SlideShare ist ein Scribd-Unternehmen logo

Conférence 16.11.2011

Université Pierre et Marie Curie
Université Pierre et Marie Curie
1 von 29
Downloaden Sie, um offline zu lesen
La cyber-criminalité du point de vue de l’employeur Conférence du 16 novembre 2011 1
Prolégomènes: • L’employeur a un rôle ingrat, car il doit être à l’écoute des employés, tout en s’assurant de leur loyauté ( • La connaissance de l’employé est une nécessité: la loyauté des collaborateurs diminue, 85% des fraudeurs n’ont aucun passé judiciaire, un employé sur deux conserve des données liées à son précédent poste de travail (Le Temps, 11 avril 2011). • Les fraudes commises le sont désormais également par des cadres et des membres de la direction de l’entreprise. • La tendance naturelle est celle de protéger l’infrastructure contre des personnes extérieures à l’entreprise, ce qui est une grave erreur; exemple: réseau où les brevets sont accessibles à tous. 2
Casus introductif: • Le Tribunal cantonal valaisan a jugé que celui qui, au bénéfice d un mot de passe communiqué par son employeur, accède à des serveurs lui permettant de disposer de données spécifiques ne se rend pas coupable de soustraction de données, ceci à défaut de protection spécifique! • En étant simplement au bénéfice du mot de passe lui permettant de s'acquitter de ses obligations contractuelles, X. a pu accéder aux serveurs contenant les données dont il s'est ensuite emparé. Bien que lesdits serveurs aient fait l'objet de diverses protections contre des intrusions de l'extérieur (chambre forte, contrôles d'accès biométriques, pare-feu), cet employé n'a rencontré aucune mesure de sécurité spécifique lui entravant l'accès aux logiciels du "Back Office" recherchés ou encore aux données d'Y. SA relatives aux adresses e-mail des abonnés au service de messagerie A.ch, de même que celles afférentes à la liste des clients du site B., le tout "logins" et mots de passe compris. 3
Casus introductif: • Il importe peu qu'en fonction de la formation ou des capacités de celui-ci, voire des renseignements fournis par des collègues mieux aguerris en ce domaine, l'employé indélicat ait mis plus ou moins de temps pour trouver le chemin des données recherchées, dès lors l'intéressé n'a dû surmonter aucun obstacle de sécurité mis en œuvre volontairement par son employeur. • Au contraire, faisant prévaloir des raisons de rentabilité dont il n'appartient pas à la cour de vérifier le bien-fondé, les organes d'Y. SA ont opté pour une barrière dite morale, qui ne suffit évidemment pas à réunir les réquisits posés à l'art. 143 CP, alors même - tel que déjà évoqué en droit - que cette barrière aurait été assortie d'instructions voire d'interdictions orales ou écrites. 4
Casus introductif: • Avec la société lésée, on peut s'interroger sur le sens de la protection pénale restreinte ainsi accordée par le législateur, dans sa volonté de renoncer à réprimer ce qui équivaut à un abus de confiance au sens large du terme. C'est bien la raison pour laquelle ont déjà été relevés le peu d'incidence pratique de l'art. 143 CP et même le caractère dépassé des moyens légaux mis en œuvre dès 1995 pour lutter contre la criminalité informatique. Il suit de là qu'un renvoi en jugement fondé sur l'art. 143 CP ne saurait se justifier. • Pour des motifs similaires, l'application de l'art. 143bis CP n'entre pas en ligne de compte, outre que l'activité de l'employé X. ne peut être assimilée à celle d'un "hacker" qui visite le site d'autrui en vue d'en percer les défenses et d'en violer le domicile informatique. 5
Casus introductif: • La cause pénale concernant X. a en revanche été renvoyée à jugement s'agissant de la violation du secret des postes et des télécommunications. • Ainsi, celui-ci ne semble pas avoir échappé à une sanction justifiée; toutefois, cet arrêt signifie clairement que pour éviter tout problème ultérieur, mieux vaut sécuriser «en interne» vos systèmes informatiques. • À défaut, toute poursuite pénale fondée sur l article 143 du Code pénal risque fort d être vouée à l échec! 6
Enseignements: • L es instructions et/ou interdictions orales ou écrites sont insuffisantes. Une barrière électronique et des contre-mesures sont nécessaires. • Le règlement informatique et les clauses contractuelles ne sont donc, du point de vue pénal, d aucun secours pour démontrer la réalisation des conditions objectives d infractions, telles que la soustraction de données ou l accès indu à un système informatique. • Elles pourront, par contre, fonder une action civile. • Les erreurs de vos employés vous seront imputées; ex: un client d une banque voit ses données communiquées au fisc de son pays et dépose une plainte contre X. Il existe un risque que l employeur doive justifier des mesures de sécurité prises et de grands risques qu il doive assumer les conséquences civiles du comportement illicite soient à sa charge (action récursoire possible). 7
Enseignements: • Ne comptez sur personne pour vous aider en cas de pépin: la Suisse va probablement ratifier la Convention du Conseil de l Europe sur la cybercriminalité signée en 2001… en 2011. • Aucun article juridique, ni aucun jugement n ont été publiés en matière de DLP à ce jour! • Il n y a qu un DIEU informatique, c est le responsable de la sécurité des données de vos clients et de vos données! • Ni un juge, ni un policier, ni un politicien ne pourront rétablir une réputation ternie et vous permettre de vous soustraire aux procédures qui ne manqueront pas d être diligentées (ex: procédure disciplinaire contre un avocat dont l épouse a subtilisé les données client pour démontrer le niveau de revenu… avant de demander le divorce!). 8
Introduction - notion: • Le Data Loss Prevention (DLP) est un concept qui peut être défini téléologiquement de la manière suivante: il vise à identifier, surveiller et protéger les données, qu’elles soient stockées, en cours d’utilisation ou en mouvement et ce, quel qu’en soit le support. • Il s agit donc, brièvement dit, d un ensemble de techniques de protection contre la fuite d information, qu il s agisse de vol ou de fuite par mégarde. • Ces techniques peuvent trouver application: -  au niveau du réseau (analyse de trafic); -  au niveau du serveur; -  au niveau de l identification de données sensibles. 9
Introduction - contexte: • Selon le dernier rapport de la Central d enregistrement et d analyse pour la sûreté de l information (Melani, rapport semestriel 2010/1): • Les affaires d espionnage et de vols de données ont augmenté au premier semestre 2010 sur le plan mondial. • Selon les études de sinistralité conduites notamment par Melani, plus d une personne sur deux a déjà perdu des données stockées sur des PC portables ou sur des médias amovibles (cf. étude sécurité informatique dans les entreprises suisses, Zurich, août 2006). • Les programmes d espionnage et de vols de données sont en constante augmentation: les logiciels espions ont connu une augmentation de 51% depuis le 2ème semestre 2009 (Gdata SecurityLabs, 7 septembre 2010). 10
DLP & contraintes légales: • Les solutions DLP sont soumises aux règles légales ordinaires, tant du point de vue du droit civil ou administratif que du droit pénal ou disciplinaires. • Ainsi, les règles de protection de la personnalité des employés figurant à l article 328 CO trouvent-elles application (surveillance du travailleur par l employeur), de même que celles en matière de protection des données. • Exemples: en principe, l employeur n a pas le droit de lire et de contrôler les courriels et les recherches sur internet d un travailleur, puisqu il risque de pouvoir accéder à des éléments et informations de la sphère privée et de découvrir ainsi des faits et gestes qui ne le regardent pas. 11
DLP & contraintes légales: • La surveillance de la part d un supérieur n est admissible que si elle ne permet pas d obtenir un contenu ou un renseignement strictement personnel. Cette règle s applique aussi bien au courrier électronique qu à la navigation sur internet. • Avant d effectuer un contrôle justifié, l employeur doit annoncer au travailleur qu il a l intention d examiner son usage e-mail et internet privé et qu il entend sanctionner d éventuelles incorrections que son intervention permettra de découvrir. Même lorsqu il existe des indices concrets d emploi abusif, le devoir d avertissement préalable subsiste pour l employeur (JU-TRAV 2005 p. 14). • Le Préposé fédéral à la protection des données a édité un guide relatif à la surveillance d internet et du courrier électronique au lieu de travail. 12
DLP & contraintes légales: • Lorsqu un employeur suspecte une personne d avoir transmis des secrets commerciaux à un tiers, il doit se demander comment préserver physiquement les preuves de nature privée et s il a le droit d en consulter le contenu et, dans l affirmative, selon quelles modalités. • Deux conditions cumulatives doivent être remplies pour que la consultation soit possible: •  il doit exister un motif justificatif (accord de l employé ou intérêt prépondérant); • le soupçon d infraction doit reposer sur un motif, un indice concret. Si l accord de la personne ne peut être obtenu, il faut faire appel à des professionnels (forensic scientists). 13
DLP & contraintes légales: • L article 328b CO trouve également application. Cet article a trait au respect des normes en matière de traitement des données par l employeur et renvoie à la LPD. • Le Préposé indique clairement que l heure est désormais venue pour l employeur de changer d attitude; il lui faut désormais concentrer ses efforts sur la prévention technique: plutôt que de surveiller ses employés, il mettra en oeuvre les mesures d ordre technique permettant de contenir les abus et de protéger l entreprise. Il ne sera autorisé à analyser nominativement les fichiers journaux que si les mesures prises s avèrent inefficaces. • L employeur a donc un rôle désagréable et ingrat: garantir la sécurité des données (art. 7 LPD et 8 OPD) et sévir à juste titre. 14
DLP & contraintes légales: • Selon l article 8 OPD, celui qui traite des données personnelles, protège les systèmes notamment contre les risques de destruction accidentelle ou non autorisée, perte accidentelle, erreurs techniques, falsification, vol ou utilisation illicite, modification, copie, accès ou autre traitement non autorisés. • Plus les données sont sensibles et plus les mesures à prendre seront nombreuses, strictes, et, revers de la médaille, intrusives. • Le principe de proportionnalité prend tout son sens dans un tel environnement. • Ces contraintes légales ne prennent pas en considération les spécificités liées à certaines activités (ex: evernote pour les avocats). 15
DLP & contraintes légales: quelques pistes de réflexion • Celui qui ne met pas en place les dernières technologies se verra reprocher sa passivité à prévenir les pertes et fuites d information; • Celui qui est trop prospectif et intrusif se verra reprocher de violer le droit à la vie privée et le droit de la personnalité; • La voie médiane passe par un usage accru de technologies susceptibles de collecter de manière automatisée les indices pour pouvoir ensuite intervenir dans le respect des conditions cumulatives fixées; • L intervention automatisée ne pourra se voir reprocher d être orientée… 16
Mesures de surveillance • Un employeur suspecte l’un des collaborateurs qui va quitter l’entreprise de vouloir emporter avec lui la liste des clients et des secrets d’affaires; • Il craint en particulier l’utilisation d’une clé USB pour s’emparer de ces données à son insu; • Cet employeur vous consulte et sollicite que vous l’orientiez sur la licéité du procédé qu’il entend adopter, respectivement que vous lui indiquiez si un logiciel de surveillance peut être implémenté; • Selon vous, l’employé doit-il être informé préalablement? • Pouvez-vous invoquer une disposition légale pour passer outre cette information? 17
Mesures de surveillance • Que risque cet employeur s’il agit sans en informer l’employé? • En cas de vol avéré, cela change-t-il quelque chose? • Si vous êtes l’avocat de l’employé que pouvez-vous entreprendre? 18
Usurpation d identité - introduction - notion: • Il s agit du fait de prendre délibérément l identité d une autre personne, généralement dans le but de réaliser une action frauduleuse, comme accéder aux finances de la personne usurpée, ou de commettre en son nom un délit ou un crime, ou d accéder à des droits de façon indue. • Dans le monde virtuel, les attributs de la personnalité ne sont octroyés par aucune autorité publique. La seule identification effective sur Internet est l adresse de chaque machine connectée au réseau, dite adresse IP, constituée d une suite de chiffres séparée de points. • Selon la jurisprudence du Tribunal fédéral (Logistep), l’adresse IP est une donnée personnelle. • En France, plus de 210’000 personnes sont victimes d’une telle usurpation chaque année (coût moyen 2’229 euros). 19
Usurpation d identité – régime légal applicable: •  L’usurpation d’identité est punie sévèrement tant en France (Loopsi 2) qu’en Angleterre. •  En Suisse, l’usurpation d’identité est un composant d’infraction et non une infraction en tant que telle. Ex: un aigrefin pirate le compte e-mail d’un notaire et d’un agent immobilier pour se faire verser grâce à Western Union une partie du prix de vente en Angleterre; seul le vol entre en considération. •  Les trois mots de passe les plus utilisés sont: 123456; password et 12345678. • La signature électronique permet d’éviter nombre de cas d’usurpation d’identité. Depuis le 1er janvier 2011, elle peut également être utilisée dans les échanges avec les tribunaux notamment. 20
Responsabilité de l entreprise •  Complicité liée à un défaut de sécurité? •  Une entreprise possède un site avec possibilité de laisser des commentaires sur chaque article de leur shop on-line. Mal sécurisé, le site permet l’insertion de code malveillant qui infecte (virus) les personnes qui visitent le site en question. Négligente l’entreprise ne fait pas les démarches qui s’imposent pour garantir la sécurité. Est- elle responsable? •  Une entreprise confie le mandat à une agence de réaliser un site web clefs en main. L’agence choisit la solution d’hébergement, mais cela ne fait pas partie du contrat. L’entreprise ne met pas à jour le site qui se fait pirater, une image illicite étant publiée. Qui est responsable? 21
Cyber-espionnage industriel •  Les entreprises sont plus exposées du fait de la généralisation des réseaux de communication. •  Le social engineering n’a pas fait l’objet d’une jurisprudence à ce jour et certains auteurs considèrent que ce comportement ne tombe pas sous le coup d’une norme pénale. •  Si l’espion soustrait des secrets de fabrication (information connue d’un nombre restreint de personnes) ou d’affaires (listes de clients, accords avec les fournisseurs) et les utilise il se rend coupable d’un comportement déloyal au sens de l’article 6 LCD. •  Si les secrets n’ont pas encore été utilisés, l’entreprise peut exiger la restitution des données volées par le biais d’une action civile (art. 9 al. 1 LCD). À défaut, il faut faire constater l’illicéité et tenter d’obtenir des dommages et intérêts. 22
Expertise psychiatrique et protection des données • Un fonctionnaire suicidaire fait exploser son lieu de travail en allumant une cigarette alors qu’il avait isolé la pièce et opéré une modification relativement à une conduite de gaz dans le but de mourir par ce biais. • Le dommage au bâtiment dépasse le million de francs. • Dans le cadre de la procédure pénale qui s’ensuit, le Juge d’instruction pénale sollicite l’établissement d’une expertise psychiatrique. • Le résultat de cette expertise ne convient pas à l’ex-employeur dans la mesure où l’expert considère que le fonctionnaire était au moment des faits incapable de discernement. 23
Expertise psychiatrique et protection des données • L’ex-employeur adresse ne sollicite aucune surexpertise dans la procédure pénale, mais adresse cette expertise à un expert- psychiatre travaillant sur mandat. • Le fonctionnaire n’est jamais informé de cette transmission de données personnelles. • Le médecin mandaté par l’ex-employeur rend un rapport sans avoir jamais eu en consultation le fonctionnaire. • Selon ce rapport, le fonctionnaire est pleinement capable de discernement et doit être condamné civilement et pénalement. 24
Expertise psychiatrique et protection des données • Quelles sont les normes légales applicables à ce casus? • À qui vous adressez-vous si vous souhaitez alléguer une violation des règles en matière de protection des données? • De quel type de procédure s’agit-il? • Les différents magistrats saisis de la cause sont-ils tenus par le résultat des instructions de leurs confrères? • Quelle serait votre décision si vous étiez saisi comme Préposé? 25
Réseaux sociaux et protection des données • Un employé se fait porter pâle alors qu’il doit effectuer en qualité de chauffeur un transport de supporters lors d’un match de Super League. • Régulièrement, des déprédations et des violences sont commises lors de ces transports et une crainte s’est installée. • L’employeur connaît les appréhensions de ses collaborateurs et il de plus en plus de peine à organiser un tournus pour ces événements à risque. • Les bus sont pourtant équipés de caméras de surveillance. • L’employeur est informé par un autre collaborateur que sur son mur Facebook, l’employé a mentionné qu’il avait pris la «biturée du siècle» le soir du match. 26
Réseaux sociaux et protection des données • L’employeur sûr de son bon droit vous consulte et veut licencier avec effet immédiat son collaborateur. • Il vous remet les print screen du mur Facebook et sur un ton taquin vous informe que le collaborateur qui lui a remis ces preuves a été accepté comme ami sur FB en se prévalant d’une fausse identité. • L’installation de caméras de surveillance dans les bus vous paraît-elle licite? • Combien de temps les images peuvent-elles être conservées? • Le mur FB est-il un espace privé si les paramètres de confidentialité n’autorisent sa consultation que par des amis FB? 27
Réseaux sociaux et protection des données • L’employeur peut-il se prévaloir des preuves qui lui sont remises? • Respectivement s’agit-il de preuves licites? • Cela influerait-il sur votre raisonnement si le collaborateur cafteur avait été admis de manière fair parmi les amis FB de celui qui s’est fallacieusement fait porter pâle? • Les réseaux sociaux en tant que leur exploitant n’a aucun siège en CH peuvent-ils être sollicités de collaborer à l’établissement de la vérité? • Le licenciement immédiat est-il justifié? • Peut-on évoquer un délit pénal et si oui, lequel? 28
Conclusions: •  Le renforcement des normes est la tendance actuelle. •  Les entreprises doivent prévenir l’introduction de ces normes en se montrant proactives (veille juridique, intégrer à toute réflexion relative au domaine informatique et technologique la dimension protection des données, etc.). •  La sécurité des systèmes d’information est un enjeu stratégique majeur. Dans un environnement très concurrentiel, les dommages consécutifs à une perte ou à un vol de données peuvent s’avérer fatals. •  Les investissements liés à la sécurité des données et leur protection doivent être proportionnés à la sensibilité des données traitées et aux moyens de l’entreprise. 29

Empfohlen

Epfl aspects légaux du byod
Epfl aspects légaux du byodEpfl aspects légaux du byod
Epfl aspects légaux du byodUniversité Pierre et Marie Curie
 
Cybersurveillance
CybersurveillanceCybersurveillance
Cybersurveillancen_b_nancy
 
Réagir juridiquement à une attaque informatique
Réagir juridiquement à une attaque informatiqueRéagir juridiquement à une attaque informatique
Réagir juridiquement à une attaque informatiqueBenjamin Benifei
 
Le pentest face au droit - Cyber@Hack 2015
Le pentest face au droit - Cyber@Hack 2015Le pentest face au droit - Cyber@Hack 2015
Le pentest face au droit - Cyber@Hack 2015Benjamin Benifei
 
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...Lexing - Belgium
 
intermédiaires financiers
intermédiaires financiersintermédiaires financiers
intermédiaires financiersUniversité Pierre et Marie Curie
 
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...Lexing - Belgium
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travailfoxshare
 

Empfohlen

Epfl aspects légaux du byod
Epfl aspects légaux du byodEpfl aspects légaux du byod
Epfl aspects légaux du byodUniversité Pierre et Marie Curie
 
Cybersurveillance
CybersurveillanceCybersurveillance
Cybersurveillancen_b_nancy
 
Réagir juridiquement à une attaque informatique
Réagir juridiquement à une attaque informatiqueRéagir juridiquement à une attaque informatique
Réagir juridiquement à une attaque informatiqueBenjamin Benifei
 
Le pentest face au droit - Cyber@Hack 2015
Le pentest face au droit - Cyber@Hack 2015Le pentest face au droit - Cyber@Hack 2015
Le pentest face au droit - Cyber@Hack 2015Benjamin Benifei
 
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...Lexing - Belgium
 
intermédiaires financiers
intermédiaires financiersintermédiaires financiers
intermédiaires financiersUniversité Pierre et Marie Curie
 
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...Lexing - Belgium
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travailfoxshare
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB FranceRomain Fonnier
 
Competitic - usage internet dans lentreprise droit - numerique en entreprise
Competitic - usage internet dans lentreprise droit - numerique en entrepriseCompetitic - usage internet dans lentreprise droit - numerique en entreprise
Competitic - usage internet dans lentreprise droit - numerique en entrepriseCOMPETITIC
 
2011
20112011
2011Freelance
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 
Cours Veille en TIC - Encadrement de l'usage des TIC
Cours Veille en TIC - Encadrement de l'usage des TICCours Veille en TIC - Encadrement de l'usage des TIC
Cours Veille en TIC - Encadrement de l'usage des TICRetis be
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDMohamed KAROUT
 
Gérer sa vie privée numérique
Gérer sa vie privée numérique Gérer sa vie privée numérique
Gérer sa vie privée numérique MEMOIRE PATRIMOINE CLOHARS CARNOET
 
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Hackfest Communication
 
E comm et rgpd
E comm et rgpdE comm et rgpd
E comm et rgpdProf. Jacques Folon (Ph.D)
 
Le CIL EXTERNE, pourquoi faire?
Le CIL EXTERNE, pourquoi faire?Le CIL EXTERNE, pourquoi faire?
Le CIL EXTERNE, pourquoi faire?Florence Bonnet
 
Un CIL EXTERNE, pourquoi faire?
Un CIL EXTERNE, pourquoi faire? Un CIL EXTERNE, pourquoi faire?
Un CIL EXTERNE, pourquoi faire? Florence Bonnet
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
 
AppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueAppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueJLCOLOMBANI
 
Aspects juridiques de la fuite de données
Aspects juridiques de la fuite de donnéesAspects juridiques de la fuite de données
Aspects juridiques de la fuite de donnéesBenjamin Benifei
 
GDPR Roadshow Business Decision Eolas - Grenoble 2017
GDPR Roadshow Business Decision Eolas - Grenoble 2017GDPR Roadshow Business Decision Eolas - Grenoble 2017
GDPR Roadshow Business Decision Eolas - Grenoble 2017Pascal Fouque
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
Les aspects juridiques de l'Internet
Les aspects juridiques de l'InternetLes aspects juridiques de l'Internet
Les aspects juridiques de l'InternetFranck Gauttron
 
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...Swiss Community Managers Association
 
Voeux2017 - Lexing Switzerland - Sébastien Fanti
Voeux2017 - Lexing Switzerland - Sébastien Fanti Voeux2017 - Lexing Switzerland - Sébastien Fanti
Voeux2017 - Lexing Switzerland - Sébastien Fanti Université Pierre et Marie Curie
 
Robots ch
Robots chRobots ch
Robots chUniversité Pierre et Marie Curie
 

Weitere ähnliche Inhalte

Ähnlich wie Conférence 16.11.2011

Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB FranceRomain Fonnier
 
Competitic - usage internet dans lentreprise droit - numerique en entreprise
Competitic - usage internet dans lentreprise droit - numerique en entrepriseCompetitic - usage internet dans lentreprise droit - numerique en entreprise
Competitic - usage internet dans lentreprise droit - numerique en entrepriseCOMPETITIC
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 
Cours Veille en TIC - Encadrement de l'usage des TIC
Cours Veille en TIC - Encadrement de l'usage des TICCours Veille en TIC - Encadrement de l'usage des TIC
Cours Veille en TIC - Encadrement de l'usage des TICRetis be
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDMohamed KAROUT
 
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Hackfest Communication
 
Le CIL EXTERNE, pourquoi faire?
Le CIL EXTERNE, pourquoi faire?Le CIL EXTERNE, pourquoi faire?
Le CIL EXTERNE, pourquoi faire?Florence Bonnet
 
Un CIL EXTERNE, pourquoi faire?
Un CIL EXTERNE, pourquoi faire? Un CIL EXTERNE, pourquoi faire?
Un CIL EXTERNE, pourquoi faire? Florence Bonnet
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
 
AppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueAppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueJLCOLOMBANI
 
Aspects juridiques de la fuite de données
Aspects juridiques de la fuite de donnéesAspects juridiques de la fuite de données
Aspects juridiques de la fuite de donnéesBenjamin Benifei
 
GDPR Roadshow Business Decision Eolas - Grenoble 2017
GDPR Roadshow Business Decision Eolas - Grenoble 2017GDPR Roadshow Business Decision Eolas - Grenoble 2017
GDPR Roadshow Business Decision Eolas - Grenoble 2017Pascal Fouque
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
Les aspects juridiques de l'Internet
Les aspects juridiques de l'InternetLes aspects juridiques de l'Internet
Les aspects juridiques de l'InternetFranck Gauttron
 
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...Swiss Community Managers Association
 

Ähnlich wie Conférence 16.11.2011 (20)

Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
Competitic - usage internet dans lentreprise droit - numerique en entreprise
Competitic - usage internet dans lentreprise droit - numerique en entrepriseCompetitic - usage internet dans lentreprise droit - numerique en entreprise
Competitic - usage internet dans lentreprise droit - numerique en entreprise
 
2011
20112011
2011
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Cours Veille en TIC - Encadrement de l'usage des TIC
Cours Veille en TIC - Encadrement de l'usage des TICCours Veille en TIC - Encadrement de l'usage des TIC
Cours Veille en TIC - Encadrement de l'usage des TIC
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
 
Gérer sa vie privée numérique
Gérer sa vie privée numérique Gérer sa vie privée numérique
Gérer sa vie privée numérique
 
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
 
E comm et rgpd
E comm et rgpdE comm et rgpd
E comm et rgpd
 
Le CIL EXTERNE, pourquoi faire?
Le CIL EXTERNE, pourquoi faire?Le CIL EXTERNE, pourquoi faire?
Le CIL EXTERNE, pourquoi faire?
 
Un CIL EXTERNE, pourquoi faire?
Un CIL EXTERNE, pourquoi faire? Un CIL EXTERNE, pourquoi faire?
Un CIL EXTERNE, pourquoi faire?
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...
 
AppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueAppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatique
 
Aspects juridiques de la fuite de données
Aspects juridiques de la fuite de donnéesAspects juridiques de la fuite de données
Aspects juridiques de la fuite de données
 
GDPR Roadshow Business Decision Eolas - Grenoble 2017
GDPR Roadshow Business Decision Eolas - Grenoble 2017GDPR Roadshow Business Decision Eolas - Grenoble 2017
GDPR Roadshow Business Decision Eolas - Grenoble 2017
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
Les aspects juridiques de l'Internet
Les aspects juridiques de l'InternetLes aspects juridiques de l'Internet
Les aspects juridiques de l'Internet
 
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...
 

Mehr von Université Pierre et Marie Curie

Mehr von Université Pierre et Marie Curie (17)

Voeux2017 - Lexing Switzerland - Sébastien Fanti
Voeux2017 - Lexing Switzerland - Sébastien Fanti Voeux2017 - Lexing Switzerland - Sébastien Fanti
Voeux2017 - Lexing Switzerland - Sébastien Fanti
 
Robots ch
Robots chRobots ch
Robots ch
 
Autonomouscars
Autonomouscars Autonomouscars
Autonomouscars
 
Use of robots on financial markets
Use of robots on financial marketsUse of robots on financial markets
Use of robots on financial markets
 
Parlement
ParlementParlement
Parlement
 
Edutic
EduticEdutic
Edutic
 
L’avocat(e): entre notable et saltimbanque
L’avocat(e): entre notable et saltimbanqueL’avocat(e): entre notable et saltimbanque
L’avocat(e): entre notable et saltimbanque
 
Lexing internet enseignement vf
Lexing internet enseignement vfLexing internet enseignement vf
Lexing internet enseignement vf
 
E-Reputation en suisse
E-Reputation en suisse E-Reputation en suisse
E-Reputation en suisse
 
Lexing Eccg 2.0
Lexing Eccg 2.0Lexing Eccg 2.0
Lexing Eccg 2.0
 
Le Nouvelliste Fanti Facebook 2011
Le Nouvelliste Fanti Facebook 2011Le Nouvelliste Fanti Facebook 2011
Le Nouvelliste Fanti Facebook 2011
 
portrait de Sébastien Fanti
portrait de Sébastien Fantiportrait de Sébastien Fanti
portrait de Sébastien Fanti
 
Affaire Luca Mongelli décision du Tribunal fédéral
Affaire Luca Mongelli décision du Tribunal fédéralAffaire Luca Mongelli décision du Tribunal fédéral
Affaire Luca Mongelli décision du Tribunal fédéral
 
Internet PréSentation Des Risques 2009
Internet PréSentation Des Risques 2009Internet PréSentation Des Risques 2009
Internet PréSentation Des Risques 2009
 
Aspects LéGaux D
Aspects LéGaux DAspects LéGaux D
Aspects LéGaux D
 
ConféRence Uni F R
ConféRence Uni F RConféRence Uni F R
ConféRence Uni F R
 
Identité numérique
Identité numériqueIdentité numérique
Identité numérique
 

Conférence 16.11.2011

  • 1. La cyber-criminalité du point de vue de l’employeur Conférence du 16 novembre 2011 1
  • 2. Prolégomènes: • L’employeur a un rôle ingrat, car il doit être à l’écoute des employés, tout en s’assurant de leur loyauté ( • La connaissance de l’employé est une nécessité: la loyauté des collaborateurs diminue, 85% des fraudeurs n’ont aucun passé judiciaire, un employé sur deux conserve des données liées à son précédent poste de travail (Le Temps, 11 avril 2011). • Les fraudes commises le sont désormais également par des cadres et des membres de la direction de l’entreprise. • La tendance naturelle est celle de protéger l’infrastructure contre des personnes extérieures à l’entreprise, ce qui est une grave erreur; exemple: réseau où les brevets sont accessibles à tous. 2
  • 3. Casus introductif: • Le Tribunal cantonal valaisan a jugé que celui qui, au bénéfice d un mot de passe communiqué par son employeur, accède à des serveurs lui permettant de disposer de données spécifiques ne se rend pas coupable de soustraction de données, ceci à défaut de protection spécifique! • En étant simplement au bénéfice du mot de passe lui permettant de s'acquitter de ses obligations contractuelles, X. a pu accéder aux serveurs contenant les données dont il s'est ensuite emparé. Bien que lesdits serveurs aient fait l'objet de diverses protections contre des intrusions de l'extérieur (chambre forte, contrôles d'accès biométriques, pare-feu), cet employé n'a rencontré aucune mesure de sécurité spécifique lui entravant l'accès aux logiciels du "Back Office" recherchés ou encore aux données d'Y. SA relatives aux adresses e-mail des abonnés au service de messagerie A.ch, de même que celles afférentes à la liste des clients du site B., le tout "logins" et mots de passe compris. 3
  • 4. Casus introductif: • Il importe peu qu'en fonction de la formation ou des capacités de celui-ci, voire des renseignements fournis par des collègues mieux aguerris en ce domaine, l'employé indélicat ait mis plus ou moins de temps pour trouver le chemin des données recherchées, dès lors l'intéressé n'a dû surmonter aucun obstacle de sécurité mis en œuvre volontairement par son employeur. • Au contraire, faisant prévaloir des raisons de rentabilité dont il n'appartient pas à la cour de vérifier le bien-fondé, les organes d'Y. SA ont opté pour une barrière dite morale, qui ne suffit évidemment pas à réunir les réquisits posés à l'art. 143 CP, alors même - tel que déjà évoqué en droit - que cette barrière aurait été assortie d'instructions voire d'interdictions orales ou écrites. 4
  • 5. Casus introductif: • Avec la société lésée, on peut s'interroger sur le sens de la protection pénale restreinte ainsi accordée par le législateur, dans sa volonté de renoncer à réprimer ce qui équivaut à un abus de confiance au sens large du terme. C'est bien la raison pour laquelle ont déjà été relevés le peu d'incidence pratique de l'art. 143 CP et même le caractère dépassé des moyens légaux mis en œuvre dès 1995 pour lutter contre la criminalité informatique. Il suit de là qu'un renvoi en jugement fondé sur l'art. 143 CP ne saurait se justifier. • Pour des motifs similaires, l'application de l'art. 143bis CP n'entre pas en ligne de compte, outre que l'activité de l'employé X. ne peut être assimilée à celle d'un "hacker" qui visite le site d'autrui en vue d'en percer les défenses et d'en violer le domicile informatique. 5
  • 6. Casus introductif: • La cause pénale concernant X. a en revanche été renvoyée à jugement s'agissant de la violation du secret des postes et des télécommunications. • Ainsi, celui-ci ne semble pas avoir échappé à une sanction justifiée; toutefois, cet arrêt signifie clairement que pour éviter tout problème ultérieur, mieux vaut sécuriser «en interne» vos systèmes informatiques. • À défaut, toute poursuite pénale fondée sur l article 143 du Code pénal risque fort d être vouée à l échec! 6
  • 7. Enseignements: • L es instructions et/ou interdictions orales ou écrites sont insuffisantes. Une barrière électronique et des contre-mesures sont nécessaires. • Le règlement informatique et les clauses contractuelles ne sont donc, du point de vue pénal, d aucun secours pour démontrer la réalisation des conditions objectives d infractions, telles que la soustraction de données ou l accès indu à un système informatique. • Elles pourront, par contre, fonder une action civile. • Les erreurs de vos employés vous seront imputées; ex: un client d une banque voit ses données communiquées au fisc de son pays et dépose une plainte contre X. Il existe un risque que l employeur doive justifier des mesures de sécurité prises et de grands risques qu il doive assumer les conséquences civiles du comportement illicite soient à sa charge (action récursoire possible). 7
  • 8. Enseignements: • Ne comptez sur personne pour vous aider en cas de pépin: la Suisse va probablement ratifier la Convention du Conseil de l Europe sur la cybercriminalité signée en 2001… en 2011. • Aucun article juridique, ni aucun jugement n ont été publiés en matière de DLP à ce jour! • Il n y a qu un DIEU informatique, c est le responsable de la sécurité des données de vos clients et de vos données! • Ni un juge, ni un policier, ni un politicien ne pourront rétablir une réputation ternie et vous permettre de vous soustraire aux procédures qui ne manqueront pas d être diligentées (ex: procédure disciplinaire contre un avocat dont l épouse a subtilisé les données client pour démontrer le niveau de revenu… avant de demander le divorce!). 8
  • 9. Introduction - notion: • Le Data Loss Prevention (DLP) est un concept qui peut être défini téléologiquement de la manière suivante: il vise à identifier, surveiller et protéger les données, qu’elles soient stockées, en cours d’utilisation ou en mouvement et ce, quel qu’en soit le support. • Il s agit donc, brièvement dit, d un ensemble de techniques de protection contre la fuite d information, qu il s agisse de vol ou de fuite par mégarde. • Ces techniques peuvent trouver application: -  au niveau du réseau (analyse de trafic); -  au niveau du serveur; -  au niveau de l identification de données sensibles. 9
  • 10. Introduction - contexte: • Selon le dernier rapport de la Central d enregistrement et d analyse pour la sûreté de l information (Melani, rapport semestriel 2010/1): • Les affaires d espionnage et de vols de données ont augmenté au premier semestre 2010 sur le plan mondial. • Selon les études de sinistralité conduites notamment par Melani, plus d une personne sur deux a déjà perdu des données stockées sur des PC portables ou sur des médias amovibles (cf. étude sécurité informatique dans les entreprises suisses, Zurich, août 2006). • Les programmes d espionnage et de vols de données sont en constante augmentation: les logiciels espions ont connu une augmentation de 51% depuis le 2ème semestre 2009 (Gdata SecurityLabs, 7 septembre 2010). 10
  • 11. DLP & contraintes légales: • Les solutions DLP sont soumises aux règles légales ordinaires, tant du point de vue du droit civil ou administratif que du droit pénal ou disciplinaires. • Ainsi, les règles de protection de la personnalité des employés figurant à l article 328 CO trouvent-elles application (surveillance du travailleur par l employeur), de même que celles en matière de protection des données. • Exemples: en principe, l employeur n a pas le droit de lire et de contrôler les courriels et les recherches sur internet d un travailleur, puisqu il risque de pouvoir accéder à des éléments et informations de la sphère privée et de découvrir ainsi des faits et gestes qui ne le regardent pas. 11
  • 12. DLP & contraintes légales: • La surveillance de la part d un supérieur n est admissible que si elle ne permet pas d obtenir un contenu ou un renseignement strictement personnel. Cette règle s applique aussi bien au courrier électronique qu à la navigation sur internet. • Avant d effectuer un contrôle justifié, l employeur doit annoncer au travailleur qu il a l intention d examiner son usage e-mail et internet privé et qu il entend sanctionner d éventuelles incorrections que son intervention permettra de découvrir. Même lorsqu il existe des indices concrets d emploi abusif, le devoir d avertissement préalable subsiste pour l employeur (JU-TRAV 2005 p. 14). • Le Préposé fédéral à la protection des données a édité un guide relatif à la surveillance d internet et du courrier électronique au lieu de travail. 12
  • 13. DLP & contraintes légales: • Lorsqu un employeur suspecte une personne d avoir transmis des secrets commerciaux à un tiers, il doit se demander comment préserver physiquement les preuves de nature privée et s il a le droit d en consulter le contenu et, dans l affirmative, selon quelles modalités. • Deux conditions cumulatives doivent être remplies pour que la consultation soit possible: •  il doit exister un motif justificatif (accord de l employé ou intérêt prépondérant); • le soupçon d infraction doit reposer sur un motif, un indice concret. Si l accord de la personne ne peut être obtenu, il faut faire appel à des professionnels (forensic scientists). 13
  • 14. DLP & contraintes légales: • L article 328b CO trouve également application. Cet article a trait au respect des normes en matière de traitement des données par l employeur et renvoie à la LPD. • Le Préposé indique clairement que l heure est désormais venue pour l employeur de changer d attitude; il lui faut désormais concentrer ses efforts sur la prévention technique: plutôt que de surveiller ses employés, il mettra en oeuvre les mesures d ordre technique permettant de contenir les abus et de protéger l entreprise. Il ne sera autorisé à analyser nominativement les fichiers journaux que si les mesures prises s avèrent inefficaces. • L employeur a donc un rôle désagréable et ingrat: garantir la sécurité des données (art. 7 LPD et 8 OPD) et sévir à juste titre. 14
  • 15. DLP & contraintes légales: • Selon l article 8 OPD, celui qui traite des données personnelles, protège les systèmes notamment contre les risques de destruction accidentelle ou non autorisée, perte accidentelle, erreurs techniques, falsification, vol ou utilisation illicite, modification, copie, accès ou autre traitement non autorisés. • Plus les données sont sensibles et plus les mesures à prendre seront nombreuses, strictes, et, revers de la médaille, intrusives. • Le principe de proportionnalité prend tout son sens dans un tel environnement. • Ces contraintes légales ne prennent pas en considération les spécificités liées à certaines activités (ex: evernote pour les avocats). 15
  • 16. DLP & contraintes légales: quelques pistes de réflexion • Celui qui ne met pas en place les dernières technologies se verra reprocher sa passivité à prévenir les pertes et fuites d information; • Celui qui est trop prospectif et intrusif se verra reprocher de violer le droit à la vie privée et le droit de la personnalité; • La voie médiane passe par un usage accru de technologies susceptibles de collecter de manière automatisée les indices pour pouvoir ensuite intervenir dans le respect des conditions cumulatives fixées; • L intervention automatisée ne pourra se voir reprocher d être orientée… 16
  • 17. Mesures de surveillance • Un employeur suspecte l’un des collaborateurs qui va quitter l’entreprise de vouloir emporter avec lui la liste des clients et des secrets d’affaires; • Il craint en particulier l’utilisation d’une clé USB pour s’emparer de ces données à son insu; • Cet employeur vous consulte et sollicite que vous l’orientiez sur la licéité du procédé qu’il entend adopter, respectivement que vous lui indiquiez si un logiciel de surveillance peut être implémenté; • Selon vous, l’employé doit-il être informé préalablement? • Pouvez-vous invoquer une disposition légale pour passer outre cette information? 17
  • 18. Mesures de surveillance • Que risque cet employeur s’il agit sans en informer l’employé? • En cas de vol avéré, cela change-t-il quelque chose? • Si vous êtes l’avocat de l’employé que pouvez-vous entreprendre? 18
  • 19. Usurpation d identité - introduction - notion: • Il s agit du fait de prendre délibérément l identité d une autre personne, généralement dans le but de réaliser une action frauduleuse, comme accéder aux finances de la personne usurpée, ou de commettre en son nom un délit ou un crime, ou d accéder à des droits de façon indue. • Dans le monde virtuel, les attributs de la personnalité ne sont octroyés par aucune autorité publique. La seule identification effective sur Internet est l adresse de chaque machine connectée au réseau, dite adresse IP, constituée d une suite de chiffres séparée de points. • Selon la jurisprudence du Tribunal fédéral (Logistep), l’adresse IP est une donnée personnelle. • En France, plus de 210’000 personnes sont victimes d’une telle usurpation chaque année (coût moyen 2’229 euros). 19
  • 20. Usurpation d identité – régime légal applicable: •  L’usurpation d’identité est punie sévèrement tant en France (Loopsi 2) qu’en Angleterre. •  En Suisse, l’usurpation d’identité est un composant d’infraction et non une infraction en tant que telle. Ex: un aigrefin pirate le compte e-mail d’un notaire et d’un agent immobilier pour se faire verser grâce à Western Union une partie du prix de vente en Angleterre; seul le vol entre en considération. •  Les trois mots de passe les plus utilisés sont: 123456; password et 12345678. • La signature électronique permet d’éviter nombre de cas d’usurpation d’identité. Depuis le 1er janvier 2011, elle peut également être utilisée dans les échanges avec les tribunaux notamment. 20
  • 21. Responsabilité de l entreprise •  Complicité liée à un défaut de sécurité? •  Une entreprise possède un site avec possibilité de laisser des commentaires sur chaque article de leur shop on-line. Mal sécurisé, le site permet l’insertion de code malveillant qui infecte (virus) les personnes qui visitent le site en question. Négligente l’entreprise ne fait pas les démarches qui s’imposent pour garantir la sécurité. Est- elle responsable? •  Une entreprise confie le mandat à une agence de réaliser un site web clefs en main. L’agence choisit la solution d’hébergement, mais cela ne fait pas partie du contrat. L’entreprise ne met pas à jour le site qui se fait pirater, une image illicite étant publiée. Qui est responsable? 21
  • 22. Cyber-espionnage industriel •  Les entreprises sont plus exposées du fait de la généralisation des réseaux de communication. •  Le social engineering n’a pas fait l’objet d’une jurisprudence à ce jour et certains auteurs considèrent que ce comportement ne tombe pas sous le coup d’une norme pénale. •  Si l’espion soustrait des secrets de fabrication (information connue d’un nombre restreint de personnes) ou d’affaires (listes de clients, accords avec les fournisseurs) et les utilise il se rend coupable d’un comportement déloyal au sens de l’article 6 LCD. •  Si les secrets n’ont pas encore été utilisés, l’entreprise peut exiger la restitution des données volées par le biais d’une action civile (art. 9 al. 1 LCD). À défaut, il faut faire constater l’illicéité et tenter d’obtenir des dommages et intérêts. 22
  • 23. Expertise psychiatrique et protection des données • Un fonctionnaire suicidaire fait exploser son lieu de travail en allumant une cigarette alors qu’il avait isolé la pièce et opéré une modification relativement à une conduite de gaz dans le but de mourir par ce biais. • Le dommage au bâtiment dépasse le million de francs. • Dans le cadre de la procédure pénale qui s’ensuit, le Juge d’instruction pénale sollicite l’établissement d’une expertise psychiatrique. • Le résultat de cette expertise ne convient pas à l’ex-employeur dans la mesure où l’expert considère que le fonctionnaire était au moment des faits incapable de discernement. 23
  • 24. Expertise psychiatrique et protection des données • L’ex-employeur adresse ne sollicite aucune surexpertise dans la procédure pénale, mais adresse cette expertise à un expert- psychiatre travaillant sur mandat. • Le fonctionnaire n’est jamais informé de cette transmission de données personnelles. • Le médecin mandaté par l’ex-employeur rend un rapport sans avoir jamais eu en consultation le fonctionnaire. • Selon ce rapport, le fonctionnaire est pleinement capable de discernement et doit être condamné civilement et pénalement. 24
  • 25. Expertise psychiatrique et protection des données • Quelles sont les normes légales applicables à ce casus? • À qui vous adressez-vous si vous souhaitez alléguer une violation des règles en matière de protection des données? • De quel type de procédure s’agit-il? • Les différents magistrats saisis de la cause sont-ils tenus par le résultat des instructions de leurs confrères? • Quelle serait votre décision si vous étiez saisi comme Préposé? 25
  • 26. Réseaux sociaux et protection des données • Un employé se fait porter pâle alors qu’il doit effectuer en qualité de chauffeur un transport de supporters lors d’un match de Super League. • Régulièrement, des déprédations et des violences sont commises lors de ces transports et une crainte s’est installée. • L’employeur connaît les appréhensions de ses collaborateurs et il de plus en plus de peine à organiser un tournus pour ces événements à risque. • Les bus sont pourtant équipés de caméras de surveillance. • L’employeur est informé par un autre collaborateur que sur son mur Facebook, l’employé a mentionné qu’il avait pris la «biturée du siècle» le soir du match. 26
  • 27. Réseaux sociaux et protection des données • L’employeur sûr de son bon droit vous consulte et veut licencier avec effet immédiat son collaborateur. • Il vous remet les print screen du mur Facebook et sur un ton taquin vous informe que le collaborateur qui lui a remis ces preuves a été accepté comme ami sur FB en se prévalant d’une fausse identité. • L’installation de caméras de surveillance dans les bus vous paraît-elle licite? • Combien de temps les images peuvent-elles être conservées? • Le mur FB est-il un espace privé si les paramètres de confidentialité n’autorisent sa consultation que par des amis FB? 27
  • 28. Réseaux sociaux et protection des données • L’employeur peut-il se prévaloir des preuves qui lui sont remises? • Respectivement s’agit-il de preuves licites? • Cela influerait-il sur votre raisonnement si le collaborateur cafteur avait été admis de manière fair parmi les amis FB de celui qui s’est fallacieusement fait porter pâle? • Les réseaux sociaux en tant que leur exploitant n’a aucun siège en CH peuvent-ils être sollicités de collaborer à l’établissement de la vérité? • Le licenciement immédiat est-il justifié? • Peut-on évoquer un délit pénal et si oui, lequel? 28
  • 29. Conclusions: •  Le renforcement des normes est la tendance actuelle. •  Les entreprises doivent prévenir l’introduction de ces normes en se montrant proactives (veille juridique, intégrer à toute réflexion relative au domaine informatique et technologique la dimension protection des données, etc.). •  La sécurité des systèmes d’information est un enjeu stratégique majeur. Dans un environnement très concurrentiel, les dommages consécutifs à une perte ou à un vol de données peuvent s’avérer fatals. •  Les investissements liés à la sécurité des données et leur protection doivent être proportionnés à la sensibilité des données traitées et aux moyens de l’entreprise. 29