ASPECTS JURIDIQUES DE
LA FUITE DE DONNÉES
TEA TIME CYBERSÉCURITÉ – 2015-04-27
| |Benjamin Benifei Juriste ITrust
QUELQUES MOYENS DE PROTECTION
Loi Godfrain sur la fraude informatique
Propriété intellectuelle et industrielle
Droit sui g...
LOI GODFRAIN : CHAMP DE LA LOI
Loi du 5 janvier 1988
Lutte contre la fraude informatique (piratage ou atteintes aux
systèm...
LOI GODFRAIN : FAITS DE FRAUDE
Articles 323-1 à 323-7 du Code pénal
Accès et maintien non autorisés / Entrave du fonctionn...
LOI GODFRAIN : EXTENSION DANS LA LPM
Ajout par la Loi de Programmation Militaire du 18 décembre
2013 du délit de détention...
LOI GODFRAIN : EXEMPLES DE SANCTION
Accès/Maintien : 2 ans d'emprisonnement, 30K€ d'amende
Modification de données : 5 ans...
LOI GODFRAIN : EXEMPLE 1
Cour d'appel de Versailles, 6 février 2013
Chargé de mission SSI d'un fournisseur d'électricité c...
LOI GODFRAIN : EXEMPLE 1
« Depuis son entrée chez la société E., il [le chargé de mission]
avait acquis, en matière d’inte...
LOI GODFRAIN : EXEMPLE 1
« Il n’est pas rapporté la preuve qu’en sa qualité de responsable de
la mission sécurité de la so...
LOI GODFRAIN : EXEMPLE 2
Cour d'appel de Paris, 5 février 2014
« L’accès, qu’il ne conteste pas, lui a en fait été permis ...
LOI GODFRAIN : EXEMPLE 2
« O.L. a fait des copies de fichiers informatiques inaccessibles au
public à des fins personnelle...
LOI GODFRAIN : EXEMPLE 2
« En l’absence de toute soustraction matérielle de documents
appartenant à l’Anses, le simple fai...
DONNÉES PERSONNELLES : PRINCIPES
Loi Informatique et Libertés du 6 janvier 1978
Schématiquement, le responsable d'un trait...
DONNÉES PERSO : RESPECT DES FORMALITÉS
Article 226-16 du Code pénal
Tout responsable doit respecter les formalités préalab...
DONNÉES PERSO : SÉCURITÉ DES FICHIERS
Article 226-17 du Code pénal
Le responsable doit adopter des mesures de sécurité
phy...
DONNÉES PERSO : NOTIFICATION DES FUITES
Article 226-17-1 du Code pénal
Pour toute violation, prévenir la CNIL « sans délai...
DONNÉES PERSO : EXEMPLE DE SANCTION
Délibération de la CNIL du 7 août 2014
« En application de l'article 34 bis de la LIL,...
DONNÉES PERSO : EXEMPLE
« Concernant l'obligation incombant à la société de mettre en
œuvre des moyens propres à assurer l...
DONNÉES PERSO : EXEMPLE
« Compte tenu des défaillances de la société O. en termes de
sécurité et de confidentialité des do...
AUTRES NOTIFICATIONS :
LES INCIDENTS DE SÉCURITÉ
Article L. 33-1 du Code des postes
Obligation de notification à l'ANSSI d...
AUTRES NOTIFICATIONS :
LES PARTENAIRES COMMERCIAUX
Que prévoient vos contrats ?
Quelles sont les sanctions ? Résiliation ?...
ASPECTS JURIDIQUES DE
LA FUITE DE DONNÉES
TEA TIME CYBERSÉCURITÉ – 2015-04-27
| |Benjamin Benifei Juriste ITrust
Prochain SlideShare
Chargement dans…5
×

Aspects juridiques de la fuite de données

317 vues

Publié le

Présentation effectuée lors du Tea Time Cybersécurité à la Cantine de Toulouse le 27 avril 2015.

Publié dans : Droit
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
317
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Aspects juridiques de la fuite de données

  1. 1. ASPECTS JURIDIQUES DE LA FUITE DE DONNÉES TEA TIME CYBERSÉCURITÉ – 2015-04-27 | |Benjamin Benifei Juriste ITrust
  2. 2. QUELQUES MOYENS DE PROTECTION Loi Godfrain sur la fraude informatique Propriété intellectuelle et industrielle Droit sui generis du producteur de base de données Protection des données personnelles
  3. 3. LOI GODFRAIN : CHAMP DE LA LOI Loi du 5 janvier 1988 Lutte contre la fraude informatique (piratage ou atteintes aux systèmes de traitement automatisé de données)
  4. 4. LOI GODFRAIN : FAITS DE FRAUDE Articles 323-1 à 323-7 du Code pénal Accès et maintien non autorisés / Entrave du fonctionnement Introduction, modification, suppression de données Punition de la tentative / Aggravation lorsque STAD mis en œuvre par l'État
  5. 5. LOI GODFRAIN : EXTENSION DANS LA LPM Ajout par la Loi de Programmation Militaire du 18 décembre 2013 du délit de détention de données (reproduction/extraction/détention/transmission) Article 323-3 du Code pénal
  6. 6. LOI GODFRAIN : EXEMPLES DE SANCTION Accès/Maintien : 2 ans d'emprisonnement, 30K€ d'amende Modification de données : 5 ans d'emprisonnement, 75k€ d'amende
  7. 7. LOI GODFRAIN : EXEMPLE 1 Cour d'appel de Versailles, 6 février 2013 Chargé de mission SSI d'un fournisseur d'électricité conclut un contrat d'intelligence éco. avec un prestataire Prestataire pirate une association écologiste (Loi Godfrain) Tribunal correctionnel : 1,5M€ d'amende pour le fournisseur, 3 ans de prison pour le RSSI, 3 ans de prison et 10K€ d'amende pour le chargé MSSI Appel : Relaxe du fournisseur et du 1er RSSI (supérieur hiérarchique), 6 mois pour le 2nd
  8. 8. LOI GODFRAIN : EXEMPLE 1 « Depuis son entrée chez la société E., il [le chargé de mission] avait acquis, en matière d’intelligence économique, une compétence et une expérience spécifiques ; que cette situation et la confiance dont il bénéficiait ont sans nul doute contribué à la commission de tels faits en “solo” »
  9. 9. LOI GODFRAIN : EXEMPLE 1 « Il n’est pas rapporté la preuve qu’en sa qualité de responsable de la mission sécurité de la société E. il [le supérieur] aurait assisté ou aidé par un acte positif quelconque, la réalisation de procédés illégaux en leur donnant des instructions à cet effet » Article 121-2 du Code pénal : « Les personnes morales (…) sont responsables pénalement (…) des infractions commises, pour leur compte, par leurs organes ou représentants »
  10. 10. LOI GODFRAIN : EXEMPLE 2 Cour d'appel de Paris, 5 février 2014 « L’accès, qu’il ne conteste pas, lui a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système, défaillance que reconnaît l'ANSES ; dans ces conditions l’infraction n’est pas caractérisée »
  11. 11. LOI GODFRAIN : EXEMPLE 2 « O.L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ; [sa] culpabilité sera donc retenue des chefs de maintien frauduleux dans un STAD »
  12. 12. LOI GODFRAIN : EXEMPLE 2 « En l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports desfichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose »
  13. 13. DONNÉES PERSONNELLES : PRINCIPES Loi Informatique et Libertés du 6 janvier 1978 Schématiquement, le responsable d'un traitement de données personnelles est soumis à des obligations (information/réception du consentement)
  14. 14. DONNÉES PERSO : RESPECT DES FORMALITÉS Article 226-16 du Code pénal Tout responsable doit respecter les formalités préalables Sanction de 5 ans d'emprisonnement et 300K€ d'amende
  15. 15. DONNÉES PERSO : SÉCURITÉ DES FICHIERS Article 226-17 du Code pénal Le responsable doit adopter des mesures de sécurité physiques, logiques et adaptées à la nature des données et aux risques présentés par le traitement « Prendre toutes les précautions utiles » Sanction de 5 ans d'emprisonnement et 300K€ d'amende
  16. 16. DONNÉES PERSO : NOTIFICATION DES FUITES Article 226-17-1 du Code pénal Pour toute violation, prévenir la CNIL « sans délai » Prévenir les intéressés également, sauf si protection des données (crypto) Sanction de 5 ans d'emprisonnement et 300K€ d'amende Actuellement vise les opérateurs et FAI : extension dans le règlement européen
  17. 17. DONNÉES PERSO : EXEMPLE DE SANCTION Délibération de la CNIL du 7 août 2014 « En application de l'article 34 bis de la LIL, la société O. a notifié à la CNIL une violation de données à caractère personnel ayant impacté environ 1.340.000 de ses clients » → Auto-incrimination de la société O. ?
  18. 18. DONNÉES PERSO : EXEMPLE « Concernant l'obligation incombant à la société de mettre en œuvre des moyens propres à assurer la sécurité des données de ses clients et notamment des mesures adaptées pour que ces données ne soient pas communiquées à des tiers non autorisés […], la société O. […] ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires. […] La société n'a pas fait réaliser d'audit de sécurité sur l'application […] de son prestataire pour répondre à ses besoins »
  19. 19. DONNÉES PERSO : EXEMPLE « Compte tenu des défaillances de la société O. en termes de sécurité et de confidentialité des données personnelles de ses clients et prospects alors qu'elle dispose des ressources financières et humaines lui permettant la prise en charge de telles problématiques, la formation restreinte décide de rendre publique sa décision »
  20. 20. AUTRES NOTIFICATIONS : LES INCIDENTS DE SÉCURITÉ Article L. 33-1 du Code des postes Obligation de notification à l'ANSSI des incidents de sécurité des opérateurs des réseaux de communications publics ou services de communications électroniques Notification des atteintes à la sécurité ou des pertes d'intégrité ayant un « impact significatif » Article 22 de la LPM pour les OIV
  21. 21. AUTRES NOTIFICATIONS : LES PARTENAIRES COMMERCIAUX Que prévoient vos contrats ? Quelles sont les sanctions ? Résiliation ? Clause pénale ?
  22. 22. ASPECTS JURIDIQUES DE LA FUITE DE DONNÉES TEA TIME CYBERSÉCURITÉ – 2015-04-27 | |Benjamin Benifei Juriste ITrust

×