LES 5 CLÉS DE LA RESPONSABILITÉJURIDIQUE DU RSSI  Thiébaut DEVERGRANNE       Docteur en droit        Consultant           ...
Introduction2    Présentation        Consultant - droit des nouvelles technologies        +10 ans d’expérience, dont 6 p...
Introduction3              Objectifs de la présentation :                  Analyse transverse des risques juridiques maje...
Les 5 clés de la responsabilité juridique du RSSI4    CHALLENGE 1 :    ACQUERIR UNE    CONNAISSANCE    OPERATIONNELLE    D...
Les 5 clés de la responsabilité juridique du RSSI5    La    « triade »© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI6     Des zones à risques à connaître impérativement, comme la      prot...
Les 5 clés de la responsabilité juridique du RSSI7                                 Quizz !© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI8                                                                     Oui...
Les 5 clés de la responsabilité juridique du RSSI9                                                                        ...
Les 5 clés de la responsabilité juridique du RSSI10                                                                       ...
Les 5 clés de la responsabilité juridique du RSSI11                                                                       ...
Les 5 clés de la responsabilité juridique du RSSI12                                                                       ...
Les 5 clés de la responsabilité juridique du RSSI13                                                                       ...
Les 5 clés de la responsabilité juridique du RSSI14        Information juridique : comment résoudre le         challenge ...
Les 5 clés de la responsabilité juridique du RSSI15     CHALLENGE 2 :     ADOPTER UNE     PERCEPTION     ADEQUATE DU     R...
Les 5 clés de la responsabilité juridique du RSSI16 La sécurité des données personnelles…© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI17           Attention à           la perte de           vigilance !© T. ...
Les 5 clés de la responsabilité juridique du RSSI18     Le vrai risque     informatique et libertés –     Ex. : cas de fra...
Les 5 clés de la responsabilité juridique du RSSI19     CHALLENGE 3 :     VEILLER A     PROSCRIRE UN     SENTIMENT     D’I...
Les 5 clés de la responsabilité juridique du RSSI20        L’affaire EDF c/ GreenPeace en deux         mots (10 novembre ...
Les 5 clés de la responsabilité juridique du RSSI21     La décision        Les responsables sécurité « ont agi pour le   ...
Les 5 clés de la responsabilité juridique du RSSI22                                 De toute façon tout le monde le fait  ...
Les 5 clés de la responsabilité juridique du RSSI23                                 Notes d’information et de jurisprudenc...
Les 5 clés de la responsabilité juridique du RSSI24     CHALLENGE 4 :     BRISER     L’ISOLEMENT
Les 5 clés de la responsabilité juridique du RSSI25 1) Comprendre les incertitudes juridiques  Niveau de détail beaucoup ...
Les 5 clés de la responsabilité juridique du RSSI26     Exemple : discussions en cours en matière de protection des donné...
Les 5 clés de la responsabilité juridique du RSSI27     a) L’adresse IP est-elle une donnée personnelle ?     CA Paris 27...
Les 5 clés de la responsabilité juridique du RSSI28     b) IPS, IDS, DPL : autorisation de la CNIL (problème de pure tech...
Les 5 clés de la responsabilité juridique du RSSI29     Or la loi est très restrictive quant à la possibilité de traiter ...
Les 5 clés de la responsabilité juridique du RSSI30     La CNIL a déjà mis en place des autorisations uniques pour le sui...
Les 5 clés de la responsabilité juridique du RSSI31     Et les sanctions sont suffisamment importantes pour inviter à se ...
Les 5 clés de la responsabilité juridique du RSSI32      Itinéraire d’un point de doctrine…                               ...
Les 5 clés de la responsabilité juridique du RSSI33 2) Rationnaliser ces incertitudes juridiques     Suivre l’actualité j...
Les 5 clés de la responsabilité juridique du RSSI34     CHALLENGE 5 :     CRÉER DE LA     VALEUR AJOUTÉE     POUR LES     ...
Les 5 clés de la responsabilité juridique du RSSI35     Créez des process (ex. : obligations de sécurité dans la loi de 19...
Les 5 clés de la responsabilité juridique du RSSI36                       CONCLUSION
Les solutions opérationnelles37               Formations régulières                                       Risque juridique...
Les solutions opérationnelles38       Questions ?     Thiébaut DEVERGRANNE        Contact : td@hstd.net                   ...
Prochain SlideShare
Chargement dans…5
×

Les 5 clés de la responsabilité juridique du RSSI

9 121 vues

Publié le

Publié dans : Business
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
9 121
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5 747
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Attention aux systèmes de croyances Il y a un schéma type de réalisation d’une infraction pénale Ce schéma commence par accepter l’idée que l’infraction peut/doit être réalisée Si vous détectez ces croyances au sein de votre organisation vous devez recadrer immédiatement Risque majeur Chance de pouvoir recadrer avant l’occurrence d’un risque juridique
  • Attention aux systèmes de croyances Il y a un schéma type de réalisation d’une infraction pénale Ce schéma commence par accepter l’idée que l’infraction peut/doit être réalisée Si vous détectez ces croyances au sein de votre organisation vous devez recadrer immédiatement Risque majeur Chance de pouvoir recadrer avant l’occurrence d’un risque juridique
  • Les 5 clés de la responsabilité juridique du RSSI

    1. 1. LES 5 CLÉS DE LA RESPONSABILITÉJURIDIQUE DU RSSI Thiébaut DEVERGRANNE Docteur en droit Consultant Paris – 20 novembre 2012
    2. 2. Introduction2 Présentation  Consultant - droit des nouvelles technologies  +10 ans d’expérience, dont 6 pour les services du Premier ministre (SGDN/DCSSI) en qualité de conseil juridique  Formation d’avocat (CAPA)  Docteur en droit privé sciences criminelles  Passionné de nouvelles technologies - programmation / sysadmin depuis +15 ans http://www.donneespersonnelles.fr© T. Devergranne – td@hstd.net
    3. 3. Introduction3 Objectifs de la présentation :  Analyse transverse des risques juridiques majeurs en droit de la SSI  5 clés qui sont aussi 5 challenges  Comment protéger sa responsabilité personnelle, celle de son organisation ?  Que faut-il faire pour manager ses risques juridiques de manière opérationnelle (quand on n’est pas juriste) ? 5 clés de la responsabilité juridique des RSSI…© T. Devergranne – td@hstd.net
    4. 4. Les 5 clés de la responsabilité juridique du RSSI4 CHALLENGE 1 : ACQUERIR UNE CONNAISSANCE OPERATIONNELLE DU DROIT
    5. 5. Les 5 clés de la responsabilité juridique du RSSI5 La « triade »© T. Devergranne – td@hstd.net
    6. 6. Les 5 clés de la responsabilité juridique du RSSI6 Des zones à risques à connaître impérativement, comme la protection de la correspondance privée (un des risques opérationnels majeurs) Art. 432-9 c. pen. : « Le fait, par une personne dépositaire de Le fait, par une personne dépositaire de lautorité publique ou chargée dune mission de service public, lautorité publique ou chargée dune mission de service public, agissant dans lexercice ou à loccasion de lexercice de ses fonctions ou agissant dans lexercice ou à loccasion de lexercice de ses fonctions ou de sa mission, dordonner, de commettre ou de faciliter, hors les cas de sa mission, dordonner, de commettre ou de faciliter, hors les cas prévus par la loi, le détournement, la suppression ou louverture de prévus par la loi, le détournement, la suppression ou louverture de correspondances ou la révélation du contenu de ces correspondances, correspondances ou la révélation du contenu de ces correspondances, est puni de trois ans demprisonnement et de 45000 euros damende » est puni de trois ans demprisonnement et de 45000 euros damende »  Attention, beaucoup d’évolutions sur ce questions !© T. Devergranne – td@hstd.net
    7. 7. Les 5 clés de la responsabilité juridique du RSSI7 Quizz !© T. Devergranne – td@hstd.net
    8. 8. Les 5 clés de la responsabilité juridique du RSSI8 Oui Non Est-ce qu’un disque dur nommé « données personnelles » par un employé peut être inspecté par l’employeur ?© T. Devergranne – td@hstd.net
    9. 9. Les 5 clés de la responsabilité juridique du RSSI9 Oui Non Est-ce qu’un disque dur nommé « données personnelles » par un employé peut être inspecté par l’employeur ? « la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient ; que la cour d’appel, qui a retenu que la dénomination “D :/données personnelles” du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui n’étaient pas identifiés comme étant “privés” selon les préconisations de la charte informatique, pouvaient être régulièrement ouverts par l’employeur » Cass. Soc., 4 juillet 2012© T. Devergranne – td@hstd.net
    10. 10. Les 5 clés de la responsabilité juridique du RSSI10 Oui Non Hypothèse : votre charte informatique prévoit que les boites mail des employés puissent être consultées en leur présence et vous découvrez qu’un employé a réalisé un accès frauduleux à la messagerie électronique du chef de service. Pouvez-vous consulter ses emails PROFESSIONNELS en son absence afin d’investiguer l’incident ?© T. Devergranne – td@hstd.net
    11. 11. Les 5 clés de la responsabilité juridique du RSSI11 Oui Non Hypothèse : votre charte informatique prévoit que les boites mail des employés puissent être consultées en leur présence et vous découvrez qu’un employé a réalisé un accès frauduleux à la messagerie électronique du chef de service. Pouvez-vous consulter ses emails PROFESSIONNELS en son absence afin d’investiguer l’incident ? « Le règlement intérieur peut toutefois contenir des dispositions restreignant le pouvoir de consultation de l’employeur, en le soumettant à d’autres conditions », Cass. Soc. 26 juin 2012© T. Devergranne – td@hstd.net
    12. 12. Les 5 clés de la responsabilité juridique du RSSI12 Oui Non Le RSSI pourrait-il prendre copie de propos dénigrant son organisation depuis le compte Facebook d’un employé ?© T. Devergranne – td@hstd.net
    13. 13. Les 5 clés de la responsabilité juridique du RSSI13 Oui Non Le RSSI pourrait-il prendre copie de propos dénigrant son organisation depuis le compte Facebook d’un employé ? « Ce réseau peut constituer soit un espace privé, soit un espace public, en fonction des paramétrages effectués par son utilisateur (…) ; [en l’espèce] aucun élément ne permet de dire que le compte Facebook [ait été paramétré de manière publique de sorte] à faire perdre aux échanges litigieux leur caractère de correspondance privée », CA, Soc. 15 novembre 2011© T. Devergranne – td@hstd.net
    14. 14. Les 5 clés de la responsabilité juridique du RSSI14  Information juridique : comment résoudre le challenge ?  Formations, sensibilisations  Veille régulière !  Attention, le rythme des évolutions législatives et jurisprudentielles est élevé ; en 2012…  La loi Godfrain a été changée !  On digère le nouveau règlement européen qui va changer toute la loi informatique et libertés (et qui prévoit des sanctions > 1 milliard d’euros pour les grands groupes).  De nombreuses décisions sur la cybersurveillance !© T. Devergranne – td@hstd.net
    15. 15. Les 5 clés de la responsabilité juridique du RSSI15 CHALLENGE 2 : ADOPTER UNE PERCEPTION ADEQUATE DU RISQUE JURIDIQUE
    16. 16. Les 5 clés de la responsabilité juridique du RSSI16 La sécurité des données personnelles…© T. Devergranne – td@hstd.net
    17. 17. Les 5 clés de la responsabilité juridique du RSSI17 Attention à la perte de vigilance !© T. Devergranne – td@hstd.net
    18. 18. Les 5 clés de la responsabilité juridique du RSSI18 Le vrai risque informatique et libertés – Ex. : cas de fraude informatique Art. 323-1 c. pen. (al. 1) :: « Le fait daccéder ou de se Art. 323-1 c. pen. (al. 1) « Le fait daccéder ou de se maintenir, frauduleusement, dans tout ou partie dun système maintenir, frauduleusement, dans tout ou partie dun système de traitement automatisé de données est puni de deux ans de traitement automatisé de données est puni de deux ans demprisonnement et de 30.000 euros damende »  demprisonnement et de 30.000 euros damende »  Art. 226-17 c. pen. :: « Le fait de procéder ou de faire Art. 226-17 c. pen. « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à larticle 34 de la sans mettre en œuvre les mesures prescrites à larticle 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans demprisonnement et de 300.000 Euros damende »   demprisonnement et de 300.000 Euros damende »   Art. 34 :: «  Le responsable du traitement est tenu de prendre Art. 34 «  Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y déformées, endommagées, ou que des tiers non autorisés y aient accès. » aient accès. »© T. Devergranne – td@hstd.net
    19. 19. Les 5 clés de la responsabilité juridique du RSSI19 CHALLENGE 3 : VEILLER A PROSCRIRE UN SENTIMENT D’IMPUNITE
    20. 20. Les 5 clés de la responsabilité juridique du RSSI20  L’affaire EDF c/ GreenPeace en deux mots (10 novembre 2011) :  1.5 € million d’amende pour EDF en tant que personne morale pour ne pas avoir cadré ses contrats d’IE  Un an de prison ferme pour le responsable sécurité  700.000 euros d’amende et dommages et intérêts pour les protagonistes  Les nouveautés  Mise en cause de la personnalité morale d’EDF  Condamnation d’EDF pour recel (possession de biens issus d’un accès frauduleux)  Montant considérable des sanctions© T. Devergranne – td@hstd.net
    21. 21. Les 5 clés de la responsabilité juridique du RSSI21 La décision  Les responsables sécurité « ont agi pour le compte et dans l’intérêt de leur employeur ; la personne morale EDF qui est donc déclarée coupable des délits de recel et de complicité d’accès et maintien frauduleux aggravé dans un STAD au préjudice de M. X et de Greenpeace. En répression elle sera condamnée à une peine de 1.500.000 € d’amende »  Pas de cadrage des contrats d’IE  Absence de contrôle effectif interne de l’usage réel des ressources© T. Devergranne – td@hstd.net
    22. 22. Les 5 clés de la responsabilité juridique du RSSI22 De toute façon tout le monde le fait Le risque principal c’est de se faire prendre C’est un mal nécessaire Nos concurrents font pire Il n’y a pas de sanctions réelles ! Phase d’adaptation à l’idée Phase d’acceptation de l’idée Commission de l’infraction© T. Devergranne – td@hstd.net
    23. 23. Les 5 clés de la responsabilité juridique du RSSI23 Notes d’information et de jurisprudence, prises de position officielles Audits externes Formations & sensibilisations Sanctions Recadrages Phase d’adaptation à l’idée Phase d’acceptation de l’idée Commission de l’infraction© T. Devergranne – td@hstd.net
    24. 24. Les 5 clés de la responsabilité juridique du RSSI24 CHALLENGE 4 : BRISER L’ISOLEMENT
    25. 25. Les 5 clés de la responsabilité juridique du RSSI25 1) Comprendre les incertitudes juridiques  Niveau de détail beaucoup plus précis des problématiques  Difficile / impossible de les aborder sans un soutien juridique  Questions d’algorithmique juridique « Le fait d’accéder ou de se maintenir, frauduleusement, dans toute ou partie d’un STAD est puni… » A || B + C + D = Infraction If ( (A || B) && B && C && D) { Infraction(); }© T. Devergranne – td@hstd.net
    26. 26. Les 5 clés de la responsabilité juridique du RSSI26  Exemple : discussions en cours en matière de protection des données personnelles  L’application de l’article 34 bis aux non OCE ?  L’adresse IP est-elle une donnée personnelle ?  Hadopi : non  CNIL : Si  Lors d’un contrôle, la CNIL est-elle tenue d’informer de la possibilité de s’opposer à sa visite ?  CNIL : non  Conseil d’Etat : Si, si…  IPS, IDS, DLP : autorisation de la CNIL ?© T. Devergranne – td@hstd.net
    27. 27. Les 5 clés de la responsabilité juridique du RSSI27  a) L’adresse IP est-elle une donnée personnelle ? CA Paris 27 avril 2007 et 15 mai 2007 NON : « l’adresse IP ne permet pas d’identifier la ou les personnes qui ont utilisé l’ordinateur » CNIL, août 2007 OUI : l’adresse IP est bien une donnée à caractère personnelle CJCE 29 janvier 2008, affaire Promusicæ OUI : l’adresse IP est une donnée personnelle (demande d’obtention des adresses IP d’utilisateurs de réseaux P2P) CA Rennes, 22 mai 2008 et du 23 juin 2008 OUI : « Ladresse IP de linternaute constitue une donnée indirectement nominative » Cass. crim. 13 janvier 2009 NON récupérer une adresse IP manuellement ne constitue pas un TDP Hadopi, février 2011 NON, l’adresse IP n’est pas une DCP© T. Devergranne – td@hstd.net
    28. 28. Les 5 clés de la responsabilité juridique du RSSI28  b) IPS, IDS, DPL : autorisation de la CNIL (problème de pure technique juridique)… Objectif d’un IDS: assurer la traçabilité (et si possible bloquer) les tentatives d’accès frauduleux et les atteintes aux SI et permettre un dépôt de plainte On procède donc à un traitement de données à Pour ce faire: l’IDS trace le détail précis de l’infraction caractère personnel relatives à des infractions commise à l’encontre du SI (ex : « BACKDOOR (éléments constitutifs) ATTEMPT » = tentative d’accès frauduleux)© T. Devergranne – td@hstd.net
    29. 29. Les 5 clés de la responsabilité juridique du RSSI29  Or la loi est très restrictive quant à la possibilité de traiter ces données : Article 9 « Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par : 1° Les juridictions (…) 2° Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ; 3° [Dispositions censurées par le Conseil Constitutionnel] 4° [Certaines société d’ayants droits] Dispositions censurées : « les personnes morales victimes d’infractions (…) pour les stricts besoins de la prévention et de la lutte contre la fraude, ainsi que la réparation du préjudice subi ». Solution : Art. 25 - Sont mis en œuvre après autorisation de la CNIL (…) : 3. Les traitements, automatisés ou non, portant sur des données relatives aux infractions© T. Devergranne – td@hstd.net
    30. 30. Les 5 clés de la responsabilité juridique du RSSI30  La CNIL a déjà mis en place des autorisations uniques pour le suivi des infractions constatées par les commerçants sur les lieux de vente© T. Devergranne – td@hstd.net
    31. 31. Les 5 clés de la responsabilité juridique du RSSI31  Et les sanctions sont suffisamment importantes pour inviter à se protéger légalement contre le problème… Article 226-19 al. 2 c. pen. : «Est puni de [5 ans d’emprisonnement et 300.000€ d’amende] le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.  Il faudra attendre la jurisprudence judiciaire pour savoir si les données des IDS sont des données « relatives à des infractions »  La CNIL pourrait simplifier les choses et faire une autorisation unique  La loi annoncée pour 2013 serait un parfait véhicule législatif pour régler le problème !© T. Devergranne – td@hstd.net
    32. 32. Les 5 clés de la responsabilité juridique du RSSI32 Itinéraire d’un point de doctrine… CNN Articles juridiques ARCEP Conséquences Thèses de doctorat HADOPI Non Revirements ? mentaires Trav aux parle CNIL Solution Oui Prises de position Prises de position Détection Jurisprudence doctrinales officielles© T. Devergranne – td@hstd.net
    33. 33. Les 5 clés de la responsabilité juridique du RSSI33 2) Rationnaliser ces incertitudes juridiques  Suivre l’actualité juridique  Veille !  Déterminer l’impact sur votre activité  Ne peut être fait qu’en collaboration avec des professionnels du droit  Attention à l’apparente simplicité du droit  Exemple d’un client dont la charte a entièrement été rédigée par le service informatique ; tout était à refaire ; délicat à expliquer, pas très motivant à entendre…© T. Devergranne – td@hstd.net
    34. 34. Les 5 clés de la responsabilité juridique du RSSI34 CHALLENGE 5 : CRÉER DE LA VALEUR AJOUTÉE POUR LES ORGANISATIONS
    35. 35. Les 5 clés de la responsabilité juridique du RSSI35 Créez des process (ex. : obligations de sécurité dans la loi de 1978)… Disponible gratuitement : http://www.donneespersonnelles.fr/infographie-loi-informatique-et-libertes© T. Devergranne – td@hstd.net
    36. 36. Les 5 clés de la responsabilité juridique du RSSI36 CONCLUSION
    37. 37. Les solutions opérationnelles37 Formations régulières Risque juridique Services de Q/R Audits
    38. 38. Les solutions opérationnelles38 Questions ? Thiébaut DEVERGRANNE Contact : td@hstd.net http://www.donneespersonnelles.fr

    ×