Weitere ähnliche Inhalte Ähnlich wie Les 5 clés de la responsabilité juridique du RSSI (20) Les 5 clés de la responsabilité juridique du RSSI1. LES 5 CLÉS DE LA
RESPONSABILITÉ
JURIDIQUE DU RSSI
Thiébaut DEVERGRANNE
Docteur en droit
Consultant
Paris – 20 novembre 2012
2. Introduction
2
Présentation
Consultant - droit des nouvelles technologies
+10 ans d’expérience, dont 6 pour les services
du Premier ministre (SGDN/DCSSI) en
qualité de conseil juridique
Formation d’avocat (CAPA)
Docteur en droit privé sciences criminelles
Passionné de nouvelles technologies -
programmation / sysadmin depuis +15 ans
http://www.donneespersonnelles.fr
© T. Devergranne – td@hstd.net
3. Introduction
3
Objectifs de la présentation :
Analyse transverse des risques juridiques majeurs en droit de la SSI
5 clés qui sont aussi 5 challenges
Comment protéger sa responsabilité personnelle, celle de son organisation ?
Que faut-il faire pour manager ses risques juridiques de manière opérationnelle
(quand on n’est pas juriste) ?
5 clés de la responsabilité juridique des RSSI…
© T. Devergranne – td@hstd.net
4. Les 5 clés de la responsabilité juridique du RSSI
4
CHALLENGE 1 :
ACQUERIR UNE
CONNAISSANCE
OPERATIONNELLE
DU DROIT
5. Les 5 clés de la responsabilité juridique du RSSI
5
La
« triade »
© T. Devergranne – td@hstd.net
6. Les 5 clés de la responsabilité juridique du RSSI
6
Des zones à risques à connaître impérativement, comme la
protection de la correspondance privée (un des risques
opérationnels majeurs)
Art. 432-9 c. pen. : « Le fait, par une personne dépositaire de
Le fait, par une personne dépositaire de
l'autorité publique ou chargée d'une mission de service public,
l'autorité publique ou chargée d'une mission de service public,
agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions ou
agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions ou
de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas
de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas
prévus par la loi, le détournement, la suppression ou l'ouverture de
prévus par la loi, le détournement, la suppression ou l'ouverture de
correspondances ou la révélation du contenu de ces correspondances,
correspondances ou la révélation du contenu de ces correspondances,
est puni de trois ans d'emprisonnement et de 45000 euros d'amende »
est puni de trois ans d'emprisonnement et de 45000 euros d'amende »
Attention, beaucoup d’évolutions sur ce questions !
© T. Devergranne – td@hstd.net
7. Les 5 clés de la responsabilité juridique du RSSI
7
Quizz !
© T. Devergranne – td@hstd.net
8. Les 5 clés de la responsabilité juridique du RSSI
8
Oui Non
Est-ce qu’un disque dur nommé « données personnelles »
par un employé peut être inspecté par l’employeur ?
© T. Devergranne – td@hstd.net
9. Les 5 clés de la responsabilité juridique du RSSI
9
Oui Non
Est-ce qu’un disque dur nommé « données personnelles »
par un employé peut être inspecté par l’employeur ?
« la dénomination donnée au disque dur lui-même ne peut conférer un caractère
personnel à l’intégralité des données qu’il contient ; que la cour d’appel, qui a
retenu que la dénomination “D :/données personnelles” du disque dur de l’ordinateur du
salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire
ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui
n’étaient pas identifiés comme étant “privés” selon les préconisations de la
charte informatique, pouvaient être régulièrement ouverts par l’employeur »
Cass. Soc., 4 juillet 2012
© T. Devergranne – td@hstd.net
10. Les 5 clés de la responsabilité juridique du RSSI
10
Oui Non
Hypothèse : votre charte informatique prévoit que les boites
mail des employés puissent être consultées en leur présence et
vous découvrez qu’un employé a réalisé un accès frauduleux à
la messagerie électronique du chef de service. Pouvez-vous
consulter ses emails PROFESSIONNELS en son absence afin
d’investiguer l’incident ?
© T. Devergranne – td@hstd.net
11. Les 5 clés de la responsabilité juridique du RSSI
11
Oui Non
Hypothèse : votre charte informatique prévoit que les boites
mail des employés puissent être consultées en leur présence et
vous découvrez qu’un employé a réalisé un accès frauduleux à
la messagerie électronique du chef de service. Pouvez-vous
consulter ses emails PROFESSIONNELS en son absence afin
d’investiguer l’incident ?
« Le règlement intérieur peut toutefois contenir des dispositions restreignant
le pouvoir de consultation de l’employeur, en le soumettant à d’autres conditions »,
Cass. Soc. 26 juin 2012
© T. Devergranne – td@hstd.net
12. Les 5 clés de la responsabilité juridique du RSSI
12
Oui Non
Le RSSI pourrait-il prendre copie de propos dénigrant son
organisation depuis le compte Facebook d’un employé ?
© T. Devergranne – td@hstd.net
13. Les 5 clés de la responsabilité juridique du RSSI
13
Oui Non
Le RSSI pourrait-il prendre copie de propos dénigrant son
organisation depuis le compte Facebook d’un employé ?
« Ce réseau peut constituer soit un espace privé, soit un espace public, en
fonction des paramétrages effectués par son utilisateur (…) ; [en l’espèce]
aucun élément ne permet de dire que le compte Facebook [ait été paramétré de manière
publique de sorte] à faire perdre aux échanges litigieux leur caractère de correspondance
privée », CA, Soc. 15 novembre 2011
© T. Devergranne – td@hstd.net
14. Les 5 clés de la responsabilité juridique du RSSI
14
Information juridique : comment résoudre le
challenge ?
Formations, sensibilisations
Veille régulière !
Attention, le rythme des évolutions législatives
et jurisprudentielles est élevé ; en 2012…
La loi Godfrain a été changée !
On digère le nouveau règlement européen qui va
changer toute la loi informatique et libertés (et qui
prévoit des sanctions > 1 milliard d’euros pour les
grands groupes).
De nombreuses décisions sur la cybersurveillance !
© T. Devergranne – td@hstd.net
15. Les 5 clés de la responsabilité juridique du RSSI
15
CHALLENGE 2 :
ADOPTER UNE
PERCEPTION
ADEQUATE DU
RISQUE JURIDIQUE
16. Les 5 clés de la responsabilité juridique du RSSI
16
La sécurité des données personnelles…
© T. Devergranne – td@hstd.net
17. Les 5 clés de la responsabilité juridique du RSSI
17
Attention à
la perte de
vigilance !
© T. Devergranne – td@hstd.net
18. Les 5 clés de la responsabilité juridique du RSSI
18
Le vrai risque
informatique et libertés –
Ex. : cas de fraude informatique
Art. 323-1 c. pen. (al. 1) :: « Le fait d'accéder ou de se
Art. 323-1 c. pen. (al. 1) « Le fait d'accéder ou de se
maintenir, frauduleusement, dans tout ou partie d'un système
maintenir, frauduleusement, dans tout ou partie d'un système
de traitement automatisé de données est puni de deux ans
de traitement automatisé de données est puni de deux ans
d'emprisonnement et de 30.000 euros d'amende »
d'emprisonnement et de 30.000 euros d'amende »
Art. 226-17 c. pen. :: « Le fait de procéder ou de faire
Art. 226-17 c. pen. « Le fait de procéder ou de faire
procéder à un traitement de données à caractère personnel
procéder à un traitement de données à caractère personnel
sans mettre en œuvre les mesures prescrites à l'article 34 de la
sans mettre en œuvre les mesures prescrites à l'article 34 de la
loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans
loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans
d'emprisonnement et de 300.000 Euros d'amende »
d'emprisonnement et de 300.000 Euros d'amende »
Art. 34 :: « Le responsable du traitement est tenu de prendre
Art. 34 « Le responsable du traitement est tenu de prendre
toutes précautions utiles, au regard de la nature des données
toutes précautions utiles, au regard de la nature des données
et des risques présentés par le traitement, pour préserver la
et des risques présentés par le traitement, pour préserver la
sécurité des données et, notamment, empêcher qu’elles soient
sécurité des données et, notamment, empêcher qu’elles soient
déformées, endommagées, ou que des tiers non autorisés y
déformées, endommagées, ou que des tiers non autorisés y
aient accès. »
aient accès. »
© T. Devergranne – td@hstd.net
19. Les 5 clés de la responsabilité juridique du RSSI
19
CHALLENGE 3 :
VEILLER A
PROSCRIRE UN
SENTIMENT
D’IMPUNITE
20. Les 5 clés de la responsabilité juridique du RSSI
20
L’affaire EDF c/ GreenPeace en deux
mots (10 novembre 2011) :
1.5 € million d’amende pour EDF en tant
que personne morale pour ne pas avoir cadré
ses contrats d’IE
Un an de prison ferme pour le responsable
sécurité
700.000 euros d’amende et dommages et
intérêts pour les protagonistes
Les nouveautés
Mise en cause de la personnalité morale
d’EDF
Condamnation d’EDF pour recel (possession
de biens issus d’un accès frauduleux)
Montant considérable des sanctions
© T. Devergranne – td@hstd.net
21. Les 5 clés de la responsabilité juridique du RSSI
21
La décision
Les responsables sécurité « ont agi pour le
compte et dans l’intérêt de leur employeur ; la
personne morale EDF qui est donc déclarée coupable des
délits de recel et de complicité d’accès et maintien
frauduleux aggravé dans un STAD au préjudice de M. X
et de Greenpeace.
En répression elle sera condamnée à une peine de
1.500.000 € d’amende »
Pas de cadrage des contrats d’IE
Absence de contrôle effectif interne de l’usage
réel des ressources
© T. Devergranne – td@hstd.net
22. Les 5 clés de la responsabilité juridique du RSSI
22
De toute façon tout le monde le fait
Le risque principal c’est de se faire prendre
C’est un mal nécessaire
Nos concurrents font pire
Il n’y a pas de sanctions réelles !
Phase d’adaptation à l’idée Phase d’acceptation de l’idée Commission de l’infraction
© T. Devergranne – td@hstd.net
23. Les 5 clés de la responsabilité juridique du RSSI
23
Notes d’information et de jurisprudence,
prises de position officielles
Audits externes
Formations &
sensibilisations Sanctions
Recadrages
Phase d’adaptation à l’idée Phase d’acceptation de l’idée Commission de l’infraction
© T. Devergranne – td@hstd.net
24. Les 5 clés de la responsabilité juridique du RSSI
24
CHALLENGE 4 :
BRISER
L’ISOLEMENT
25. Les 5 clés de la responsabilité juridique du RSSI
25
1) Comprendre les incertitudes juridiques
Niveau de détail beaucoup plus précis des problématiques
Difficile / impossible de les aborder sans un soutien juridique
Questions d’algorithmique juridique
« Le fait d’accéder ou de se maintenir, frauduleusement, dans toute ou partie d’un STAD est puni… »
A ||
B +
C +
D = Infraction
If ( (A || B) && B && C && D) {
Infraction();
}
© T. Devergranne – td@hstd.net
26. Les 5 clés de la responsabilité juridique du RSSI
26
Exemple : discussions en cours en matière de protection des données personnelles
L’application de l’article 34 bis aux non OCE ?
L’adresse IP est-elle une donnée personnelle ?
Hadopi : non
CNIL : Si
Lors d’un contrôle, la CNIL est-elle tenue d’informer de la possibilité de s’opposer à sa visite ?
CNIL : non
Conseil d’Etat : Si, si…
IPS, IDS, DLP : autorisation de la CNIL ?
© T. Devergranne – td@hstd.net
27. Les 5 clés de la responsabilité juridique du RSSI
27
a) L’adresse IP est-elle une donnée personnelle ?
CA Paris 27 avril 2007 et 15 mai 2007 NON : « l’adresse IP ne permet pas d’identifier la ou les personnes
qui ont utilisé l’ordinateur »
CNIL, août 2007 OUI : l’adresse IP est bien une donnée à caractère
personnelle
CJCE 29 janvier 2008, affaire Promusicæ OUI : l’adresse IP est une donnée personnelle (demande
d’obtention des adresses IP d’utilisateurs de réseaux P2P)
CA Rennes, 22 mai 2008 et du 23 juin 2008 OUI : « L'adresse IP de l'internaute constitue une donnée
indirectement nominative »
Cass. crim. 13 janvier 2009 NON récupérer une adresse IP manuellement ne constitue
pas un TDP
Hadopi, février 2011 NON, l’adresse IP n’est pas une DCP
© T. Devergranne – td@hstd.net
28. Les 5 clés de la responsabilité juridique du RSSI
28
b) IPS, IDS, DPL : autorisation de la CNIL (problème de pure technique juridique)…
Objectif d’un IDS: assurer la traçabilité (et si possible
bloquer) les tentatives d’accès frauduleux et les atteintes
aux SI et permettre un dépôt de plainte
On procède donc à un traitement de données à Pour ce faire: l’IDS trace le détail précis de l’infraction
caractère personnel relatives à des infractions commise à l’encontre du SI (ex : « BACKDOOR
(éléments constitutifs) ATTEMPT » = tentative d’accès frauduleux)
© T. Devergranne – td@hstd.net
29. Les 5 clés de la responsabilité juridique du RSSI
29
Or la loi est très restrictive quant à la possibilité de traiter ces données :
Article 9 « Les traitements de données à caractère personnel relatives aux infractions,
condamnations et mesures de sûreté ne peuvent être mis en œuvre que par :
1° Les juridictions (…)
2° Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ;
3° [Dispositions censurées par le Conseil Constitutionnel]
4° [Certaines société d’ayants droits]
Dispositions censurées : « les personnes morales victimes
d’infractions (…) pour les stricts besoins de la prévention et de la
lutte contre la fraude, ainsi que la réparation du préjudice subi ».
Solution : Art. 25 - Sont mis en œuvre après autorisation de la CNIL (…) :
3. Les traitements, automatisés ou non, portant sur des données relatives aux
infractions
© T. Devergranne – td@hstd.net
30. Les 5 clés de la responsabilité juridique du RSSI
30
La CNIL a déjà mis en place des autorisations uniques pour le suivi des infractions
constatées par les commerçants sur les lieux de vente
© T. Devergranne – td@hstd.net
31. Les 5 clés de la responsabilité juridique du RSSI
31
Et les sanctions sont suffisamment importantes pour inviter à se protéger légalement contre
le problème…
Article 226-19 al. 2 c. pen. : «Est puni de [5 ans d’emprisonnement et 300.000€
d’amende] le fait, hors les cas prévus par la loi, de mettre ou de conserver en
mémoire informatisée des données à caractère personnel concernant des infractions,
des condamnations ou des mesures de sûreté.
Il faudra attendre la jurisprudence judiciaire pour savoir si les données des IDS sont des
données « relatives à des infractions »
La CNIL pourrait simplifier les choses et faire une autorisation unique
La loi annoncée pour 2013 serait un parfait véhicule législatif pour régler le problème !
© T. Devergranne – td@hstd.net
32. Les 5 clés de la responsabilité juridique du RSSI
32
Itinéraire d’un point de doctrine…
CNN
Articles juridiques
ARCEP
Conséquences
Thèses de doctorat HADOPI
Non Revirements ?
mentaires
Trav aux parle CNIL Solution
Oui
Prises de position Prises de position
Détection Jurisprudence
doctrinales officielles
© T. Devergranne – td@hstd.net
33. Les 5 clés de la responsabilité juridique du RSSI
33
2) Rationnaliser ces incertitudes juridiques
Suivre l’actualité juridique
Veille !
Déterminer l’impact sur votre activité
Ne peut être fait qu’en collaboration avec des
professionnels du droit
Attention à l’apparente simplicité du droit
Exemple d’un client dont la charte a
entièrement été rédigée par le service
informatique ; tout était à refaire ; délicat à
expliquer, pas très motivant à entendre…
© T. Devergranne – td@hstd.net
34. Les 5 clés de la responsabilité juridique du RSSI
34
CHALLENGE 5 :
CRÉER DE LA
VALEUR AJOUTÉE
POUR LES
ORGANISATIONS
35. Les 5 clés de la responsabilité juridique du RSSI
35
Créez des process (ex. : obligations de sécurité dans la loi de 1978)…
Disponible gratuitement :
http://www.donneespersonnelles.fr/infographie-loi-informatique-et-libertes
© T. Devergranne – td@hstd.net
36. Les 5 clés de la responsabilité juridique du RSSI
36
CONCLUSION
Hinweis der Redaktion Attention aux systèmes de croyances Il y a un schéma type de réalisation d’une infraction pénale Ce schéma commence par accepter l’idée que l’infraction peut/doit être réalisée Si vous détectez ces croyances au sein de votre organisation vous devez recadrer immédiatement Risque majeur Chance de pouvoir recadrer avant l’occurrence d’un risque juridique Attention aux systèmes de croyances Il y a un schéma type de réalisation d’une infraction pénale Ce schéma commence par accepter l’idée que l’infraction peut/doit être réalisée Si vous détectez ces croyances au sein de votre organisation vous devez recadrer immédiatement Risque majeur Chance de pouvoir recadrer avant l’occurrence d’un risque juridique