise, jusqu à 2% / 4 % du CA «annuel mondial total de l'exercice précédent, le montant le plus éleve étant retenu» Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 12

Une évolution probable grâce au RGPD Renforcement de la sécurité globale Meilleure connaissance de la menace Renforcement du contrôle des sous-traitants donc des fabricants et distributeurs d objets connectés Du fait des risques de lourdes sanctions Et surtout liée à la co-responsabilité de ces derniers La barrière à l entrée liée au privacy by design La certification et les labels ad hoc comme avantages concurrentiels La conformité pour renforcer la confiance des clients Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 13

En attendant, la pression sur les entreprises (fabricants, distributeurs, utilisatrices etc.) prend de multiples formes Quand la CNIL transforme l obligation de moyens en obligation de résultat : 12/06/2014, sanction de DHL 20 sanctions publique de la CNIL pour défauts de sécurité ces 30 derniers mois Les obligations sectorielles (secteur de la santé, transports, etc.) Les conséquences de l'utilisation au sein de l'entreprise : BYOCL = BYOD 2 L'utilisation des données générées : big data, impact sur le droit de la preuve,... Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 14

Rappel sur les conséquences annexes d'un défaut de sécurisation des objets connectés distribués 19/03/2014, la Cour de cassation bouleverse sa jurisprudence établie Une cybersécurité insuffisante diminue le droit à réparation du préjudice de la victime Cela dépend de l appréciation de la faute de la victime par les magistrats Un impact sur les assurances cyber... Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 15

Vers une quadruple peine pour l entreprise en cas de piratage des objets connectés distribués 1 Toutes les conséquences négatives «classiques» liées au piratage (pertes, efforts de remédiation, indisponibilité, effets d image, procès, voire actions de groupe, etc.) 2 3 4 En cas de données personnelles accédées, risque CNIL de constatation d un défaut de sécurité Si un défaut de sécurité a permis le piratage, diminution des dommages intérêts en conséquence Et risques de sanctions diverses (pénales? A terme surtout 2% CA mondial + notation financière en berne ) Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 16

Avez-vous des questions? Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 17

Merci de votre attention! François COUPEZ Avocat à la Cour, Associé Droit des nouvelles technologies, de l informatique et de la communication f.coupez@atipic.legal 31, boulevard Malesherbes, 75008 Paris 01 80 48 11 25 @f_coupez Certaines images sur cette présentation sont la propriété de la société Fotolia ou de ses fournisseurs et ayants droits : alphaspirit, Africa Studio Svitlana Belinska, Tommaso Lizzul, jo rn buchheim, Sergey, Tom Wang, storm, alphaspirit Coloures-pic Spectral-Design, Pei Lin, nerthuz Matinale Cybercercle Objets connectés et cybersécurité F Coupez - 16 juin 2016 Tous droits réservés - 18

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back