INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise



Documents pareils
Obligation de notification des failles de sécurité : quand l Union Européenne voit double

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

Revue d actualité juridique de la sécurité du Système d information

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

«De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales?

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

Continuité d activité. Enjeux juridiques et responsabilités

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

CONDITIONS GENERALES DE VENTES -REFERENCEMENT NATUREL

Obligations en matière de Sécurité des Systèmes d Information Avec la contribution de

Conditions Générales d Utilisation de l Espace adhérent

CHARTE DU CORRESPONDANT MODELE TYPE

Les données à caractère personnel

Conditions générales pour l'utilisation (CGU) de PARSHIP.be Etat au

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

CHARTE INFORMATIQUE LGL

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Vu la loi n du 23 novembre 2005, portant statut de Bank Al-Maghrib ;

CyberRisks Pro. Questionnaire. Nom de la société proposante. Description des activités de la société proposante. Informations financières

Gestion des Incidents SSI

CHARTE INFORMATIQUE. Usage de ressources informatiques et de service Internet

Problématiques cross-border : comment démarcher un client fiscalisé et comment communiquer avec lui?

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

LICENCE D UTILISATION DE LA DO NOT CALL ME LIST : CONDITIONS GENERALES

Le contrat Cloud : plus simple et plus dangereux

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

CHARTE D UTILISATION DU SITE

TIC : QUELS RISQUES JURIDIQUES POUR L ENTREPRISE? COMMENT LES LIMITER? Présentation 9 Avril 2015

Atelier C06. Cyber résilience : Protéger ses données et celles de ses clients

CONDITIONS GÉNÉRALES DE VENTE. Les présentes conditions visent à répondre aux impératifs de l article L441-6 du Code de Commerce.

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Conditions générales d utilisation

Conditions Générales de Vente

Conditions d'utilisation de la plateforme NFX - NEXTER FILE EXCHANGE

CONDITIONS GENERALES. Service SMS

CONDITIONS GENERALES DE VENTE DES CHEQUES VOYAGES CLUB VOYAGEUR

CONDITIONS D UTILISATION «ESPACE PERSONNEL»

Big Data et le droit :

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Charte d'usage et de contrôle du Label Hosted in Luxembourg

CONDITIONS PARTICULIERES SOLUTIONS CLOUD. API : Interface de programmation pouvant être utilisé par le Client pour interagir avec ses Services.

CONDITIONS PARTICULIERES SOLUTIONS DE MESSAGERIE COLLABORATIVE

Contrat d interface pour l enregistrement et la gestion des noms de domaine qui dépendent du domaine ".ch" et ".li" conclu entre

CONDITIONS PARTICULIERES SITE BUILDER

Sommaire. 1. Préambule

Accès Gratuit - Conditions Générales d'utilisation

CONDITIONS GENERALES D UTILISATION DE L APPLICATION LINK MYPEUGEOT 1 - PREAMBULE

le Fichier central des chèques (FCC) et le Fichier national des chèques irréguliers (FNCI),

Médiathèque DASTRI Mentions légales

Cegid OPEN SECURITE PREMIUM

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

E-RÉPUTATION ET MAUVAISE RÉPUTATION

PROPRIÉTÉ INTELLECTUELLE

Les divulgations face à la loi : informer sur les sanctions, peut-on efficacement agir en justice?

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Charte de bon usage du SI (Étudiants)

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Etaient présents Madame Souad El Kohen, Messieurs Driss Belmahi, Abdelaziz Benzakour et Omar Seghrouchni ;

Cadre juridique de la Protection des Données à caractère Personnel

CHARTE D UTILISATION DU SYSTEME D INFORMATION

Data Breach / Violation de données

Patrick Tremblay Directeur, Ventes et Services à la clientèle

L entreprise face à la Cybercriminalité : menaces et enseignement

Toute utilisation du site doit respecter les présentes conditions d utilisation.

Contrat d agence commerciale

Règlement sur l utilisation et la gestion des actifs informationnels

Section 3. Utilisation des ressources informatiques et du réseau de télécommunication

Big Data: les enjeux juridiques

des données à caractère personnel A. Les cinq principes clefs à respecter Page 2 Fiche n 1 : Les fichiers relatifs aux clients Page 13

Directive de la Direction 6.2. Utilisation d Internet, de la messagerie électronique, des réseaux sociaux, de la téléphonie et du poste de travail

Politique de conformité relative à la lutte contre la corruption et la Loi sur les manœuvres frauduleuses étrangères

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

CHARTE WIFI ET INTERNET

Conditions Générales de Vente Service Dolead Campaign Manager Contrat de Mandat

CONSIDÉRATIONS SUR LA MISE EN ŒUVRE DES DÉCISIONS DE LA COUR CONSTITUTIONNELLE

Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

Cloud Computing Quels risques juridiques pour les banques?

CONDITIONS PARTICULIERES DE MESSAGERIE COLLABORATIVE - HOSTED EXCHANGE 2013

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Convention type ENTRE :

Les nouvelles technologies outil d innovation bancaire : aspects juridiques

Pourquoi créer sa Google Adresses? Atelier Wifi

SOLUTIONS ET MOYENS DE PAIEMENT DU E-COMMERCE : RETOUR D EXPÉRIENCE SUR LES ÉVOLUTIONS DE LA RÉGLEMENTATION EUROPÉENNE ET LES PERSPECTIVES MAROCAINES

b) Et. Domicilié, éventuellement représenté par., ci-après dénommé «le Courtier», de seconde part,

BULLETIN D ACTUALITES JURIDIQUES

Management de la sécurité des technologies de l information

Conditions Générales de vente - Service AUDIT MY APPS (les «CGV»)

CONDITIONS GENERALES YOUSIGN v1.4 A - CONDITIONS APPLICABLES A TOUTES LES PRESTATIONS YOUSIGN

Transcription:

Forum annuel CERT-IST 2010 3 juin 2010 INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise Eric A. CAPRIOLI - François COUPEZ Avocat associé Avocats à la Cour Docteur en droit CAPRIOLI & Associés Société d Avocats - www.caprioli-avocats.com contact@caprioli-avocats.com / contactparis@caprioli-avocats.com Le cabinet Caprioli & Associés est une société d avocats en droit des affaires (privé et public) située àparis et ànice. Il est spécialisédans: L informatique, les technologies de l information et des communications électroniques La sécurité des systèmes d information et la dématérialisation les propriétés intellectuelles (droit d auteur, marques, dessins, brevets, logiciels, bases de données, ) Adresses : 6, rue Saulnier, 75009 Paris 9, avenue Henri Matisse, 06200 Nice Site Web : www.caprioli-avocats.com Mél : contact@caprioli-avocats.com(nice) paris@caprioli-avocats.com(paris) 2

Notion d «Incidents de sécurité»ici : = Menace concrétisée affectant le fonctionnement d un SI (selon DICP) Cet incident peut concerner tout type de données a priori mais aussi le SI en lui-même (323-1 et s. C. pénal non traitéici) Certaines données sont juridiquement plus protégées que d autres mais tout incident peut avoir des conséquences juridiques plus indirectes Introduction : définition 3 Le secteur le plus régulé: le secteur financier En France, article 14 du Règlement n 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d investissement Un niveau de sécurité: «jugésouhaitable par rapport aux exigences»du métier périodiquement apprécié avec les actions correctrices entreprises qui préserve «en toutes circonstances»l intégritéet la confidentialitédes informations Des exigences également en matière de secret professionnel Ailleurs, des règlementations (GLB Act, etc.) et des régulateurs (SEC, FSA, etc.) tout aussi exigeants Les obligations liées à la sécurité 4

Les obligations de confidentialité par secteurs Secret professionnel (secret médical, secret bancaire, etc.) Des textes spécifiques, un SI qui doit prendre en compte ces impératifs : messageries des avocats, conservation des données médicales, etc. SANCTIONS en cas d atteintes pénale : un an d'emprisonnement et 15 000 d'amende, soit 75 000 pour une personne morale (art. 226-13 du Code pénal) sanction des régulateurs des domaines concernés pouvant aller jusqu au retrait de la possibilité d exercer De façon générale, dans les autres secteurs, cela dépend du type d information accédée : les données à caractère personnel Les obligations liées à la sécurité 5 Si les données accédées étaient des DCP La loi de 1978 modifiée dite «Informatique et Libertés» s applique aux données à caractère personnel toute information relative à une personne physique identifiée ou susceptible de l être, directement ou indirectement qui sont traitées, collectées, enregistrées, utilisées, etc. (définition TRES large) de façon automatisée ou non contenues ou appelées àfigurer dans des fichiers et dont le responsable est celui qui détermine les finalités et les moyens Ex : plaques minéralogiques, données biométriques adresse IP? Les obligations liées à la sécurité 6

Si les données accédées étaient des DCP Entre autres obligations, le responsable de traitement doit préserver la sécurité, la confidentialité et l intégrité des DCP «Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement» Sanction pénale (art. 226-17 C. pén: 5 ans / 300 000 euros et 1 500 000 EUR pour une entreprise) Sanctions de la CNIL, notamment pécuniaires Des sanctions peu appliquées en pratique? Les obligations liées à la sécurité 7 La Data Breach Notification Aux USA : la sanction par «mise au pilori» En découle des coûts importants (200 $ par information concernée), une perte de clientèle, des risques de procès Société DURAND CHURN! Notification Actions Clients de la violation justice de sécurité Notification des incidents de sécurité 8

Les suites de l exemple américain Un Etat (Californie) en 2003, 45 Etats US en 2010, une réglementation qui a essaiméàl international. Les exemples européens en quelques traits : Allemagne : notification immédiate, «significant harm», données sensibles, protégées, etc. Espagne : procédure de notification et de gestion des incidents avec registre interne Autriche : notification (au choix de la seule entreprise), «systematicand seriouslywrongfuluse of», sauf effort disproportionné par rapport au coût ou aux risques etc. (débats en Belgique, annonce aux Pays Bas, etc.) Les directives européennes du Paquet Télécom (2002/58 et 2002/21 modifiées) Une impossible harmonisation des procédures au niveau international? Notification des incidents de sécurité 9 Les conséquences à l international Une balkanisation de l obligation de notification Notifier oui, mais auprès de qui? Plusieurs fois? Quid du droit applicable, des personnes concernées? Seulement les données personnelles accédées? Pour toutes les DCP? Seulement les données financières? Sensibles? Secrètes? Et si elles étaient chiffrées? Et s il n y avait pas eu de conséquences àcet incident? Conséquences Obligation de notifier les clients individuellement dans certains cas Coût important (plusieurs millions de dollars) et atteinte à l image de l entreprise Des procédures (contrôles internes, remontée d incident, organisation, gestion de crise, etc.) derrière la procédure de notification! Notification des incidents de sécurité 10

Une harmonisation difficile, l exemple européen Future directive (95/66/CE modifiée, projet en nov. 2010) DCP Directive Vie privée et communication Double électronique 2002/58/CE déclaration? modifiée Autres domaines activité Fournisseurs services CEAP Fournisseurs réseaux CEAP DCnP Directive Cadre 2002/21/CE modifiée Notification des incidents de sécurité 11 En France, le projet de loi «visant àmieux garantir le droit àla vie privée àl'heure du numérique» Adoptéau Sénat le 23 mars 2009 en 1 ère lecture Comporte de nombreux articles, dont l article 7 : Modifie l article 34 et renvoie à un décret d application Rend obligatoire la notification des violations du traitement des DCP Information du CIL et de la CNIL Information des personnes prévue L opposition du gouvernement : les raisons Vers une obligation en 2011 en France? Notification des incidents de sécurité 12

Enseignements tirés des exemples étrangers Le seul risque de compromission des données? (FSA Merchant Security 06/08) Contrôle de routine et nombreux manquements àla sécurité, procédures peu sécurisées (messagerie instantanée ou webmail non interdits, etc.) sanction de 77 000 EUR (110 000 EUR en l absence d accord) Aucun incident relevé Une application discutable en France, sauf milieu financier Même en l absence de préjudice? Cas les plus divers (installation de logiciels de P2P, perte ou vols d ordinateurs, déchets électroniques non «nettoyés», piratage interne, externe, etc.) Y compris des hypothèses de notifications plus fantaisistes (cas en Allemagne) Multiplication des cas en France prévisible : que faudra-t-il faire? Exemples étrangers 13 A noter : le glissement sémantique Qui en rappelle un autre Que faire? 14

Que faire : ce que prévoit la directive 2002/58 Elle s applique aux violations de données personnelles (sur papier ou électroniques) en cas d accès non autorisé, illicite ou de perte La «notification»de toute violation de DCPaux autorités oui, mais pas forcément aux victimes personnes physiques (seulement si la violation affecte négativement leurs DCP ou leur vie privée) atteinte physique, humiliation significative, atteinte à la réputation Les informations notifiées : les points de contact mis en place La charrue avant les bœufs? L exception àla notification : DCP rendues «techniquement incompréhensibles» L exception de l exception : prouver a posteriori l efficacitédu dispositif, «àla satisfaction de l'autorité compétente» Que faire? 15 Que faudra-t-il faire : ce que prévoit la directive Le reste? Circonstances? Formats? Procédures? Sera détaillé par l Union Européenne en procédure de comitologie avec consultation de l ENISA du Groupe dit «de l article 29»(rassemblant les «CNIL européennes») du Commissaire Européen à la Protection des Données Appui sur «d éventuelles normes européennes ou internationales existantes» Rien n était lancéau 1 er avril 2010 Que faire? 16

Limiter les risques : Chiffrer / Anonymiser / Détruire / Ne pas collecter ou en tout cas cibler les données à caractère personnel conservées Renforcer les contrôles internes et la traçabilité Responsabiliser et sanctionner les fautifs Renforcer au besoin (et surtout faire appliquer) les chartes internes Renforcer les garanties juridiques afférentes aux contrats d externalisation (cloud computing, etc.) Etablir et répéter les procédures d urgence Que faire? 17 Pour finir, gare aux conséquences juridiques «indirectes»de l incident de sécurité! Mise en cause de la responsabilité contractuelle? Une entreprise du secteur industriel passe un contrat pour une solution antivirus ; Infectée par un virus, elle le résilie de façon anticipée ; Rapport sur la connexion à des sites pornographiques et pirates CA Paris 4 mai 2007 : «Considérant que la sociétédms, en laissant son personnel se connecter àde tels sites, a rendu, par sa faute, inefficace la protection que la société Normactions était engagée àlui fournir de sorte qu elle ne pouvait invoquer la défaillance de la protection anti-virus comme un juste motif de la résiliation des contrats» «Que cette résiliation intervenue àson initiative lui est donc imputable» Conséquences juridiques indirectes 18

Les conséquences juridiques indirectes de l incident de sécurité: la coupure d accès à internet Lois «favorisant la diffusion et la protection de la création sur internet»du 12 juin 2009 (Hadopi1) et «relative àla protection pénale de la propriété littéraire et artistique sur internet» du 28 octobre 2009 (Hadopi 2) La «riposte graduée»: un concept inadaptéaux entreprises? L applicabilité aux entreprises? Le gouvernement l affirme! Une obligation : la sécurisation du réseau de l entreprise L injonction de sécurisation au maximum? Une sanction : la coupure de l accès àl internet! Des logiciels de sécurité labellisés pour les entreprises?? Conséquences juridiques indirectes 19 Avez-vous des questions? Merci de votre attention! Eric A. CAPRIOLI Avocat associé Docteur en droit e.caprioli@caprioli-avocats.com François COUPEZ Avocat à la Cour f.coupez@caprioli-avocats.com Société d avocats 6 rue Saulnier, 75009 Paris / Tél. 01 47 70 22 12 9 avenue Henri Matisse, 06200 Nice / Tél. 04 93 83 31 31 www.caprioli-avocats.com mél : contactparis@caprioli-avocats.com 20

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back