Aspects juridiques de la fuite de données

282 vues

Publié le

Présentation effectuée lors du Tea Time Cybersécurité à la Cantine de Toulouse le 27 avril 2015.

Publié dans : Droit
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
282
Sur SlideShare
0
Issues des intégrations
0
Intégrations
19
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Aspects juridiques de la fuite de données

  1. 1. ASPECTS JURIDIQUES DE LA FUITE DE DONNÉES TEA TIME CYBERSÉCURITÉ – 2015-04-27 | |Benjamin Benifei Juriste ITrust
  2. 2. QUELQUES MOYENS DE PROTECTION Loi Godfrain sur la fraude informatique Propriété intellectuelle et industrielle Droit sui generis du producteur de base de données Protection des données personnelles
  3. 3. LOI GODFRAIN : CHAMP DE LA LOI Loi du 5 janvier 1988 Lutte contre la fraude informatique (piratage ou atteintes aux systèmes de traitement automatisé de données)
  4. 4. LOI GODFRAIN : FAITS DE FRAUDE Articles 323-1 à 323-7 du Code pénal Accès et maintien non autorisés / Entrave du fonctionnement Introduction, modification, suppression de données Punition de la tentative / Aggravation lorsque STAD mis en œuvre par l'État
  5. 5. LOI GODFRAIN : EXTENSION DANS LA LPM Ajout par la Loi de Programmation Militaire du 18 décembre 2013 du délit de détention de données (reproduction/extraction/détention/transmission) Article 323-3 du Code pénal
  6. 6. LOI GODFRAIN : EXEMPLES DE SANCTION Accès/Maintien : 2 ans d'emprisonnement, 30K€ d'amende Modification de données : 5 ans d'emprisonnement, 75k€ d'amende
  7. 7. LOI GODFRAIN : EXEMPLE 1 Cour d'appel de Versailles, 6 février 2013 Chargé de mission SSI d'un fournisseur d'électricité conclut un contrat d'intelligence éco. avec un prestataire Prestataire pirate une association écologiste (Loi Godfrain) Tribunal correctionnel : 1,5M€ d'amende pour le fournisseur, 3 ans de prison pour le RSSI, 3 ans de prison et 10K€ d'amende pour le chargé MSSI Appel : Relaxe du fournisseur et du 1er RSSI (supérieur hiérarchique), 6 mois pour le 2nd
  8. 8. LOI GODFRAIN : EXEMPLE 1 « Depuis son entrée chez la société E., il [le chargé de mission] avait acquis, en matière d’intelligence économique, une compétence et une expérience spécifiques ; que cette situation et la confiance dont il bénéficiait ont sans nul doute contribué à la commission de tels faits en “solo” »
  9. 9. LOI GODFRAIN : EXEMPLE 1 « Il n’est pas rapporté la preuve qu’en sa qualité de responsable de la mission sécurité de la société E. il [le supérieur] aurait assisté ou aidé par un acte positif quelconque, la réalisation de procédés illégaux en leur donnant des instructions à cet effet » Article 121-2 du Code pénal : « Les personnes morales (…) sont responsables pénalement (…) des infractions commises, pour leur compte, par leurs organes ou représentants »
  10. 10. LOI GODFRAIN : EXEMPLE 2 Cour d'appel de Paris, 5 février 2014 « L’accès, qu’il ne conteste pas, lui a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système, défaillance que reconnaît l'ANSES ; dans ces conditions l’infraction n’est pas caractérisée »
  11. 11. LOI GODFRAIN : EXEMPLE 2 « O.L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ; [sa] culpabilité sera donc retenue des chefs de maintien frauduleux dans un STAD »
  12. 12. LOI GODFRAIN : EXEMPLE 2 « En l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports desfichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose »
  13. 13. DONNÉES PERSONNELLES : PRINCIPES Loi Informatique et Libertés du 6 janvier 1978 Schématiquement, le responsable d'un traitement de données personnelles est soumis à des obligations (information/réception du consentement)
  14. 14. DONNÉES PERSO : RESPECT DES FORMALITÉS Article 226-16 du Code pénal Tout responsable doit respecter les formalités préalables Sanction de 5 ans d'emprisonnement et 300K€ d'amende
  15. 15. DONNÉES PERSO : SÉCURITÉ DES FICHIERS Article 226-17 du Code pénal Le responsable doit adopter des mesures de sécurité physiques, logiques et adaptées à la nature des données et aux risques présentés par le traitement « Prendre toutes les précautions utiles » Sanction de 5 ans d'emprisonnement et 300K€ d'amende
  16. 16. DONNÉES PERSO : NOTIFICATION DES FUITES Article 226-17-1 du Code pénal Pour toute violation, prévenir la CNIL « sans délai » Prévenir les intéressés également, sauf si protection des données (crypto) Sanction de 5 ans d'emprisonnement et 300K€ d'amende Actuellement vise les opérateurs et FAI : extension dans le règlement européen
  17. 17. DONNÉES PERSO : EXEMPLE DE SANCTION Délibération de la CNIL du 7 août 2014 « En application de l'article 34 bis de la LIL, la société O. a notifié à la CNIL une violation de données à caractère personnel ayant impacté environ 1.340.000 de ses clients » → Auto-incrimination de la société O. ?
  18. 18. DONNÉES PERSO : EXEMPLE « Concernant l'obligation incombant à la société de mettre en œuvre des moyens propres à assurer la sécurité des données de ses clients et notamment des mesures adaptées pour que ces données ne soient pas communiquées à des tiers non autorisés […], la société O. […] ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires. […] La société n'a pas fait réaliser d'audit de sécurité sur l'application […] de son prestataire pour répondre à ses besoins »
  19. 19. DONNÉES PERSO : EXEMPLE « Compte tenu des défaillances de la société O. en termes de sécurité et de confidentialité des données personnelles de ses clients et prospects alors qu'elle dispose des ressources financières et humaines lui permettant la prise en charge de telles problématiques, la formation restreinte décide de rendre publique sa décision »
  20. 20. AUTRES NOTIFICATIONS : LES INCIDENTS DE SÉCURITÉ Article L. 33-1 du Code des postes Obligation de notification à l'ANSSI des incidents de sécurité des opérateurs des réseaux de communications publics ou services de communications électroniques Notification des atteintes à la sécurité ou des pertes d'intégrité ayant un « impact significatif » Article 22 de la LPM pour les OIV
  21. 21. AUTRES NOTIFICATIONS : LES PARTENAIRES COMMERCIAUX Que prévoient vos contrats ? Quelles sont les sanctions ? Résiliation ? Clause pénale ?
  22. 22. ASPECTS JURIDIQUES DE LA FUITE DE DONNÉES TEA TIME CYBERSÉCURITÉ – 2015-04-27 | |Benjamin Benifei Juriste ITrust

×