SlideShare une entreprise Scribd logo

Aspects juridiques de la fuite de données

Benjamin Benifei
Benjamin Benifei

Présentation effectuée lors du Tea Time Cybersécurité à la Cantine de Toulouse le 27 avril 2015.

Droit
1  sur  22
ASPECTS JURIDIQUES DE LA FUITE DE DONNÉES TEA TIME CYBERSÉCURITÉ – 2015-04-27 | |Benjamin Benifei Juriste ITrust
QUELQUES MOYENS DE PROTECTION Loi Godfrain sur la fraude informatique Propriété intellectuelle et industrielle Droit sui generis du producteur de base de données Protection des données personnelles
LOI GODFRAIN : CHAMP DE LA LOI Loi du 5 janvier 1988 Lutte contre la fraude informatique (piratage ou atteintes aux systèmes de traitement automatisé de données)
LOI GODFRAIN : FAITS DE FRAUDE Articles 323-1 à 323-7 du Code pénal Accès et maintien non autorisés / Entrave du fonctionnement Introduction, modification, suppression de données Punition de la tentative / Aggravation lorsque STAD mis en œuvre par l'État
LOI GODFRAIN : EXTENSION DANS LA LPM Ajout par la Loi de Programmation Militaire du 18 décembre 2013 du délit de détention de données (reproduction/extraction/détention/transmission) Article 323-3 du Code pénal
LOI GODFRAIN : EXEMPLES DE SANCTION Accès/Maintien : 2 ans d'emprisonnement, 30K€ d'amende Modification de données : 5 ans d'emprisonnement, 75k€ d'amende
LOI GODFRAIN : EXEMPLE 1 Cour d'appel de Versailles, 6 février 2013 Chargé de mission SSI d'un fournisseur d'électricité conclut un contrat d'intelligence éco. avec un prestataire Prestataire pirate une association écologiste (Loi Godfrain) Tribunal correctionnel : 1,5M€ d'amende pour le fournisseur, 3 ans de prison pour le RSSI, 3 ans de prison et 10K€ d'amende pour le chargé MSSI Appel : Relaxe du fournisseur et du 1er RSSI (supérieur hiérarchique), 6 mois pour le 2nd
LOI GODFRAIN : EXEMPLE 1 « Depuis son entrée chez la société E., il [le chargé de mission] avait acquis, en matière d’intelligence économique, une compétence et une expérience spécifiques ; que cette situation et la confiance dont il bénéficiait ont sans nul doute contribué à la commission de tels faits en “solo” »
LOI GODFRAIN : EXEMPLE 1 « Il n’est pas rapporté la preuve qu’en sa qualité de responsable de la mission sécurité de la société E. il [le supérieur] aurait assisté ou aidé par un acte positif quelconque, la réalisation de procédés illégaux en leur donnant des instructions à cet effet » Article 121-2 du Code pénal : « Les personnes morales (…) sont responsables pénalement (…) des infractions commises, pour leur compte, par leurs organes ou représentants »
LOI GODFRAIN : EXEMPLE 2 Cour d'appel de Paris, 5 février 2014 « L’accès, qu’il ne conteste pas, lui a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système, défaillance que reconnaît l'ANSES ; dans ces conditions l’infraction n’est pas caractérisée »
LOI GODFRAIN : EXEMPLE 2 « O.L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ; [sa] culpabilité sera donc retenue des chefs de maintien frauduleux dans un STAD »
LOI GODFRAIN : EXEMPLE 2 « En l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports desfichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose »
DONNÉES PERSONNELLES : PRINCIPES Loi Informatique et Libertés du 6 janvier 1978 Schématiquement, le responsable d'un traitement de données personnelles est soumis à des obligations (information/réception du consentement)
DONNÉES PERSO : RESPECT DES FORMALITÉS Article 226-16 du Code pénal Tout responsable doit respecter les formalités préalables Sanction de 5 ans d'emprisonnement et 300K€ d'amende
DONNÉES PERSO : SÉCURITÉ DES FICHIERS Article 226-17 du Code pénal Le responsable doit adopter des mesures de sécurité physiques, logiques et adaptées à la nature des données et aux risques présentés par le traitement « Prendre toutes les précautions utiles » Sanction de 5 ans d'emprisonnement et 300K€ d'amende
DONNÉES PERSO : NOTIFICATION DES FUITES Article 226-17-1 du Code pénal Pour toute violation, prévenir la CNIL « sans délai » Prévenir les intéressés également, sauf si protection des données (crypto) Sanction de 5 ans d'emprisonnement et 300K€ d'amende Actuellement vise les opérateurs et FAI : extension dans le règlement européen
DONNÉES PERSO : EXEMPLE DE SANCTION Délibération de la CNIL du 7 août 2014 « En application de l'article 34 bis de la LIL, la société O. a notifié à la CNIL une violation de données à caractère personnel ayant impacté environ 1.340.000 de ses clients » → Auto-incrimination de la société O. ?
DONNÉES PERSO : EXEMPLE « Concernant l'obligation incombant à la société de mettre en œuvre des moyens propres à assurer la sécurité des données de ses clients et notamment des mesures adaptées pour que ces données ne soient pas communiquées à des tiers non autorisés […], la société O. […] ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires. […] La société n'a pas fait réaliser d'audit de sécurité sur l'application […] de son prestataire pour répondre à ses besoins »
DONNÉES PERSO : EXEMPLE « Compte tenu des défaillances de la société O. en termes de sécurité et de confidentialité des données personnelles de ses clients et prospects alors qu'elle dispose des ressources financières et humaines lui permettant la prise en charge de telles problématiques, la formation restreinte décide de rendre publique sa décision »
AUTRES NOTIFICATIONS : LES INCIDENTS DE SÉCURITÉ Article L. 33-1 du Code des postes Obligation de notification à l'ANSSI des incidents de sécurité des opérateurs des réseaux de communications publics ou services de communications électroniques Notification des atteintes à la sécurité ou des pertes d'intégrité ayant un « impact significatif » Article 22 de la LPM pour les OIV
AUTRES NOTIFICATIONS : LES PARTENAIRES COMMERCIAUX Que prévoient vos contrats ? Quelles sont les sanctions ? Résiliation ? Clause pénale ?
ASPECTS JURIDIQUES DE LA FUITE DE DONNÉES TEA TIME CYBERSÉCURITÉ – 2015-04-27 | |Benjamin Benifei Juriste ITrust

Recommandé

Réagir juridiquement à une attaque informatique
Réagir juridiquement à une attaque informatiqueRéagir juridiquement à une attaque informatique
Réagir juridiquement à une attaque informatiqueBenjamin Benifei
 
Le pentest face au droit - Cyber@Hack 2015
Le pentest face au droit - Cyber@Hack 2015Le pentest face au droit - Cyber@Hack 2015
Le pentest face au droit - Cyber@Hack 2015Benjamin Benifei
 
AppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueAppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueJLCOLOMBANI
 
Les 5 clés de la responsabilité juridique du RSSI
Les 5 clés de la responsabilité juridique du RSSILes 5 clés de la responsabilité juridique du RSSI
Les 5 clés de la responsabilité juridique du RSSIThiebaut Devergranne
 
Conférence 16.11.2011
Conférence 16.11.2011Conférence 16.11.2011
Conférence 16.11.2011Université Pierre et Marie Curie
 
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnumFrenchTechCentral
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Thiebaut Devergranne
 

Recommandé

Réagir juridiquement à une attaque informatique
Réagir juridiquement à une attaque informatiqueRéagir juridiquement à une attaque informatique
Réagir juridiquement à une attaque informatiqueBenjamin Benifei
 
Le pentest face au droit - Cyber@Hack 2015
Le pentest face au droit - Cyber@Hack 2015Le pentest face au droit - Cyber@Hack 2015
Le pentest face au droit - Cyber@Hack 2015Benjamin Benifei
 
AppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueAppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueJLCOLOMBANI
 
Les 5 clés de la responsabilité juridique du RSSI
Les 5 clés de la responsabilité juridique du RSSILes 5 clés de la responsabilité juridique du RSSI
Les 5 clés de la responsabilité juridique du RSSIThiebaut Devergranne
 
Conférence 16.11.2011
Conférence 16.11.2011Conférence 16.11.2011
Conférence 16.11.2011Université Pierre et Marie Curie
 
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnumFrenchTechCentral
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Thiebaut Devergranne
 
Ch2 reglementation cryptographie
Ch2 reglementation cryptographieCh2 reglementation cryptographie
Ch2 reglementation cryptographieRadouane Mrabet
 
Ch3 2 cybercriminalite_conv_budapest
Ch3 2 cybercriminalite_conv_budapestCh3 2 cybercriminalite_conv_budapest
Ch3 2 cybercriminalite_conv_budapestRadouane Mrabet
 
Binder1
Binder1Binder1
Binder1Laetitia HOREL
 
Loi n°: 2014-006 sur la lutte contre la cybercriminalité
Loi n°: 2014-006 sur la lutte contre la cybercriminalitéLoi n°: 2014-006 sur la lutte contre la cybercriminalité
Loi n°: 2014-006 sur la lutte contre la cybercriminalitéAndry Rakotoniaina Andriatahiana
 
conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012vgautrais
 
Loppsi 2 synthèse
Loppsi 2 synthèseLoppsi 2 synthèse
Loppsi 2 synthèseFranck Dupont
 
contrôle internet - ALTIUS - 2014 10 02
contrôle internet - ALTIUS - 2014 10 02 contrôle internet - ALTIUS - 2014 10 02
contrôle internet - ALTIUS - 2014 10 02 ALTIUS
 
Ch4 4 privacy_doctrine_cndp
Ch4 4 privacy_doctrine_cndpCh4 4 privacy_doctrine_cndp
Ch4 4 privacy_doctrine_cndpRadouane Mrabet
 
Bonnes pratiques dans la protection des données personnelles internet
Bonnes pratiques dans la protection des données personnelles internetBonnes pratiques dans la protection des données personnelles internet
Bonnes pratiques dans la protection des données personnelles internetWilfried Nguessan
 
La cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéLa cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéAvignon Delta Numérique
 
Epfl aspects légaux du byod
Epfl aspects légaux du byodEpfl aspects légaux du byod
Epfl aspects légaux du byodUniversité Pierre et Marie Curie
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donneesEdouard DEBERDT
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDMohamed KAROUT
 
Zoom Sur La Cybercriminalité
Zoom Sur La CybercriminalitéZoom Sur La Cybercriminalité
Zoom Sur La CybercriminalitéGerard Haas
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITICCOMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITICCOMPETITIC
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnilMinistère de l'Économie et des Finances
 
Cybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesCybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesMohamed MDELLA
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018African Cyber Security Summit
 
intermédiaires financiers
intermédiaires financiersintermédiaires financiers
intermédiaires financiersUniversité Pierre et Marie Curie
 

Contenu connexe

Tendances

Ch2 reglementation cryptographie
Ch2 reglementation cryptographieCh2 reglementation cryptographie
Ch2 reglementation cryptographieRadouane Mrabet
 
Ch3 2 cybercriminalite_conv_budapest
Ch3 2 cybercriminalite_conv_budapestCh3 2 cybercriminalite_conv_budapest
Ch3 2 cybercriminalite_conv_budapestRadouane Mrabet
 
Loi n°: 2014-006 sur la lutte contre la cybercriminalité
Loi n°: 2014-006 sur la lutte contre la cybercriminalitéLoi n°: 2014-006 sur la lutte contre la cybercriminalité
Loi n°: 2014-006 sur la lutte contre la cybercriminalitéAndry Rakotoniaina Andriatahiana
 
conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012vgautrais
 
contrôle internet - ALTIUS - 2014 10 02
contrôle internet - ALTIUS - 2014 10 02 contrôle internet - ALTIUS - 2014 10 02
contrôle internet - ALTIUS - 2014 10 02 ALTIUS
 
Ch4 4 privacy_doctrine_cndp
Ch4 4 privacy_doctrine_cndpCh4 4 privacy_doctrine_cndp
Ch4 4 privacy_doctrine_cndpRadouane Mrabet
 
Bonnes pratiques dans la protection des données personnelles internet
Bonnes pratiques dans la protection des données personnelles internetBonnes pratiques dans la protection des données personnelles internet
Bonnes pratiques dans la protection des données personnelles internetWilfried Nguessan
 
La cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéLa cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéAvignon Delta Numérique
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donneesEdouard DEBERDT
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDMohamed KAROUT
 
Zoom Sur La Cybercriminalité
Zoom Sur La CybercriminalitéZoom Sur La Cybercriminalité
Zoom Sur La CybercriminalitéGerard Haas
 

Tendances (14)

Ch2 reglementation cryptographie
Ch2 reglementation cryptographieCh2 reglementation cryptographie
Ch2 reglementation cryptographie
 
Ch3 2 cybercriminalite_conv_budapest
Ch3 2 cybercriminalite_conv_budapestCh3 2 cybercriminalite_conv_budapest
Ch3 2 cybercriminalite_conv_budapest
 
Binder1
Binder1Binder1
Binder1
 
Loi n°: 2014-006 sur la lutte contre la cybercriminalité
Loi n°: 2014-006 sur la lutte contre la cybercriminalitéLoi n°: 2014-006 sur la lutte contre la cybercriminalité
Loi n°: 2014-006 sur la lutte contre la cybercriminalité
 
conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012
 
Loppsi 2 synthèse
Loppsi 2 synthèseLoppsi 2 synthèse
Loppsi 2 synthèse
 
contrôle internet - ALTIUS - 2014 10 02
contrôle internet - ALTIUS - 2014 10 02 contrôle internet - ALTIUS - 2014 10 02
contrôle internet - ALTIUS - 2014 10 02
 
Ch4 4 privacy_doctrine_cndp
Ch4 4 privacy_doctrine_cndpCh4 4 privacy_doctrine_cndp
Ch4 4 privacy_doctrine_cndp
 
Bonnes pratiques dans la protection des données personnelles internet
Bonnes pratiques dans la protection des données personnelles internetBonnes pratiques dans la protection des données personnelles internet
Bonnes pratiques dans la protection des données personnelles internet
 
La cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéLa cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et liberté
 
Epfl aspects légaux du byod
Epfl aspects légaux du byodEpfl aspects légaux du byod
Epfl aspects légaux du byod
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donnees
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
 
Zoom Sur La Cybercriminalité
Zoom Sur La CybercriminalitéZoom Sur La Cybercriminalité
Zoom Sur La Cybercriminalité
 

Similaire à Aspects juridiques de la fuite de données

2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITICCOMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITICCOMPETITIC
 
Cybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesCybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesMohamed MDELLA
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travailfoxshare
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEUmanis
 
Lettre d'information BFPL Avocats - décembre 2018
Lettre d'information BFPL Avocats - décembre 2018Lettre d'information BFPL Avocats - décembre 2018
Lettre d'information BFPL Avocats - décembre 2018ChristophePechdeLacl
 
Présentation de Blandine Poidevin
Présentation de Blandine PoidevinPrésentation de Blandine Poidevin
Présentation de Blandine PoidevinAssociation Bibop
 
La protection des données personnelles
La protection des données personnellesLa protection des données personnelles
La protection des données personnellesbreton80
 
La protection des informations personnelles sur l'internet
La protection des informations personnelles sur l'internetLa protection des informations personnelles sur l'internet
La protection des informations personnelles sur l'internetNadia Ait Hassi
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 

Similaire à Aspects juridiques de la fuite de données (20)

2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
 
Cybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesCybersécurité & protection des données personnelles
Cybersécurité & protection des données personnelles
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
intermédiaires financiers
intermédiaires financiersintermédiaires financiers
intermédiaires financiers
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
Données perso
Données persoDonnées perso
Données perso
 
Horeca GDPR
Horeca GDPRHoreca GDPR
Horeca GDPR
 
Lettre d'information BFPL Avocats - décembre 2018
Lettre d'information BFPL Avocats - décembre 2018Lettre d'information BFPL Avocats - décembre 2018
Lettre d'information BFPL Avocats - décembre 2018
 
BFPL Avocats - décembre 2018
BFPL Avocats - décembre 2018BFPL Avocats - décembre 2018
BFPL Avocats - décembre 2018
 
Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019
 
Présentation de Blandine Poidevin
Présentation de Blandine PoidevinPrésentation de Blandine Poidevin
Présentation de Blandine Poidevin
 
GDPR et PME
GDPR et PMEGDPR et PME
GDPR et PME
 
La protection des données personnelles
La protection des données personnellesLa protection des données personnelles
La protection des données personnelles
 
La protection des informations personnelles sur l'internet
La protection des informations personnelles sur l'internetLa protection des informations personnelles sur l'internet
La protection des informations personnelles sur l'internet
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 

Aspects juridiques de la fuite de données

  • 1. ASPECTS JURIDIQUES DE LA FUITE DE DONNÉES TEA TIME CYBERSÉCURITÉ – 2015-04-27 | |Benjamin Benifei Juriste ITrust
  • 2. QUELQUES MOYENS DE PROTECTION Loi Godfrain sur la fraude informatique Propriété intellectuelle et industrielle Droit sui generis du producteur de base de données Protection des données personnelles
  • 3. LOI GODFRAIN : CHAMP DE LA LOI Loi du 5 janvier 1988 Lutte contre la fraude informatique (piratage ou atteintes aux systèmes de traitement automatisé de données)
  • 4. LOI GODFRAIN : FAITS DE FRAUDE Articles 323-1 à 323-7 du Code pénal Accès et maintien non autorisés / Entrave du fonctionnement Introduction, modification, suppression de données Punition de la tentative / Aggravation lorsque STAD mis en œuvre par l'État
  • 5. LOI GODFRAIN : EXTENSION DANS LA LPM Ajout par la Loi de Programmation Militaire du 18 décembre 2013 du délit de détention de données (reproduction/extraction/détention/transmission) Article 323-3 du Code pénal
  • 6. LOI GODFRAIN : EXEMPLES DE SANCTION Accès/Maintien : 2 ans d'emprisonnement, 30K€ d'amende Modification de données : 5 ans d'emprisonnement, 75k€ d'amende
  • 7. LOI GODFRAIN : EXEMPLE 1 Cour d'appel de Versailles, 6 février 2013 Chargé de mission SSI d'un fournisseur d'électricité conclut un contrat d'intelligence éco. avec un prestataire Prestataire pirate une association écologiste (Loi Godfrain) Tribunal correctionnel : 1,5M€ d'amende pour le fournisseur, 3 ans de prison pour le RSSI, 3 ans de prison et 10K€ d'amende pour le chargé MSSI Appel : Relaxe du fournisseur et du 1er RSSI (supérieur hiérarchique), 6 mois pour le 2nd
  • 8. LOI GODFRAIN : EXEMPLE 1 « Depuis son entrée chez la société E., il [le chargé de mission] avait acquis, en matière d’intelligence économique, une compétence et une expérience spécifiques ; que cette situation et la confiance dont il bénéficiait ont sans nul doute contribué à la commission de tels faits en “solo” »
  • 9. LOI GODFRAIN : EXEMPLE 1 « Il n’est pas rapporté la preuve qu’en sa qualité de responsable de la mission sécurité de la société E. il [le supérieur] aurait assisté ou aidé par un acte positif quelconque, la réalisation de procédés illégaux en leur donnant des instructions à cet effet » Article 121-2 du Code pénal : « Les personnes morales (…) sont responsables pénalement (…) des infractions commises, pour leur compte, par leurs organes ou représentants »
  • 10. LOI GODFRAIN : EXEMPLE 2 Cour d'appel de Paris, 5 février 2014 « L’accès, qu’il ne conteste pas, lui a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système, défaillance que reconnaît l'ANSES ; dans ces conditions l’infraction n’est pas caractérisée »
  • 11. LOI GODFRAIN : EXEMPLE 2 « O.L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ; [sa] culpabilité sera donc retenue des chefs de maintien frauduleux dans un STAD »
  • 12. LOI GODFRAIN : EXEMPLE 2 « En l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports desfichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose »
  • 13. DONNÉES PERSONNELLES : PRINCIPES Loi Informatique et Libertés du 6 janvier 1978 Schématiquement, le responsable d'un traitement de données personnelles est soumis à des obligations (information/réception du consentement)
  • 14. DONNÉES PERSO : RESPECT DES FORMALITÉS Article 226-16 du Code pénal Tout responsable doit respecter les formalités préalables Sanction de 5 ans d'emprisonnement et 300K€ d'amende
  • 15. DONNÉES PERSO : SÉCURITÉ DES FICHIERS Article 226-17 du Code pénal Le responsable doit adopter des mesures de sécurité physiques, logiques et adaptées à la nature des données et aux risques présentés par le traitement « Prendre toutes les précautions utiles » Sanction de 5 ans d'emprisonnement et 300K€ d'amende
  • 16. DONNÉES PERSO : NOTIFICATION DES FUITES Article 226-17-1 du Code pénal Pour toute violation, prévenir la CNIL « sans délai » Prévenir les intéressés également, sauf si protection des données (crypto) Sanction de 5 ans d'emprisonnement et 300K€ d'amende Actuellement vise les opérateurs et FAI : extension dans le règlement européen
  • 17. DONNÉES PERSO : EXEMPLE DE SANCTION Délibération de la CNIL du 7 août 2014 « En application de l'article 34 bis de la LIL, la société O. a notifié à la CNIL une violation de données à caractère personnel ayant impacté environ 1.340.000 de ses clients » → Auto-incrimination de la société O. ?
  • 18. DONNÉES PERSO : EXEMPLE « Concernant l'obligation incombant à la société de mettre en œuvre des moyens propres à assurer la sécurité des données de ses clients et notamment des mesures adaptées pour que ces données ne soient pas communiquées à des tiers non autorisés […], la société O. […] ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires. […] La société n'a pas fait réaliser d'audit de sécurité sur l'application […] de son prestataire pour répondre à ses besoins »
  • 19. DONNÉES PERSO : EXEMPLE « Compte tenu des défaillances de la société O. en termes de sécurité et de confidentialité des données personnelles de ses clients et prospects alors qu'elle dispose des ressources financières et humaines lui permettant la prise en charge de telles problématiques, la formation restreinte décide de rendre publique sa décision »
  • 20. AUTRES NOTIFICATIONS : LES INCIDENTS DE SÉCURITÉ Article L. 33-1 du Code des postes Obligation de notification à l'ANSSI des incidents de sécurité des opérateurs des réseaux de communications publics ou services de communications électroniques Notification des atteintes à la sécurité ou des pertes d'intégrité ayant un « impact significatif » Article 22 de la LPM pour les OIV
  • 21. AUTRES NOTIFICATIONS : LES PARTENAIRES COMMERCIAUX Que prévoient vos contrats ? Quelles sont les sanctions ? Résiliation ? Clause pénale ?
  • 22. ASPECTS JURIDIQUES DE LA FUITE DE DONNÉES TEA TIME CYBERSÉCURITÉ – 2015-04-27 | |Benjamin Benifei Juriste ITrust