SlideShare une entreprise Scribd logo
1  sur  38
LES 5 CLÉS DE LA
 RESPONSABILITÉ
JURIDIQUE DU RSSI

  Thiébaut DEVERGRANNE
       Docteur en droit
        Consultant




                          Paris – 20 novembre 2012
Introduction
2



    Présentation

        Consultant - droit des nouvelles technologies
        +10 ans d’expérience, dont 6 pour les services
         du Premier ministre (SGDN/DCSSI) en
         qualité de conseil juridique
        Formation d’avocat (CAPA)
        Docteur en droit privé sciences criminelles
        Passionné de nouvelles technologies -
         programmation / sysadmin depuis +15 ans
                                                          http://www.donneespersonnelles.fr




© T. Devergranne – td@hstd.net
Introduction
3


              Objectifs de la présentation :

                  Analyse transverse des risques juridiques majeurs en droit de la SSI
                  5 clés qui sont aussi 5 challenges
                  Comment protéger sa responsabilité personnelle, celle de son organisation ?
                  Que faut-il faire pour manager ses risques juridiques de manière opérationnelle
                   (quand on n’est pas juriste) ?



                  5 clés de la responsabilité juridique des RSSI…


© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
4




    CHALLENGE 1 :
    ACQUERIR UNE
    CONNAISSANCE
    OPERATIONNELLE
    DU DROIT
Les 5 clés de la responsabilité juridique du RSSI
5




    La
    « triade »




© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
6



     Des zones à risques à connaître impérativement, comme la
      protection de la correspondance privée (un des risques
      opérationnels majeurs)


    Art. 432-9 c. pen. : « Le fait, par une personne dépositaire de
                           Le fait, par une personne dépositaire de
    l'autorité publique ou chargée d'une mission de service public,
    l'autorité publique ou chargée d'une mission de service public,
    agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions ou
    agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions ou
    de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas
    de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas
    prévus par la loi, le détournement, la suppression ou l'ouverture de
    prévus par la loi, le détournement, la suppression ou l'ouverture de
    correspondances ou la révélation du contenu de ces correspondances,
    correspondances ou la révélation du contenu de ces correspondances,
    est puni de trois ans d'emprisonnement et de 45000 euros d'amende »
    est puni de trois ans d'emprisonnement et de 45000 euros d'amende »


         Attention, beaucoup d’évolutions sur ce questions !

© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
7




                                 Quizz !



© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
8




                                                                     Oui   Non
            Est-ce qu’un disque dur nommé « données personnelles »
            par un employé peut être inspecté par l’employeur ?




© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
9




                                                                                       Oui             Non
            Est-ce qu’un disque dur nommé « données personnelles »
            par un employé peut être inspecté par l’employeur ?



        « la dénomination donnée au disque dur lui-même ne peut conférer un caractère
        personnel à l’intégralité des données qu’il contient ; que la cour d’appel, qui a
        retenu que la dénomination “D :/données personnelles” du disque dur de l’ordinateur du
        salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire
        ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui
        n’étaient pas identifiés comme étant “privés” selon les préconisations de la
        charte informatique, pouvaient être régulièrement ouverts par l’employeur »
        Cass. Soc., 4 juillet 2012


© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
10




                                                                             Oui   Non
            Hypothèse : votre charte informatique prévoit que les boites
            mail des employés puissent être consultées en leur présence et
            vous découvrez qu’un employé a réalisé un accès frauduleux à
            la messagerie électronique du chef de service. Pouvez-vous
            consulter ses emails PROFESSIONNELS en son absence afin
            d’investiguer l’incident ?




© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
11




                                                                                Oui           Non
            Hypothèse : votre charte informatique prévoit que les boites
            mail des employés puissent être consultées en leur présence et
            vous découvrez qu’un employé a réalisé un accès frauduleux à
            la messagerie électronique du chef de service. Pouvez-vous
            consulter ses emails PROFESSIONNELS en son absence afin
            d’investiguer l’incident ?


              « Le règlement intérieur peut toutefois contenir des dispositions restreignant
              le pouvoir de consultation de l’employeur, en le soumettant à d’autres conditions »,
              Cass. Soc. 26 juin 2012




© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
12




                                                                        Oui   Non
            Le RSSI pourrait-il prendre copie de propos dénigrant son
            organisation depuis le compte Facebook d’un employé ?




© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
13




                                                                                        Oui               Non
            Le RSSI pourrait-il prendre copie de propos dénigrant son
            organisation depuis le compte Facebook d’un employé ?



              « Ce réseau peut constituer soit un espace privé, soit un espace public, en
              fonction des paramétrages effectués par son utilisateur (…) ; [en l’espèce]
              aucun élément ne permet de dire que le compte Facebook [ait été paramétré de manière
              publique de sorte] à faire perdre aux échanges litigieux leur caractère de correspondance
              privée », CA, Soc. 15 novembre 2011




© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
14


        Information juridique : comment résoudre le
         challenge ?
            Formations, sensibilisations
            Veille régulière !


        Attention, le rythme des évolutions législatives
         et jurisprudentielles est élevé ; en 2012…
            La loi Godfrain a été changée !
            On digère le nouveau règlement européen qui va
             changer toute la loi informatique et libertés (et qui
             prévoit des sanctions > 1 milliard d’euros pour les
             grands groupes).
            De nombreuses décisions sur la cybersurveillance !




© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
15




     CHALLENGE 2 :
     ADOPTER UNE
     PERCEPTION
     ADEQUATE DU
     RISQUE JURIDIQUE
Les 5 clés de la responsabilité juridique du RSSI
16


 La sécurité des données personnelles…




© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
17




           Attention à
           la perte de
           vigilance !


© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
18


     Le vrai risque
     informatique et libertés –
     Ex. : cas de fraude informatique

                                 Art. 323-1 c. pen. (al. 1) :: « Le fait d'accéder ou de se
                                 Art. 323-1 c. pen. (al. 1) « Le fait d'accéder ou de se
                                 maintenir, frauduleusement, dans tout ou partie d'un système
                                 maintenir, frauduleusement, dans tout ou partie d'un système
                                 de traitement automatisé de données est puni de deux ans
                                 de traitement automatisé de données est puni de deux ans
                                 d'emprisonnement et de 30.000 euros d'amende » 
                                 d'emprisonnement et de 30.000 euros d'amende » 

                                 Art. 226-17 c. pen. :: « Le fait de procéder ou de faire
                                  Art. 226-17 c. pen. « Le fait de procéder ou de faire
                                 procéder à un traitement de données à caractère personnel
                                  procéder à un traitement de données à caractère personnel
                                 sans mettre en œuvre les mesures prescrites à l'article 34 de la
                                  sans mettre en œuvre les mesures prescrites à l'article 34 de la
                                 loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans
                                  loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans
                                 d'emprisonnement et de 300.000 Euros d'amende »  
                                  d'emprisonnement et de 300.000 Euros d'amende »  
                                 Art. 34 :: «  Le responsable du traitement est tenu de prendre
                                  Art. 34 «  Le responsable du traitement est tenu de prendre
                                 toutes précautions utiles, au regard de la nature des données
                                  toutes précautions utiles, au regard de la nature des données
                                 et des risques présentés par le traitement, pour préserver la
                                  et des risques présentés par le traitement, pour préserver la
                                 sécurité des données et, notamment, empêcher qu’elles soient
                                  sécurité des données et, notamment, empêcher qu’elles soient
                                 déformées, endommagées, ou que des tiers non autorisés y
                                  déformées, endommagées, ou que des tiers non autorisés y
                                 aient accès. »
                                  aient accès. »
© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
19




     CHALLENGE 3 :
     VEILLER A
     PROSCRIRE UN
     SENTIMENT
     D’IMPUNITE
Les 5 clés de la responsabilité juridique du RSSI
20


        L’affaire EDF c/ GreenPeace en deux
         mots (10 novembre 2011) :
            1.5 € million d’amende pour EDF en tant
             que personne morale pour ne pas avoir cadré
             ses contrats d’IE
            Un an de prison ferme pour le responsable
             sécurité
            700.000 euros d’amende et dommages et
             intérêts pour les protagonistes


        Les nouveautés
            Mise en cause de la personnalité morale
             d’EDF
            Condamnation d’EDF pour recel (possession
             de biens issus d’un accès frauduleux)
            Montant considérable des sanctions

© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
21

     La décision

        Les responsables sécurité « ont agi pour le
         compte et dans l’intérêt de leur employeur ; la
         personne morale EDF qui est donc déclarée coupable des
         délits de recel et de complicité d’accès et maintien
         frauduleux aggravé dans un STAD au préjudice de M. X
         et de Greenpeace.
         En répression elle sera condamnée à une peine de
         1.500.000 € d’amende »
        Pas de cadrage des contrats d’IE
        Absence de contrôle effectif interne de l’usage
         réel des ressources




© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
22




                                 De toute façon tout le monde le fait

           Le risque principal c’est de se faire prendre

                                                                C’est un mal nécessaire
                  Nos concurrents font pire

                                       Il n’y a pas de sanctions réelles !
        Phase d’adaptation à l’idée     Phase d’acceptation de l’idée   Commission de l’infraction


© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
23




                                 Notes d’information et de jurisprudence,
                                 prises de position officielles
                                                          Audits externes
           Formations &
           sensibilisations                                           Sanctions
                                            Recadrages



        Phase d’adaptation à l’idée           Phase d’acceptation de l’idée   Commission de l’infraction


© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
24




     CHALLENGE 4 :
     BRISER
     L’ISOLEMENT
Les 5 clés de la responsabilité juridique du RSSI
25

 1) Comprendre les incertitudes juridiques
  Niveau de détail beaucoup plus précis des problématiques

  Difficile / impossible de les aborder sans un soutien juridique

  Questions d’algorithmique juridique




 « Le fait d’accéder ou de se maintenir, frauduleusement, dans toute ou partie d’un STAD est puni… »



                A                ||
                                          B   +
                                                  C           +
                                                                    D               =   Infraction



                                      If ( (A || B) && B && C && D) {

                                              Infraction();
                                      }
© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
26

     Exemple : discussions en cours en matière de protection des données personnelles
           L’application de l’article 34 bis aux non OCE ?
           L’adresse IP est-elle une donnée personnelle ?
                Hadopi : non
                CNIL : Si
           Lors d’un contrôle, la CNIL est-elle tenue d’informer de la possibilité de s’opposer à sa visite ?
                CNIL : non
                Conseil d’Etat : Si, si…
           IPS, IDS, DLP : autorisation de la CNIL ?




© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
27

     a) L’adresse IP est-elle une donnée personnelle ?


     CA Paris 27 avril 2007 et 15 mai 2007       NON : « l’adresse IP ne permet pas d’identifier la ou les personnes
                                                 qui ont utilisé l’ordinateur »

     CNIL, août 2007                             OUI : l’adresse IP est bien une donnée à caractère
                                                 personnelle

     CJCE 29 janvier 2008, affaire Promusicæ     OUI : l’adresse IP est une donnée personnelle (demande
                                                 d’obtention des adresses IP d’utilisateurs de réseaux P2P)


     CA Rennes, 22 mai 2008 et du 23 juin 2008   OUI : « L'adresse IP de l'internaute constitue une donnée
                                                 indirectement nominative »


     Cass. crim. 13 janvier 2009                 NON récupérer une adresse IP manuellement ne constitue
                                                 pas un TDP

     Hadopi, février 2011                        NON, l’adresse IP n’est pas une DCP


© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
28

     b) IPS, IDS, DPL : autorisation de la CNIL (problème de pure technique juridique)…




                                                        Objectif d’un IDS: assurer la traçabilité (et si possible
                                                        bloquer) les tentatives d’accès frauduleux et les atteintes
                                                        aux SI et permettre un dépôt de plainte




     On procède donc à un traitement de données à      Pour ce faire: l’IDS trace le détail précis de l’infraction
     caractère personnel relatives à des infractions   commise à l’encontre du SI (ex : « BACKDOOR
     (éléments constitutifs)                           ATTEMPT » = tentative d’accès frauduleux)




© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
29

     Or la loi est très restrictive quant à la possibilité de traiter ces données :

       Article 9 « Les traitements de données à caractère personnel relatives aux infractions,
       condamnations et mesures de sûreté ne peuvent être mis en œuvre que par :
       1° Les juridictions (…)
       2° Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ;
       3° [Dispositions censurées par le Conseil Constitutionnel]
       4° [Certaines société d’ayants droits]

                                                   Dispositions censurées : « les personnes morales victimes
                                                   d’infractions (…) pour les stricts besoins de la prévention et de la
                                                   lutte contre la fraude, ainsi que la réparation du préjudice subi ».


        Solution : Art. 25 - Sont mis en œuvre après autorisation de la CNIL (…) :
        3. Les traitements, automatisés ou non, portant sur des données relatives aux
        infractions

© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
30


     La CNIL a déjà mis en place des autorisations uniques pour le suivi des infractions
      constatées par les commerçants sur les lieux de vente




© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
31



     Et les sanctions sont suffisamment importantes pour inviter à se protéger légalement contre
      le problème…



                       Article 226-19 al. 2 c. pen. : «Est puni de [5 ans d’emprisonnement et 300.000€
                       d’amende] le fait, hors les cas prévus par la loi, de mettre ou de conserver en
                       mémoire informatisée des données à caractère personnel concernant des infractions,
                       des condamnations ou des mesures de sûreté.




     Il faudra attendre la jurisprudence judiciaire pour savoir si les données des IDS sont des
      données « relatives à des infractions »
     La CNIL pourrait simplifier les choses et faire une autorisation unique
     La loi annoncée pour 2013 serait un parfait véhicule législatif pour régler le problème !

© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
32



      Itinéraire d’un point de doctrine…

                                                               CNN
          Articles juridiques
                                                              ARCEP
                                        Conséquences
         Thèses de doctorat                                 HADOPI
                                        Non                                    Revirements ?
                      mentaires
        Trav aux parle                                       CNIL               Solution
                                         Oui



                                  Prises de position   Prises de position
           Détection                                                        Jurisprudence
                                  doctrinales          officielles




© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
33


 2) Rationnaliser ces incertitudes juridiques
     Suivre l’actualité juridique
           Veille !
           Déterminer l’impact sur votre activité
           Ne peut être fait qu’en collaboration avec des
            professionnels du droit
     Attention à l’apparente simplicité du droit
           Exemple d’un client dont la charte a
            entièrement été rédigée par le service
            informatique ; tout était à refaire ; délicat à
            expliquer, pas très motivant à entendre…




© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
34




     CHALLENGE 5 :
     CRÉER DE LA
     VALEUR AJOUTÉE
     POUR LES
     ORGANISATIONS
Les 5 clés de la responsabilité juridique du RSSI
35


     Créez des process (ex. : obligations de sécurité dans la loi de 1978)…




                    Disponible gratuitement :
                    http://www.donneespersonnelles.fr/infographie-loi-informatique-et-libertes

© T. Devergranne – td@hstd.net
Les 5 clés de la responsabilité juridique du RSSI
36




                       CONCLUSION
Les solutions opérationnelles
37




               Formations régulières




                                       Risque juridique
                 Services de Q/R



                      Audits
Les solutions opérationnelles
38




       Questions ?

     Thiébaut DEVERGRANNE
        Contact : td@hstd.net




                                http://www.donneespersonnelles.fr

Contenu connexe

Tendances

Starting Over with Sub-Techniques
Starting Over with Sub-TechniquesStarting Over with Sub-Techniques
Starting Over with Sub-Techniques
MITRE - ATT&CKcon
 
Noah Maina: Computer Emergency Response Team (CERT)
Noah Maina: Computer Emergency Response Team (CERT)Noah Maina: Computer Emergency Response Team (CERT)
Noah Maina: Computer Emergency Response Team (CERT)
Hamisi Kibonde
 

Tendances (20)

Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Unidad II seguridad Fisica Lógica
Unidad II seguridad Fisica LógicaUnidad II seguridad Fisica Lógica
Unidad II seguridad Fisica Lógica
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
 
Mise e place d’une cellule de veille stratégique au sein d’ une entreprise co...
Mise e place d’une cellule de veille stratégique au sein d’ une entreprise co...Mise e place d’une cellule de veille stratégique au sein d’ une entreprise co...
Mise e place d’une cellule de veille stratégique au sein d’ une entreprise co...
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
 
Sécurité de l'IoT
Sécurité de l'IoTSécurité de l'IoT
Sécurité de l'IoT
 
Starting Over with Sub-Techniques
Starting Over with Sub-TechniquesStarting Over with Sub-Techniques
Starting Over with Sub-Techniques
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Noah Maina: Computer Emergency Response Team (CERT)
Noah Maina: Computer Emergency Response Team (CERT)Noah Maina: Computer Emergency Response Team (CERT)
Noah Maina: Computer Emergency Response Team (CERT)
 
social engineering
 social engineering social engineering
social engineering
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operations
 
Application Security Verification Standard Project
Application Security Verification Standard ProjectApplication Security Verification Standard Project
Application Security Verification Standard Project
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
40 under 40 in cybersecurity. top cyber news magazine
40 under 40 in cybersecurity. top cyber news magazine40 under 40 in cybersecurity. top cyber news magazine
40 under 40 in cybersecurity. top cyber news magazine
 
Cybersecurity - Overview
Cybersecurity  - OverviewCybersecurity  - Overview
Cybersecurity - Overview
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
CIS Security Benchmark
CIS Security BenchmarkCIS Security Benchmark
CIS Security Benchmark
 

En vedette

Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?
Thiebaut Devergranne
 
Management du si technologies-état de l-art-orsys
Management du si technologies-état de l-art-orsysManagement du si technologies-état de l-art-orsys
Management du si technologies-état de l-art-orsys
azraf
 
Formation Veille Juridique Sur La NuméRisation
Formation Veille Juridique Sur La NuméRisationFormation Veille Juridique Sur La NuméRisation
Formation Veille Juridique Sur La NuméRisation
Calimaq S.I.Lex
 
Le fonds de commerce enf
Le fonds de commerce enfLe fonds de commerce enf
Le fonds de commerce enf
imen baccouche
 
Formation en Business Plan , de PROSPERER
Formation en Business Plan , de PROSPERERFormation en Business Plan , de PROSPERER
Formation en Business Plan , de PROSPERER
andryhr
 
Business plan création d'entreprise : Le KIT !
Business plan création d'entreprise : Le KIT !Business plan création d'entreprise : Le KIT !
Business plan création d'entreprise : Le KIT !
Antonella VILAND
 

En vedette (20)

le RSSI dans l'entreprise: Introduction INFOSAFE
le RSSI dans l'entreprise: Introduction INFOSAFEle RSSI dans l'entreprise: Introduction INFOSAFE
le RSSI dans l'entreprise: Introduction INFOSAFE
 
Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?
 
Management du si technologies-état de l-art-orsys
Management du si technologies-état de l-art-orsysManagement du si technologies-état de l-art-orsys
Management du si technologies-état de l-art-orsys
 
Cnil déclaration simplifiée
Cnil déclaration simplifiéeCnil déclaration simplifiée
Cnil déclaration simplifiée
 
Le Cadre Juridique Lomme 22
Le Cadre Juridique   Lomme 22Le Cadre Juridique   Lomme 22
Le Cadre Juridique Lomme 22
 
2011 06 10 tableau comparatif aide juridique en europe
2011 06 10 tableau comparatif aide juridique en europe 2011 06 10 tableau comparatif aide juridique en europe
2011 06 10 tableau comparatif aide juridique en europe
 
Blogspoc Veille Juridique
Blogspoc Veille JuridiqueBlogspoc Veille Juridique
Blogspoc Veille Juridique
 
Casablanca place de_droit_30oct2014
Casablanca place de_droit_30oct2014Casablanca place de_droit_30oct2014
Casablanca place de_droit_30oct2014
 
Formation Veille Juridique Sur La NuméRisation
Formation Veille Juridique Sur La NuméRisationFormation Veille Juridique Sur La NuméRisation
Formation Veille Juridique Sur La NuméRisation
 
Le fonds de commerce enf
Le fonds de commerce enfLe fonds de commerce enf
Le fonds de commerce enf
 
Formation en Business Plan , de PROSPERER
Formation en Business Plan , de PROSPERERFormation en Business Plan , de PROSPERER
Formation en Business Plan , de PROSPERER
 
Introduction a la jurisprudence islamique fiqh 1
Introduction a la jurisprudence islamique fiqh 1Introduction a la jurisprudence islamique fiqh 1
Introduction a la jurisprudence islamique fiqh 1
 
Introduction a la jurisprudence islamique fiqh 3
Introduction a la jurisprudence islamique fiqh 3Introduction a la jurisprudence islamique fiqh 3
Introduction a la jurisprudence islamique fiqh 3
 
Business plan création d'entreprise : Le KIT !
Business plan création d'entreprise : Le KIT !Business plan création d'entreprise : Le KIT !
Business plan création d'entreprise : Le KIT !
 
Le télétravail face au droit et la jurisprudence
Le télétravail face au droit et la jurisprudenceLe télétravail face au droit et la jurisprudence
Le télétravail face au droit et la jurisprudence
 
Powerpoint "EIRL - un nouveau statut juridique et fiscal pour l’entrepreneur"...
Powerpoint "EIRL - un nouveau statut juridique et fiscalpour l’entrepreneur"...Powerpoint "EIRL - un nouveau statut juridique et fiscalpour l’entrepreneur"...
Powerpoint "EIRL - un nouveau statut juridique et fiscal pour l’entrepreneur"...
 
Comment choisir le bon statut juridique de sa future entreprise? Comment choi...
Comment choisir le bon statut juridique de sa future entreprise? Comment choi...Comment choisir le bon statut juridique de sa future entreprise? Comment choi...
Comment choisir le bon statut juridique de sa future entreprise? Comment choi...
 
Fonds de commerce
Fonds de commerce Fonds de commerce
Fonds de commerce
 
Comment faire une etude de marche soi meme ?
Comment faire une etude de marche soi meme ?Comment faire une etude de marche soi meme ?
Comment faire une etude de marche soi meme ?
 
Blogger
BloggerBlogger
Blogger
 

Similaire à Les 5 clés de la responsabilité juridique du RSSI

Veille juridique-administrateur-systeme-reseau
Veille juridique-administrateur-systeme-reseauVeille juridique-administrateur-systeme-reseau
Veille juridique-administrateur-systeme-reseau
adifopi
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
Thiebaut Devergranne
 

Similaire à Les 5 clés de la responsabilité juridique du RSSI (20)

Contrôler et maîtriser l’usage des réseaux sociaux par vos salariés
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariésContrôler et maîtriser l’usage des réseaux sociaux par vos salariés
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariés
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Comment rater son projet rgpd en 13 leçons
Comment rater son projet rgpd en 13 leçonsComment rater son projet rgpd en 13 leçons
Comment rater son projet rgpd en 13 leçons
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
Aspects juridiques de la fuite de données
Aspects juridiques de la fuite de donnéesAspects juridiques de la fuite de données
Aspects juridiques de la fuite de données
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd  études conjointe des deux grands textesLpm + rgpd  études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textes
 
Lpm + rgpd
Lpm + rgpdLpm + rgpd
Lpm + rgpd
 
Veille juridique-administrateur-systeme-reseau
Veille juridique-administrateur-systeme-reseauVeille juridique-administrateur-systeme-reseau
Veille juridique-administrateur-systeme-reseau
 
Experts WordPress : découvrez comment vous protéger des 3 plus gros risques c...
Experts WordPress : découvrez comment vous protéger des 3 plus gros risques c...Experts WordPress : découvrez comment vous protéger des 3 plus gros risques c...
Experts WordPress : découvrez comment vous protéger des 3 plus gros risques c...
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
 
Conférence 16.11.2011
Conférence 16.11.2011Conférence 16.11.2011
Conférence 16.11.2011
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...
 
Sensibilisation juridique autour des réseaux sociaux
Sensibilisation juridique autour des réseaux sociauxSensibilisation juridique autour des réseaux sociaux
Sensibilisation juridique autour des réseaux sociaux
 
Juriste face à l'innovation stéphane larrière-2017
Juriste face à l'innovation stéphane larrière-2017Juriste face à l'innovation stéphane larrière-2017
Juriste face à l'innovation stéphane larrière-2017
 

Les 5 clés de la responsabilité juridique du RSSI

  • 1. LES 5 CLÉS DE LA RESPONSABILITÉ JURIDIQUE DU RSSI Thiébaut DEVERGRANNE Docteur en droit Consultant Paris – 20 novembre 2012
  • 2. Introduction 2 Présentation  Consultant - droit des nouvelles technologies  +10 ans d’expérience, dont 6 pour les services du Premier ministre (SGDN/DCSSI) en qualité de conseil juridique  Formation d’avocat (CAPA)  Docteur en droit privé sciences criminelles  Passionné de nouvelles technologies - programmation / sysadmin depuis +15 ans http://www.donneespersonnelles.fr © T. Devergranne – td@hstd.net
  • 3. Introduction 3 Objectifs de la présentation :  Analyse transverse des risques juridiques majeurs en droit de la SSI  5 clés qui sont aussi 5 challenges  Comment protéger sa responsabilité personnelle, celle de son organisation ?  Que faut-il faire pour manager ses risques juridiques de manière opérationnelle (quand on n’est pas juriste) ? 5 clés de la responsabilité juridique des RSSI… © T. Devergranne – td@hstd.net
  • 4. Les 5 clés de la responsabilité juridique du RSSI 4 CHALLENGE 1 : ACQUERIR UNE CONNAISSANCE OPERATIONNELLE DU DROIT
  • 5. Les 5 clés de la responsabilité juridique du RSSI 5 La « triade » © T. Devergranne – td@hstd.net
  • 6. Les 5 clés de la responsabilité juridique du RSSI 6  Des zones à risques à connaître impérativement, comme la protection de la correspondance privée (un des risques opérationnels majeurs) Art. 432-9 c. pen. : « Le fait, par une personne dépositaire de Le fait, par une personne dépositaire de l'autorité publique ou chargée d'une mission de service public, l'autorité publique ou chargée d'une mission de service public, agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions ou agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions ou de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, le détournement, la suppression ou l'ouverture de prévus par la loi, le détournement, la suppression ou l'ouverture de correspondances ou la révélation du contenu de ces correspondances, correspondances ou la révélation du contenu de ces correspondances, est puni de trois ans d'emprisonnement et de 45000 euros d'amende » est puni de trois ans d'emprisonnement et de 45000 euros d'amende »  Attention, beaucoup d’évolutions sur ce questions ! © T. Devergranne – td@hstd.net
  • 7. Les 5 clés de la responsabilité juridique du RSSI 7 Quizz ! © T. Devergranne – td@hstd.net
  • 8. Les 5 clés de la responsabilité juridique du RSSI 8 Oui Non Est-ce qu’un disque dur nommé « données personnelles » par un employé peut être inspecté par l’employeur ? © T. Devergranne – td@hstd.net
  • 9. Les 5 clés de la responsabilité juridique du RSSI 9 Oui Non Est-ce qu’un disque dur nommé « données personnelles » par un employé peut être inspecté par l’employeur ? « la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient ; que la cour d’appel, qui a retenu que la dénomination “D :/données personnelles” du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui n’étaient pas identifiés comme étant “privés” selon les préconisations de la charte informatique, pouvaient être régulièrement ouverts par l’employeur » Cass. Soc., 4 juillet 2012 © T. Devergranne – td@hstd.net
  • 10. Les 5 clés de la responsabilité juridique du RSSI 10 Oui Non Hypothèse : votre charte informatique prévoit que les boites mail des employés puissent être consultées en leur présence et vous découvrez qu’un employé a réalisé un accès frauduleux à la messagerie électronique du chef de service. Pouvez-vous consulter ses emails PROFESSIONNELS en son absence afin d’investiguer l’incident ? © T. Devergranne – td@hstd.net
  • 11. Les 5 clés de la responsabilité juridique du RSSI 11 Oui Non Hypothèse : votre charte informatique prévoit que les boites mail des employés puissent être consultées en leur présence et vous découvrez qu’un employé a réalisé un accès frauduleux à la messagerie électronique du chef de service. Pouvez-vous consulter ses emails PROFESSIONNELS en son absence afin d’investiguer l’incident ? « Le règlement intérieur peut toutefois contenir des dispositions restreignant le pouvoir de consultation de l’employeur, en le soumettant à d’autres conditions », Cass. Soc. 26 juin 2012 © T. Devergranne – td@hstd.net
  • 12. Les 5 clés de la responsabilité juridique du RSSI 12 Oui Non Le RSSI pourrait-il prendre copie de propos dénigrant son organisation depuis le compte Facebook d’un employé ? © T. Devergranne – td@hstd.net
  • 13. Les 5 clés de la responsabilité juridique du RSSI 13 Oui Non Le RSSI pourrait-il prendre copie de propos dénigrant son organisation depuis le compte Facebook d’un employé ? « Ce réseau peut constituer soit un espace privé, soit un espace public, en fonction des paramétrages effectués par son utilisateur (…) ; [en l’espèce] aucun élément ne permet de dire que le compte Facebook [ait été paramétré de manière publique de sorte] à faire perdre aux échanges litigieux leur caractère de correspondance privée », CA, Soc. 15 novembre 2011 © T. Devergranne – td@hstd.net
  • 14. Les 5 clés de la responsabilité juridique du RSSI 14  Information juridique : comment résoudre le challenge ?  Formations, sensibilisations  Veille régulière !  Attention, le rythme des évolutions législatives et jurisprudentielles est élevé ; en 2012…  La loi Godfrain a été changée !  On digère le nouveau règlement européen qui va changer toute la loi informatique et libertés (et qui prévoit des sanctions > 1 milliard d’euros pour les grands groupes).  De nombreuses décisions sur la cybersurveillance ! © T. Devergranne – td@hstd.net
  • 15. Les 5 clés de la responsabilité juridique du RSSI 15 CHALLENGE 2 : ADOPTER UNE PERCEPTION ADEQUATE DU RISQUE JURIDIQUE
  • 16. Les 5 clés de la responsabilité juridique du RSSI 16 La sécurité des données personnelles… © T. Devergranne – td@hstd.net
  • 17. Les 5 clés de la responsabilité juridique du RSSI 17 Attention à la perte de vigilance ! © T. Devergranne – td@hstd.net
  • 18. Les 5 clés de la responsabilité juridique du RSSI 18 Le vrai risque informatique et libertés – Ex. : cas de fraude informatique Art. 323-1 c. pen. (al. 1) :: « Le fait d'accéder ou de se Art. 323-1 c. pen. (al. 1) « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30.000 euros d'amende »  d'emprisonnement et de 30.000 euros d'amende »  Art. 226-17 c. pen. :: « Le fait de procéder ou de faire Art. 226-17 c. pen. « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300.000 Euros d'amende »   d'emprisonnement et de 300.000 Euros d'amende »   Art. 34 :: «  Le responsable du traitement est tenu de prendre Art. 34 «  Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y déformées, endommagées, ou que des tiers non autorisés y aient accès. » aient accès. » © T. Devergranne – td@hstd.net
  • 19. Les 5 clés de la responsabilité juridique du RSSI 19 CHALLENGE 3 : VEILLER A PROSCRIRE UN SENTIMENT D’IMPUNITE
  • 20. Les 5 clés de la responsabilité juridique du RSSI 20  L’affaire EDF c/ GreenPeace en deux mots (10 novembre 2011) :  1.5 € million d’amende pour EDF en tant que personne morale pour ne pas avoir cadré ses contrats d’IE  Un an de prison ferme pour le responsable sécurité  700.000 euros d’amende et dommages et intérêts pour les protagonistes  Les nouveautés  Mise en cause de la personnalité morale d’EDF  Condamnation d’EDF pour recel (possession de biens issus d’un accès frauduleux)  Montant considérable des sanctions © T. Devergranne – td@hstd.net
  • 21. Les 5 clés de la responsabilité juridique du RSSI 21 La décision  Les responsables sécurité « ont agi pour le compte et dans l’intérêt de leur employeur ; la personne morale EDF qui est donc déclarée coupable des délits de recel et de complicité d’accès et maintien frauduleux aggravé dans un STAD au préjudice de M. X et de Greenpeace. En répression elle sera condamnée à une peine de 1.500.000 € d’amende »  Pas de cadrage des contrats d’IE  Absence de contrôle effectif interne de l’usage réel des ressources © T. Devergranne – td@hstd.net
  • 22. Les 5 clés de la responsabilité juridique du RSSI 22 De toute façon tout le monde le fait Le risque principal c’est de se faire prendre C’est un mal nécessaire Nos concurrents font pire Il n’y a pas de sanctions réelles ! Phase d’adaptation à l’idée Phase d’acceptation de l’idée Commission de l’infraction © T. Devergranne – td@hstd.net
  • 23. Les 5 clés de la responsabilité juridique du RSSI 23 Notes d’information et de jurisprudence, prises de position officielles Audits externes Formations & sensibilisations Sanctions Recadrages Phase d’adaptation à l’idée Phase d’acceptation de l’idée Commission de l’infraction © T. Devergranne – td@hstd.net
  • 24. Les 5 clés de la responsabilité juridique du RSSI 24 CHALLENGE 4 : BRISER L’ISOLEMENT
  • 25. Les 5 clés de la responsabilité juridique du RSSI 25 1) Comprendre les incertitudes juridiques  Niveau de détail beaucoup plus précis des problématiques  Difficile / impossible de les aborder sans un soutien juridique  Questions d’algorithmique juridique « Le fait d’accéder ou de se maintenir, frauduleusement, dans toute ou partie d’un STAD est puni… » A || B + C + D = Infraction If ( (A || B) && B && C && D) { Infraction(); } © T. Devergranne – td@hstd.net
  • 26. Les 5 clés de la responsabilité juridique du RSSI 26  Exemple : discussions en cours en matière de protection des données personnelles  L’application de l’article 34 bis aux non OCE ?  L’adresse IP est-elle une donnée personnelle ?  Hadopi : non  CNIL : Si  Lors d’un contrôle, la CNIL est-elle tenue d’informer de la possibilité de s’opposer à sa visite ?  CNIL : non  Conseil d’Etat : Si, si…  IPS, IDS, DLP : autorisation de la CNIL ? © T. Devergranne – td@hstd.net
  • 27. Les 5 clés de la responsabilité juridique du RSSI 27  a) L’adresse IP est-elle une donnée personnelle ? CA Paris 27 avril 2007 et 15 mai 2007 NON : « l’adresse IP ne permet pas d’identifier la ou les personnes qui ont utilisé l’ordinateur » CNIL, août 2007 OUI : l’adresse IP est bien une donnée à caractère personnelle CJCE 29 janvier 2008, affaire Promusicæ OUI : l’adresse IP est une donnée personnelle (demande d’obtention des adresses IP d’utilisateurs de réseaux P2P) CA Rennes, 22 mai 2008 et du 23 juin 2008 OUI : « L'adresse IP de l'internaute constitue une donnée indirectement nominative » Cass. crim. 13 janvier 2009 NON récupérer une adresse IP manuellement ne constitue pas un TDP Hadopi, février 2011 NON, l’adresse IP n’est pas une DCP © T. Devergranne – td@hstd.net
  • 28. Les 5 clés de la responsabilité juridique du RSSI 28  b) IPS, IDS, DPL : autorisation de la CNIL (problème de pure technique juridique)… Objectif d’un IDS: assurer la traçabilité (et si possible bloquer) les tentatives d’accès frauduleux et les atteintes aux SI et permettre un dépôt de plainte On procède donc à un traitement de données à Pour ce faire: l’IDS trace le détail précis de l’infraction caractère personnel relatives à des infractions commise à l’encontre du SI (ex : « BACKDOOR (éléments constitutifs) ATTEMPT » = tentative d’accès frauduleux) © T. Devergranne – td@hstd.net
  • 29. Les 5 clés de la responsabilité juridique du RSSI 29  Or la loi est très restrictive quant à la possibilité de traiter ces données : Article 9 « Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par : 1° Les juridictions (…) 2° Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ; 3° [Dispositions censurées par le Conseil Constitutionnel] 4° [Certaines société d’ayants droits] Dispositions censurées : « les personnes morales victimes d’infractions (…) pour les stricts besoins de la prévention et de la lutte contre la fraude, ainsi que la réparation du préjudice subi ». Solution : Art. 25 - Sont mis en œuvre après autorisation de la CNIL (…) : 3. Les traitements, automatisés ou non, portant sur des données relatives aux infractions © T. Devergranne – td@hstd.net
  • 30. Les 5 clés de la responsabilité juridique du RSSI 30  La CNIL a déjà mis en place des autorisations uniques pour le suivi des infractions constatées par les commerçants sur les lieux de vente © T. Devergranne – td@hstd.net
  • 31. Les 5 clés de la responsabilité juridique du RSSI 31  Et les sanctions sont suffisamment importantes pour inviter à se protéger légalement contre le problème… Article 226-19 al. 2 c. pen. : «Est puni de [5 ans d’emprisonnement et 300.000€ d’amende] le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.  Il faudra attendre la jurisprudence judiciaire pour savoir si les données des IDS sont des données « relatives à des infractions »  La CNIL pourrait simplifier les choses et faire une autorisation unique  La loi annoncée pour 2013 serait un parfait véhicule législatif pour régler le problème ! © T. Devergranne – td@hstd.net
  • 32. Les 5 clés de la responsabilité juridique du RSSI 32 Itinéraire d’un point de doctrine… CNN Articles juridiques ARCEP Conséquences Thèses de doctorat HADOPI Non Revirements ? mentaires Trav aux parle CNIL Solution Oui Prises de position Prises de position Détection Jurisprudence doctrinales officielles © T. Devergranne – td@hstd.net
  • 33. Les 5 clés de la responsabilité juridique du RSSI 33 2) Rationnaliser ces incertitudes juridiques  Suivre l’actualité juridique  Veille !  Déterminer l’impact sur votre activité  Ne peut être fait qu’en collaboration avec des professionnels du droit  Attention à l’apparente simplicité du droit  Exemple d’un client dont la charte a entièrement été rédigée par le service informatique ; tout était à refaire ; délicat à expliquer, pas très motivant à entendre… © T. Devergranne – td@hstd.net
  • 34. Les 5 clés de la responsabilité juridique du RSSI 34 CHALLENGE 5 : CRÉER DE LA VALEUR AJOUTÉE POUR LES ORGANISATIONS
  • 35. Les 5 clés de la responsabilité juridique du RSSI 35 Créez des process (ex. : obligations de sécurité dans la loi de 1978)… Disponible gratuitement : http://www.donneespersonnelles.fr/infographie-loi-informatique-et-libertes © T. Devergranne – td@hstd.net
  • 36. Les 5 clés de la responsabilité juridique du RSSI 36 CONCLUSION
  • 37. Les solutions opérationnelles 37 Formations régulières Risque juridique Services de Q/R Audits
  • 38. Les solutions opérationnelles 38 Questions ? Thiébaut DEVERGRANNE Contact : td@hstd.net http://www.donneespersonnelles.fr

Notes de l'éditeur

  1. Attention aux systèmes de croyances Il y a un schéma type de réalisation d’une infraction pénale Ce schéma commence par accepter l’idée que l’infraction peut/doit être réalisée Si vous détectez ces croyances au sein de votre organisation vous devez recadrer immédiatement Risque majeur Chance de pouvoir recadrer avant l’occurrence d’un risque juridique
  2. Attention aux systèmes de croyances Il y a un schéma type de réalisation d’une infraction pénale Ce schéma commence par accepter l’idée que l’infraction peut/doit être réalisée Si vous détectez ces croyances au sein de votre organisation vous devez recadrer immédiatement Risque majeur Chance de pouvoir recadrer avant l’occurrence d’un risque juridique