compte rendu - resinfo
Contents
1. Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 22 24 COMPLEMENTS DE LA FORMATION A MARSEILLE La solution pour se pr munir de responsabilit s civiles de cet ordre est le tryptique Information gt contr le gt Action Dans le civil non contractuel il n y a pas d obligation de moyens r sultats car il n y a pas de contrat e Dans un contexte de faute un juge jugera si on a contr l et si on a agit e Il est donc n cessaire de PROUVER qu on a mis ou qu on aura mis en place la cha ne Information Contr le Action et donc le prouver avec des preuves crites archiv es e Avoir les moyens de donner des preuves exemple faire une rubrique S curit sur le site Web du Labo qui retranscrit les actions d information et de contr les engag es e information mettre des informations sur l intranet dire aux utilisateurs qu il faut aller les consulter Contr le garder les traces des connexions l intranet Action proc dure automatique qui relance ceux qui ne se sont pas connect s Depuis la LCEN le droit TRACER les utilisateurs dans un Sl est total et complet Exemple un rapport de stage d tudiant sur un site Web est jug d sobligeant par une entreprise ou l tudiant a effectu le stage Que faut il faire Le RSSI a contr l la nature des crits du rapport inform le ma tre de stage et l a enlev du site Web Qui2. d emprisonnement et 300 000 d amende La moyenne des sanctions financi res se situe 80 000 Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 14 24 e L utilisateur ne peut s opposer la publication d un organigramme de l entreprise sur lequel il est pr sent sur son web ouvert tous il peut s opposer l ajout de sa photo e On n a pas le droit d exporter les donn es en dehors de l Union Europ enne et vers 5 pays de niveau de protection ad quate dont la Suisse l Australie le Canada les Iles Anglo normandes et l Argentine En dehors de ces pays y compris les USA il faut s assurer que le prestataire offre un niveau de protection quivalent il faut un mod le de convention LA CNIL e La r glementation CNIL qui datait de 1978 a t revue en 2004 1 Avant il y avait deux mondes le public et le priv Aujourd hui le raisonnement porte essentiellement sur la sensibilit de la donn e 2 Les pouvoirs de la CNIL ont consid rablement augment s e Le droit d enqu te in situ comme la police de 6h00 22h00 e Le droit de juger sous couvert direct de la cour d appel e Le droit de prononcer une condamnation p cuni re fait office de huissier de justice ela a eu pour cons quence une augmentation des proc dures et des condamnations 3 Les sanctions taient trop dures elles relevaient du P nal On est pass des sanctions p cuni res plus dissu
3. mes d Information Ex un intrus est un intrus que s il a conscience d tre un intrus Lois de s curit int rieure LSI et quotidienne LSQ loi pour la confiance dans l conomie num rique LCEN loi de s curit financi re LSF accords de B le Il loi Sarbanes Oxley Sox Convention de Budapest R gles europ ennes constituent maintenant un v ritable droit autonome sur la SSI Le droit la s curit devient un droit fondamental et l une des conditions de l exercice des libert s individuelles et collectives L acronyme STAD signifie Syst me de Transmission Automatis de Donn es La notion de tra abilit appara t dans la LSQ Loi S curit Quotidienne vers 2001 LSI Loi sur la S curit Int rieure On donne autorit au juge de pouvoir d crypter LSQ loi de s curit quotidienne loi qui permet la fouille des sacs main l entr e des magasins C est l aussi qu il y a une premi re op ration qui demande aux h bergeurs de conserver les traces de connexion mais pas le contenu pendant 1 an LSF Loi sur la S curit Financi re Cette loi introduit deux obligations pour les banques audit interne mettre en place des plans de continuit d activit PCA LCEN Loi pour la Confiance en l Economie Num rique nous donne tout le cadre juridique de l utilisation d Internet Le terme de cybercriminalit appara t pour la premi re fois dans la LCEN La LCEN comporte plusieurs d crets
4. tail du jugement http www legalis net jurisprudence decision php3 id _article 136 Jurisprudence Lucent e Le r sum http www legalis net breves article php3 id_article 359 e Un employeur jug responsable d un site litigieux r alis par son salari 08 08 2003 Par un jugement du 11 juin 2003 le tribunal de grande instance de Marseille a condamn sur le fondement de l article 1384 alin a 5 du code civil l employeur du cr ateur d un site internet litigieux pour avoir mis disposition de son salari les moyens techniques n cessaires la mise en ligne dudit site Nicolas B employ par la soci t Lucent Technologie avait cr son domicile un site internet satirique d nomm escroca com pour d noncer les abus dont faisait preuve selon lui la soci t Escota concessionnaire de la construction et de l exploitation d autoroutes du sud est de la France l encontre de ses usagers Il avait par la suite proc d la mise en ligne de son site personnel depuis son poste de travail Bien que Nicolas B ait qualifi sa d marche d humoristique et de parodique le tribunal a consid r pour rejeter le b n fice de l exception de parodie de marque que l imitation de la marque n tait pas guid e par l intention d amuser sans nuire mais motiv e par des sentiments haineux et dont l objet est de d nigrer la soci t et d atteindre son image de marque Cf a contrario les deux pr c dent
5. En tant que fonctionnaire on doit d noncer tout d lit p nal aupr s des autorit s comp tentes En Responsabilit Civile en cas de faute de service l Etat peut se substituer son personnel et prendre en charge les frais financiers sauf si il y a faute personnelle de l agent Voir le chapitre sur les r gles du jeu de la SSI C est une r gle de substitution Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 2 24 Responsabilit Civile non contractuelle hors contrat avec employeur La responsabilit hors du cadre de tout contrat est d finie par les articles 1382 1383 et 1384 du Code civil la faute directe la n gligence fautive et la faute du fait des autres e http www legifrance gouv fr affichCodeArticle do cidTexte LEGITEXTO00006070721 amp id Article LEGIARTI000006438819 amp dateTexte 20080523 e http www legifrance gouv fr affichCodeArticle do cidTexte LEGITEXTO00006070721 amp id Article LEGIARTI000006438829 amp dateTexte 20080523 e http www legifrance gouv fr affichCodeArticle do cidTexte LEGITEXTO00006070721 amp id Article LEGIARTI000006438839 amp dateTexte 20080523 Art 1382 Tout fait quelconque de l homme qui cause un dommage autrui oblige celui par la faute duquel il est arriv le r parer En cas de faute il faut r parer le dommage exemple t l chargement 7j 7 lecture d un mail priv Art 1383 Chacun est responsable du dommage
6. Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 5 24 Un l ment l gal s il n y a pas de texte il n y a pas d infraction Vol de login mot de passe c est de la captation d identit num rique Il faut attendre que le voleur utilise ces login mot de passe pour qu il puisse tre accus d usurpation d identit Responsabilit personnelle La responsabilit personnelle est engag e dans quelques cas comme refus ill gitime d accomplir un acte ou manquement une obligation Par exemple si on t l charge massivement des donn es titre personnel notre responsabilit personnelle est engag e Responsabilit partag e On peut d l guer une responsabilit p nale quelqu un Par exemple un chef d Entreprise d l gue sa responsabilit un chef de chantier Il n y a pas de d l gation P nale en Administratif gt Le Directeur d unit ne peut pas d l guer sa Responsabilit sur le plan P nal Pour qu il y ait d l gation de responsabilit p nale il faut un document sign par la personne qui accepte la d l gation La personne doit avoir l autorit et les moyens L acte de D l gation DOIT d finir ce sur quoi on fait porter la D l gation Si on n a pas les moyens d appliquer correctement une politique de s curit il faut l indiquer PAR ECRIT Pour agir efficacement il me faut Il n existe pas de d l gation dans les organismes
7. annonc dans le logiciel libre est lire en d tail Un auteur peut reprendre ses droits tout moment L utilisation d un logiciel libre mis en ligne par une personne qui n en aurait pas les droits peut conduire tre contrefaisant ou complice de contrefaisant Les sites creative commons sont des exemples de ce danger Sites internet FDI forum des droits d internet foruminternet org On y trouve les jurisprudences afcdp org Association Fran aise des Correspondants la protection des Donn es caract re Personnel site sur les CIL http www legalis net jurisprudences et actualit s du droit du num rique INPI Institut National de la Propri t Industrielle http www inpi fr APP Agence pour la Protection des Programmes http app legalis net http www alain bensoussan com Droit des technologies avanc es http Www ossir org Observatoire de la S curit des Syst mes d Information et des R seaux http www cnil fr Commission Nationale Informatique et Libert s http www legifrance gouv fr Service public de la diffusion du droit Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 17 24 A retenir dans le quotidien des ASR 1 En g n ral La S curit des Syst mes d informations SSI et le nouveau droit Le droit num rique n en est qu ses balbutiements De plus le SSI doit tre conscient que le droit n est
8. bl me Il faut donc mettre en place une charte tr s claire sur les utilisations autoris es partir de la connexion Internet Pour ne pas tre poursuivies pour n gligence les entreprises doivent galement effectuer des contr les et intervenir si des abus sont constat s Bien r partir les r les l ASR a inform contr l et agi les preuves sont r colt es et sauvegard es Pour porter plainte s il y a un probl me de proc dures ce n est plus le probl me de l ASR Les contr les doivent r pondre des objectifs l gitimes exigence de s curit de pr vention gestion et optimisation des ressources protection des int r ts de l institution Les actions doivent r pondre aux obligations l gales de s curit et de tra abilit La nouvelle loi Informatique et Libert s 7 Aout 2004 transpose une directive europ enne 95 46 CE renforce les sanctions p nales financi res et administratives et les droits des fich s Quelques incriminations p nales Traitements sans formalit s pr alables non respect des normes simplifi es traitement non autoris du N INSEE idem S S collecte frauduleuse d loyale ou illicite non respect des droits d opposition enregistrement de donn es sensible l insu des personnes non respect des dur es de conservation d tournement de finalit divulgation de donn es des tiers transferts de donn es hors CE sans autorisation Les sanctions les plus graves sont de 5 ans
9. fait l objet d un document de 11 pages il est disponible dans l intranet du CNRS partir du lien suivant http www sg cnrs fr FSD gestrace htm Ce document rappelle l objectif de ces traces m trologie d tecter des anomalies fournir des preuves et reprend par service par service ouverture de session sur les serveurs et postes de travail serveurs de messagerie serveurs web services routeurs pare feux bornes d acc s les applications sp cifiques les informations conserver Les logs des syst mes de d tection d intrusions IDS doivent faire l objet d une demande sp cifique la CNIL ils ne font pas partie de la d claration sous forme g n rique du CNRS aupr s de la CNIL La dur e maximale est de 1 an On n a pas le droit de supprimer des mails professionnels qui soient virus s ou spamm s Donc si on met en quarantaine la r ception de spams ou de messages virus s il faut pr venir le destinataire dans son laboratoire 3 Une r gl d or le tryptique information contr le action au quotidien e Dans un contexte de faute un juge jugera si on a inform control et si on a agit Informer PAR ECRIT mail ou papier et avec les mots cl s CONSEIL MISE EN GARDE ALERTE II est pr f rable de garder des preuves lectroniques plut t que crites il est plus facile de falsifier un crit manuel qu lectronique Exemples les bulletins d alerte du CERT ou CERTA les migrations pr vue
10. la correspondance du surf de la discussion et de l dition La notion de correspondance est assez large pour englober la fois ce qu on conna t actuellement comme la lettre normale le mail la messagerie instantan e mais galement d autres technologies avenirs li es la notion de correspondance La discussion concerne les blogs le chat les espaces collaboratifs L dition inclut le journal d entreprise les tracs les blogs le web e Ce n est pas possible d interdire l internet usage personnel et la correspondance priv e au sein de l entreprise dans la charte car il y a la notion de vie priv e r siduelle c est un espace de vie priv e au travail C est la possibilit d avoir du courrier et un dossier personnels e La charte CNRS est un exemple qui marie bien le champ fonctionnel et le champ technique Texte de la charte http www dsi cnrs fr B0O 2007 03 07 415 bo0307 dec070007dAj htm et la FAQ http www sq cnrs fr fsd securite systemes faq htm e L id al serait concr tement de mettre en place les documents suivants o Une charte pour les utilisateurs ext rieurs o une charte administrateur o une charte personnels un guide et un livret des proc dures La charte des personnels doit citer un guide dans lequel on trouvera toutes les r f rences aux textes de lois et citer galement un livret des proc dures L avantage est d avoir ainsi une charte valable assez longtemps sans modification Le guide e
11. ne LUE 19 TR e a Ea A AAE 19 4 Zoom sur la Loi Informatique amp Libert s 20 COMPLEMENTS DE LA FORMATION A MARSEILLE ssaseeesesssersrnerrrrrrnrrrrerrrrnrrerrrrernns 23 COMPLEMENTS DES 2 SESSIONS NORMANDIE inner Rai Re des 24 1 GOOGl APPS ireira pero er Side Sierre nee nn ns tes andre ere 24 Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 1 24 Pr ambule Le Droit en mati re de SSI S curit des Syst mes d Information est apparu assez r cemment De 1998 2004 part 2 ou 3 articles dans le Code P nal et quelques cas de Jurisprudence il ny a pas eu d v nements majeurs De 2002 2007 on assiste a une explosion du Droit en mati re de SSI De nombreuses entreprises dont le CNRS sont amen es cr er leur propre PSSI Politique de S curit des Syst me d Information Le Minist re de l Education Nationale est galement un gros demandeur en la mati re et a form plusieurs centaines de ses cadres Depuis 2004 une nouvelle re juridique on assiste un renforcement des condamnations Le ma tre mot et l objectif premier de cette formation tait de connaitre Quelles sont nos responsabilit s juridiques Mais le probl me ne se pose pas exactement en ces termes Mais plut t il se pose plut t en termes d tre sensibilis la Responsabilit et de savoir o se situe et que signifie la Responsabilit en terme de Droit Compl ments a
12. qu il a caus non seulement par son fait mais encore par sa n gligence ou par son imprudence Cela concerne les fautes par n gligence fautive ou l imprudence de son propre fait e Exemple de n gligence fautive laisser faire sur un SI si un h bergeur a connaissance d un contenu illicite et qu il ne fait rien pour l enlever La loi a chang pour les h bergeurs de site Web loi de 2004 L h bergeur n a pas d obligation g n rale de surveillance mais il a une obligation sp ciale de surveillance point de la n gligence fautive L h bergeur est responsable lors de la notification d un contenu Si un probl me de contenu est signal alors l h bergeur doit dans un d lai bref la loi dit imm diatement supprimer ce contenu On va chercher combattre la n gligence par un triptyque information contr le action Art 1384 On est responsable non seulement du dommage que l on cause par son propre fait mais encore de celui qui est caus par le fait des personnes dont on doit r pondre ou des choses que l on a sous sa garde Un employeur est responsable des agissements de ses employ s Les enseignants artisans sont responsables des fautes des l ves apprentis sous leur garde La responsabilit de l employeur est engag e article 1384 lors d un fait d un salari lors d un dommage ou d un fait commis dans le cadre de ses fonctions Mais la fiche poste ne suffit pas pour d finir ce cadre Pour qu il y ait
13. webmaster de kitetoa com avait pris connaissance d un r pertoire clients sur le site tati fr en utilisant les fonctionnalit s du navigateur Netscape Or remarque le procureur g n ral il n a utilis aucune m thode de piratage mais une manipulation accessible tout internaute averti non ing nieur non technicien non sp cialis mais qui sait lire un mode d emploi Le procureur g n ral a par ailleurs estim que l l ment intentionnel de l acte n a pas davantage t tabli d autant moins que l animateur de kitetoa com avait averti les administrateurs de Tati de cette faille de s curit Lorsqu une base de donn es est par la faute de celui qui l exploite en acc s libre par le biais de l utilisation d un logiciel de navigation grand public le seul fait d en prendre connaissance d en r aliser une copie par simple copie d cran ce qui a t le cas sans intention malveillante sans r v lations permettant d ventuelles identifications de codes de chiffres comptables de clients d une soci t par exemple ne saurait constituer une infraction Le parquet g n ral avait fait appel afin de permettre la cour de se prononcer sur la d finition et la port e du d lit d acc s et de maintien frauduleux dans un syst me d information Il faudra attendre le texte de la d cision de la cour pas encore disponible ce jour pour savoir si elle a suivi les arguments du parquet g n ral e le d
14. Contexte juridique du m tier d ASR o en est on Ce document est un recueil de notes et une synth se des formations sur le th me sus cit par Me Eric Barbry Avocat au cabinet Bensoussan Formations r alis es Marseille la DR12 CNRS les 9 et 10 janvier 2008 35 participants Rouen la Maison de l Universit les 4 et 5 mars 2008 24 participants Caen la DR19 CNRS les 10 et 11 avril 2008 28 participants Strasbourg les 24 et 25 avril 2008 61 participants en poste universit et CNRS R daction Laurette Chardon DR19 CNRS amp Maurice Libes DR12 CNRS avec les corrections de Fr d rique Ostr Universit Strasbourg sur les 3 premiers chapitres v 3 0 Juillet 2008 Table des mati res Pr ambule an ns see US nn Re GR ee NT edf es en 2 Compl ments au support papier de la formation U 2 1 Panorama de la responsabilit tarr trEEEEEEEEEEEE EEEE EEEE 2 Responsabilit Civile non contractuelle hors contrat avec employeur 3 Responsabilit Civile contractuelle ss 4 Responsabilit P nal arria n a E a i a naia TE NEE E aiaa Eda e Eaei 5 Responsabilit personnelle sis EEEEEEEEEEEREE REENE 6 Responsabilit partag e sis SEAE A VESET TAEK ATE 6 Cas pratique Affaire CYBERLEX v saisai anaiita enaa ne aA e aK EAEE aAA Taaa SEERE Daa Ea AEE e aE eT Aa 6 2 Responsapilit et SSI ses idees este iessandissndnssnnasn tin eds EA aN in nan A RT 7 Jurisprudence CNRS 1996 ses srree
15. SR avec une FAQ liste des questions les plus fr quemment pos es et une assistance 2 Charte web logs messagerie crypto Si la charte informatique est annex e au r glement int rieur et sign e par les tutelles du laboratoire d l gu r gional Cnrs Universit Ensicaen alors elle s applique tous sans besoin de signature Sinon elle doit tre sign e par tous La charte est dur e ind termin e La version qui pr domine est celle qui est en ligne le jour du litige au moment des faits Il faut l afficher dans les lieux du laboratoire N cessit de faire figurer une notice l gale sur un site web qui indique e qui est l diteur du site e qui est l h bergeur e qui est le Directeur de la Publication Le marquage des documents comme tant issus d un intranet ou tant confidentiels est plus que conseill Voir jurisprudence TATI En exemple Copyright ann e nom de l diteur La charte n est pas obligatoire d un point de vue l gal mais en cas de litige c est un Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 18 24 l ment de droit Mais il faut s assurer qu elle est comprise pour tre valide L usage de la cryptologie est maintenant l gale vu lors de l tude de la charte de l Universit de Caen e Les journaux logs Juridiquement il est n cessaire de logguer Loi Terrorisme La politique de gestion des traces au CNRS a
16. Tous ne sont pas parus La cybercriminalit permet lutte contre les atteintes au syst me d informations Dans la Convention de Budapest il s agit d harmoniser les condamnations dans quasiment tous les pays industriels Elle autorise la perquisition sur des serveurs l tranger Un service disponible 7j 7j et 24h 24h est mis en place en cas de crise Cette convention veille ce que tous les pays signataires ait les m mes infractions informatiques les m mes peines et qu il y ait une collaboration entre les diff rents services de chacun de ces pays Norme ISO 27001 lere norme de certification sur la s curit des SI Terrorisme cette loi renforce l obligation de tracabilit tous ceux qui offrent un acc s Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 7 24 Internet Elle donne une OBLIGATION de tra abilit de tous les moyens donnant acc s aux SI cyber caf chambres universitaires bornes wifi y compris celles personnelles etc e Laloi n 78 17 du 6 janvier 1978 Informatique et Libert s a t modifi e en Juillet 2004 La CNIL voit ses pouvoirs de contr le et de sanction renforc s Le code p nal pr voit 5 ans d emprisonnement et 300 000 d amende pour un traitement de donn es caract re personnel sans mise en oeuvre des mesures pr vues par la loi Pour rappel est consid r e donn e personnelle toute information qui permet d identifier une person
17. assives 150 k la premi re fois jusqu 300k possible 4 Nomination d un CIL e Il faut donc respecter les 4 points suivants A Faire une d claration ou d marche pr alable CNIL Elle peut prendre 4 formes r gime d exemption sites personnels non marchands annuaires des t l phones portables r gime de d claration simplifi e des mod les tous faits sont disponibles sur le site de la CNIL comme par exemple la gestion du personnel il faut n anmoins v rifier que l on soit conforme aux limites de ces canevas pr tablis r gime de d claration normale Ex pour de la cybersurveillance ou un trombinoscope r gime d autorisation expresse utiliser si on traite des informations sensibles comme le N de s cu des donn es bio m triques le casier judiciaire priv les donn es g n tiques de sant de situation financi re des personnes ou si on fait une interconnexion de fichiers comme par exemple dans une mairie l interconnexion des fichiers piscine acc s biblioth que pour mettre en place une carte de vie quotidienne NB notion de responsable de traitement dans certains cas on peut faire des d clarations communes plusieurs structures si elles sont solidaires dans un traitement de donn es B Informer les utilisateurs en application de l article 27 obligatoire sur tous les formulaires C Permettre l acc s aux donn es collect es et leur modification
18. code si les r gles ne sont pas suivies elles ne peuvent pas tre sanctionn es Dans le cas d une charte encadrement elles peuvent l tre e Une charte accept e qu elle soit sign e ind pendamment ou annex e au r glement int rieur est un l ment de droit Elle est assimil e un contrat et doit donc tre comprise pour tre valide Elle compl te un dispositif qui peut tre constitu de normes plan de continuit d activit audit actions de sensibilisation e A noter pour les visiteurs il peut tre avantageux et rapide de cr er un contrat Clic C est un contrat souscrit par acceptation sur un formulaire lectronique et qui ouvre un acc s temporaire aux moyens informatiques Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 11 24 La charte Le livret des proc dures e Dans la charte on parle des droits des obligations et des sanctions Elle doit couvrir tout un champ technique Le probl me est que les technologies voluent tr s vite et le risque si on se limite ce champ technique uniquement est de ne pas pouvoir les traiter dans la charte web2 blogs podcast La solution est d avoir une charte qui aborde galement un champ fonctionnel c est dire une r gulation par le comportement Ce champ couvre les usages au niveau de la correspondance du surf des discussions et de l dition e Le champ fonctionnel d finie les usages au niveau de
19. curit Obligation de r sultat vs obligation de Moyens faux d bat et faux amis dans les 2 cas on a un objectif et donc un r sultat atteindre Si le contrat comporte une obligation de moyens pour le client C est au client d apporter la preuve que la prestation n est pas correcte c est au cr ancier client de prouver que le d biteur n a pas mis les moyens en oeuvre pour atteindre les r sultats Si le contrat comporte une obligation de r sultats c est celui qui doit la prestation qui doit apporter la preuve que si elle n a pas t faite c est un cas de force majeure ou de la faute de l autre Dans le contrat de travail il n y a pas d obligation de moyens ni de r sultat gt on ne peut pas tre responsable si les moyens ne se sont pas donn s Pour les ASR si nous avons formul une demande et que l on ne nous donne pas les moyens nous ne sommes pas tenus une obligation impossible Un Labo CNRS est un environnement complexe et dangereux en mati re de SI Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 4 24 beaucoup de donn es sensibles les utilisateurs sont mal identifiables et peu sensibilis s le droit est d application stricte Responsabilit P nale Il y a peu de recul jurisprudentiel en Droit P nal en mati re de SSI car les lois nouvelles datent de 2001 et un jugement complet dure environ 6 ans affaire 2ans appel 2 ans cassation 2 an
20. des traitements dans les 3 mois suivant sa nomination e permettre l acc s cette liste quiconque e faire un rapport annuel sa hi rarchie qui le tient disposition de la CNIL e tre saisi avant tout nouveau traitement Le CIL doit savoir qu il n est pas responsable l galement mais il a un r le d alerte et m me de d nonciation s il est en d saccord avec ce que lui impose sa hi rarchie 7 Propri t intellectuelle e On parle de propri t intellectuelle sur une oeuvre de l esprit La protection vient avec la formalisation mat rialisation de l id e cahier des charges et ou des sp cifications techniques e L originalit ou l inventivit d une oeuvre de l esprit n est pas une condition de protection La protection s applique l empreinte de la personnalit de l auteur tout simplement e Les diff rents types d oeuvres sont Les oeuvres composites qui sont r alis es avec des oeuvres anciennes sous r serve des accords ad quates Les oeuvres collectives Un exemple est wikipedia Les oeuvres de collaboration Les cr ations des salari s qui appartiennent aux salari s Il est prudent de traiter dans le r glement int rieur les questions d exploitation interne ou commerciale de l oeuvre la r mun ration du salari les conditions de son d part de l entreprise e On parle de droits d auteur du vivant de l auteur et de droits patrimoniaux pour les h ritiers dans les 70 ans qui suivent le d
21. du collaborateur e Il faut mettre en place des l ments de distinction entre vie priv e personnelle ou professionnelle e Tous les mails messagerie lectronique sont r put s caract re professionnel sauf si il y a crit PERSONNEL dans le sujet du message La vie priv es r siduelle ne concerne QUE la correspondance par messagerie lectronique En cas de t l chargement massif par un utilisateur l ASR a le droit de stopper le flux r seau On peut couper un service sans plus se poser la question du droit de le faire mais en informant largement la Direction les utilisateurs Si les fichiers illicites sont d j dans un r pertoire PRIVE PERSONNEL alors il faut faire appel a un huissier de justice Q En cas de d part d un personnel que faire des donn es e il est l gitime de basculer sa bo te de Mails d une personne vers une autre e est n cessaire d informer et d crire dans les proc dures d ouverture de compte Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 20 24 que les donn es seront d truites ou transf r es au Responsable au d part de l utilisateur De m me il est n cessaire d indiquer ce qui sera fait du r pertoire PRIVE dans le r glement Q Comment traiter une machine personnelle qu on doit connecter dans le r seau du Laboratoire e La consid rer comme un l ment qui fait partie int grante du SI du Laboratoire elle suit l
22. e administrateur il est pr f rable de parler d une charte des droits d administration plut t que d une charte des administrateurs Cela permet d tendre cette charte aux personnes qui disposent de ces droits sans avoir pour autant une Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 12 24 4 5 fonction d administrateur Un exemple de charte administrateur a t distribu la session de Caen Il n existe pas de d l gation dans les organismes publics L ASR n a pas de d l gation p nale il n a pas la responsabilit de l employeur au niveau p nal SSI et num rique Il existe plusieurs types de preuve civile celle d un fait juridique d un acte juridique la preuve contractuelle et la preuve hors contrat Un acte juridique est un contrat crit ou lectronique Un fait est libre cela peut tre n importe quel type de preuve La preuve lectronique admise 1 l crit sous forme lectronique est admis en preuve au m me titre que l crit sur support papier sous r serve que puisse tre d ment identifi la personne dont il mane et qu il soit conserv dans des conditions de nature en garantir l int grit Tout ce qui est lectronique depuis 2004 est probant peut servir de preuve Avant c tait l crit Elle est admise si on est s r de l identit de l auteur et des conditions d archivage Il faut donc privil gier les signatures lectroni
23. e m me r gime e L crire dans le r glement On voit qu il manque un corpus de r gles d administration Objectifs parvenir l tablissement d une charte des Administrateurs Syst mes Commencer par un document interne ou les ASR initient le travail de r flexion et qui vise d limiter et d finir notre travail et les contours du m tier un guide des bonnes pratiques mettre dans ce document ou ce quoi on pense r gles techniques Droit e Dire comment on g re le nomadisme et les postes priv s e faire un livret de proc dures qui d finit les techniques pour appliquer la Charte Quand une charte contient des r f rences au droit ou des r f rences techniques a pose des probl mes d actualisation Il faut faire une charte fixe les r gles du jeu un livret des proc dures comment respecter les r gles du jeu un guide utilisateur pourquoi ces r gles ont t fix es pourquoi telle technologie est employ e indiquer les sanctions On fait valider la charte et on l annexe au r glement int rieur le livret des proc dures et le guide utilisateur voluent pas la charte Informer et Former Alerter et Conseiller e N cessit de faire du reporting tracer nos activit s dans un rapport d activit s e Conseiller le Responsable L gale Directeur d unit e Informer les autorit s comp tentes e Informer les utilisateurs gt L ASR doit tre l ambassadeur de la culture du SI Obligation de Con
24. est fautif L tudiant ou le ma tre de stage en tant que Responsable de stage le ma tre de stage aurait d contr ler et s apercevoir des propos douteux du rapport En civil il peut y avoir plusieurs responsables e Le responsable de stage n a pas respect la convention de stage en demandant l tudiant de mettre en ligne le rapport avant la validation par l entreprise faute directe e L tudiant qui a mis en ligne le rapport n a pas respect la convention faute directe e _L ASR pourrait tre accus de faute par n gligence s il ne suit pas le triptyque lorsqu il re oit la demande de la soci t Si l ASR enl ve le rapport car la r gle n a pas t respect e contr le de la r gle action et qu il informe pas de probl me Mais s il n y a rien dans la convention L ASR n a pas juger le contenu s il n y a pas de r gles il doit informer le responsable de stage du probl me e Concernant le contr le de sites Web L ASR n a pas a tout contr ler tout le temps On est dans un environnement de confiance LCEN on n a pas contr ler le site en permanence MAIS on a obligation de participer contre 2 types de fl aux et d agir le cas ch ant contre la p do pornographie le r visionnisme Pour tre le moins n gligent possible il faut e informer et garder des preuves qu on a inform e effectuer des contr les a priori racisme p dophilie contrefa on contr les quantitatifs Formati
25. eulement garantir la continuit de l activit mais aussi maintenir la disponibilit des preuves Droit de r agir pour assurer la continuit du service en cas de crise ou d urgence et Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 10 24 droit de refuser des demandes qui mettraient le SI en danger e Notion de crise c est une situation qui paralyse le laboratoire ou l tablissement entier ou 1 personne un moment critique rendre un rapport de contrat e Confidentialit les administrateurs sont tenus au secret professionnel mais ont l obligation de d noncer des actes d lictueux contenus illicites notamment la p do pornographie ou la diffamation e A propos des logiciels libres le libre de droits n existe pas libre de royalties tout au plus du fait que le libre est associ une sorte de contrat d utilisation qui d finit des r gles donc des droits d utilisation Le bon terme juridique utiliser est la licence libre contrat e Respect du droit des tiers la vie priv e r siduelle est constitu e des activit s et documents qu un employ poss de ou r alise sur son lieu de travail rendez vous urgences familiales Cet espace doit tre rep r par des conventions de nommage dossier Priv ent tes de message Prive de fa on garantir leur caract re L utilisation des logiciels selon les licences respect des droits d auteur disposi
26. fidentialit Mais on a obligation de d noncer eu gard au Droit P nal si on d couvre des donn es illicites concernant la p dopornographie le r visionnisme etc Participer au maintien de la preuve Collaboration et coop ration On va devoir avoir des collaborations fr quentes avec la Police la DST la Justice la CNIL e La CNIL devient une autorit de contr le hyper puissante La CNIL a d sormais le pouvoir de faire une enqu te O pouvoir d op rer des v rifications sur place O pouvoir d aller n importe o dans le SI Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 21 24 pouvoir d instrumentaliser la proc dure O pouvoir de condamner une amende Si on a faire avec la CNIL appeler la DAJ et un avocat Il faut pouvoir prouver qu on a s curis Or dans nos milieux Universitaires et Recherche il y a une faible culture de l crit administratif On ne trace pas beaucoup par crit les actions qui ont t entreprises e il faut donc pour nous ASR pour prouver nos actions o Tracer nos actions o Faire un rapport annuel d activit s o Montrer qu on a inform et donc tout crire faire des alertes des mises en gardes par des mails ou figurent les mots Alertes Mises en garde avoir une rubrique s curit sur notre site Web e Principes retenir e tryptique Information Contr le Action e politique de l crit e tra abilit
27. harg ill galement et en grande quantit des logiciels ce qui rel ve de l art 1382 Les r gles du jeu de la SSI Information Contr le Action La solution pour se pr munir est de Informer Contr ler et d Agir Le RSSI se doit d avertir de renseigner d informer de mettre en garde aussi bien le responsable l gal les autorit s comp tentes et surtout les utilisateurs des risques dont il a connaissance de pr f rence par crit mails ou notes papier Informer et former faire des rapports r guliers annuel et sur situation particuli re Il faut informer les responsables l gaux les autorit s comp tentes informer et former les utilisateurs Alerte et conseil En tant qu experts sur un domaine technique class dangereux depuis la jurisprudence IBM Flammarion au m me titre que le nucl aire et le risque chimique SEVESO les administrateurs sont tenus une obligation de conseil renforc Il peuvent mettre des alertes sur des risques connus ou des mises en garde sur des risques possibles La mise en garde permet de signaler qu il est possible qu un probl me intervienne L alerte permet d informer d un probl me bien d fini et connu et non hypoth tique La pr sence de ces mot cl s dans un rapport peut avoir un poids utile en cas de contentieux ult rieur Droit d agir diagnostic analyse contr le maintenance pr ventive identification des comportements illicites Le plan de sauvegarde concourt non s
28. ire la v rit l ments conserv s dans des conditions fiables l huissier garde sous scell s la preuve Responsabilit Civile contractuelle Un contrat peut tre unilat ral engagement de confidentialit ou sign par deux ou plusieurs parties Si la charte informatique est annex e au r glement int rieur du laboratoire elle n a pas tre sign e par les agents CNRS Une charte ne peut concerner que les personnels de l tablissement Les personnes d tach es sont soumises la charte si la convention entre les deux tablissements indique que le personnel doit suivre le r glement int rieur de l endroit o il est d tach En ce qui concerne les tudiants majeurs il n y a pas de loi dans leur cas sur l utilisation r siduelle car du point de vue juridique il n y a pas de cadre professionnel ils ne font pas partie du personnel de l tablissement Respect du Contrat entre employeur et employ r glement int rieur du Labo la responsabilit est engag e en cas de e _Inex cution d une obligation e retard dans l ex cution e Mauvaise ex cution Pour expliquer une mauvaise ex cution il faut avoir un r f rentiel de base Souvent nous avons un cahier des charges Mais comme nous travaillons sur de gros projets nous avons des volutions sur le projet Donc le r f rentiel de base n existe plus Nous ASR avons un engagement contractuel respecter le circuit fonctionnel en cas d incident de s
29. isation des moyens num riques des fins personnelles Vie priv e R siduelle Au niveau du Laboratoire il est n cessaire de d finir les r gles du Jeu par exemple A t on le droit de brancher un portable personnel dans le r seau de l entit Avec contr le Sans contr le Il n est pas permis d interdire l utilisation des outils de communication pour la vie priv e r siduelle On autorise l utilisation des outils de l entreprise de mani re exceptionnelle t l phoner 2h des fins personnelles avec le t l phone de l entreprise ne fait plus partie de la vie priv e r siduelle Cas sur la DR12 Marseille 1 PC utilisateur change 100Go de contenu en quelques heures Le PC est retrouv l utilisateur n est pas son propri taire Quelle est la responsabilit du laboratoire si l utilisateur t l charge depuis son PC ou depuis un poste en libre acc s A t on le droit de faire le contr le sur ce PC Il a fallu ouvrir des fichiers pour voir le contenu illicite film DIVX en a t on le droit La personne reconna t verbalement avoir t l charg Il faut faire un compte rendu du probl me et des actions engag es Il faut apporter des preuves du contr le et des actions engag es Ne pas sanctionner la personne qui a effectu le t l chargement rendrait le laboratoire complice Il faut apporter une preuve de sanction pour se couvrir faire une lettre au contrevenant effectuer une copie du disque sanctionner ou donner un
30. ne physique La simple consultation des donn es est consid r e comme un traitement de donn es Des correspondants Informatique et Libert doivent tre nomm s au sein des entreprises CIL sont les garants du respect de la loi e Exportation de donn es hors de l Union Europ enne il est interdit d exporter des donn es hors de l U E sauf avec les pays avec lesquels il existe un accord explicite Suisse Australie Canada Argentine Iles anglo normandes Dans les autres cas il faut s assurer que le sous traitant applique le m me niveau de s curit dans les traitements que le n tre et tablir une convention de flux transfronti re Ces r gles concernent par exemple les laboratoires CNRS implant s l tranger Actualit 10 04 08 Les moteurs de recherche somm s de respecter la protection des donn es personnelles selon l UE http i e L union europ enne commence tout juste s int resser la s curit informatique Par exemple s il entre dans un intranet il faut que les pages soient marqu es comme appartenant l intranet ou confidentielles Un espace priv un site intranet un document interne doit tre non seulement prot g contre les acc s non autoris s mais faire conna tre tout visiteur autoris ou non qu il se trouve sur un espace priv Pour les documents internes l usage de mod les comportant les mentions de confidentialit est une bonne m thodologie Exemples de Jurisp
31. ogle insiste sur la r versibilit On peut revenir en arri re et r cup rer nos donn es quant on veut Il faut tre tr s vigilant il n est pas forc ment facile de reprendre 27000 x 5 Go du jour au lendemain Sur la s curit ils mettent en avant la m thode de stockage un message ou un document est d coup en morceaux crypt s chacun est stock en plusieurs endroits du monde gt redondance gt rapidit d acc s o que l on se trouve dans le monde gt cryptage des donn es gt le fichier n est jamais stock en entier un seul endroit Le principe parait r ellement tr s s r plus sur que ce que tout ce que nous pouvons offrir l heure actuelle En revanche cela ne prot ge pas d une consultation par google L dessus ils opposent leur politique de confidentialit Nota Le probl me serait le m me quel que soit le sous traitant Autre probl me ils ne savent pas nous fournir de logs d acc s de consultation ou de r ception des messages Nota Des solutions techniques partielles peuvent tre mises en place Enfin du point de vue purement juridique pas de r ponse sur notre obligation l gale de fixer contractuellement et de contr ler le niveau de protection des donn es personnelles chez un prestataire ext rieur Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 24 24
32. on juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 23 24 e effectuer des contr les a posteriori e agir simple information suppression et quand on agit il faut garder une trace des actions faites L ASR n est pas le gardien le garant de l application de la Loi L ASR est un maillon un utilisateur comme un autre L ASR est tenu d assurer la S curit syst me du site passer les correctifs Une formule int ressante concernant l absence de d finition de poste d ASR A mission impossible responsabilit improbable Si un correctif de s curit n a pas t pass et qu il y a eu un incident grave comme la s curit syst me est le fait des ASR pour ne pas tre responsable il faudra prouver par exemple qu il tait en vacances et qu il n y avait pas de redondance humaine pr vue La l gislation sur les liens Hypertexte se renforce l information Contr le action doit etre faite r guli rement pas qu une seule fois l ouverture du site Il faut v rifier les liens de temps en temps COMPLEMENTS DES 2 SESSIONS NORMANDIE 1 Google Apps Propos de C dric Houssier L Universit de Rouen r fl chit l utilisation de Google Apps Education Google propose gratuitement l h bergement de boites mail ainsi que des outils de travail collaboratifs Nota Les noms de domaine sont conserv s il n y a pas de publicit et l authentification reste locale l universit Go
33. ou rectification par les utilisateurs D D assurer le niveau de s curit soit au niveau du responsable du traitement soit au niveau du sous traitant ventuel Il faut pr voir dans ce dernier cas cette d finition dans le contrat le sous traitant devant respecter le niveau de s curit d fini par le responsable du traitement Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 15 24 Les CIL Correspondants Informatique et Libert s Suite un partenariat entre la CPU conf rence des Pr sidents d Universit et la CNIL il y 1 an environ http www cpu fr Partenariat CPU CNIL 282 0 html un CIL doit tre nomm dans chaque tablissement Le CIL 1 un homme une femme une entit 2 il est interne l entit ou externe si l entit est sup rieure 50 personnes 3 il doit tre comp tent pas forc ment informaticien Ce sont les directeurs RH directeurs juridiques ou RSSI 4 il est d sign Ce qui entraine une notification la CNIL et une information aux institutions repr sentatives du personnel 5 Son objectif est de veiller la bonne application de la loi Informatique et Libert s 6 Le b n fice d un CIL les d marches sont simplifi es plus besoin de d claration simplifi e ni de d claration normale mais l autorisation reste faire Les relations avec la CNIL sont plus cordiales 7 Ce que le CIL doit faire e la liste
34. p t de la protection Apr s cette p riode l oeuvre passe dans le domaine public on parle de droit moral e Pour les agents publics la d volution des droits revient automatiquement l employeur au moins tant que la cr ation a eu lieu dans le cadre des fonctions de l agent Il y a plusieurs interpr tations et controverses sur le sujet e Les diverses formes du d p t du logiciel Le d p t sans d placement et le d p t chez un tiers S envoyer par recommand son oeuvre constitue une preuve Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 16 24 Le d p t l APP est Agence de protection des Programmes Elle est identique la SACEM mais sans g rer de r partition financi re Elle permet le d p t de programmes Le d p t aupr s d organismes sp cialis s Les droits d exploitation d une oeuvre droit de reproduction permanente provisoire copie priv e copie de sauvegarde et d utilisation droit de repr sentation communication au public par tout proc d et droit d adaptation livre film th tre droit de distribution droit de transmission droit de traduction O0OO O O La transmission des droits patrimoniaux est r gie par les articles L 131 1 L 131 8 C est un acte juridique qui stipule la dur e la localisation g ographique les droits c d s la modalit d exploitation et le prix A noter que l abandon des droits patrimoniaux
35. pas son m tier et qu il ne peut ni tre au courant de tout ni s y r ferer ce dernier point veut dire qu il ne doit surtout pas se prononcer au regard d l ments juridiques c est le r le des avocats car alors il deviendrait responsable Il doit cependant savoir que ce droit volue se comporter en curieux surtout en cette p riode de profonde mutation On est sur un nouveau droit On va nous reprocher de ne pas savoir que ce nouveau droit existe Les PSSI sont tr s r centes et les chartes ne stipulent que les droits et devoirs des utilisateurs au sens large Il y a une absence cruelle de d finition de poste d ASR au CNRS comme l EN il y a n cessit de travailler sur des lignes directrices textes de lois existant et cas de juriprudence d am liorer la visibilit du m tier en 1 cr ant un r seau de comp tence une mulation autour de la s curit des SSI 2 en r fl chissant une charte des ASR d finie tout en commencant par un Guide des bonnes pratiques un document fourre tout o on mettrait toutes les sp cificit s du m tier d ASR Mais attention ce document ne doit pas nous tre opposable il ne faut pas qu on d finisse nous m me nos responsabilit s qui pourraient d une part ne pas nous couvrir mais en plus nous porter tort en s appuyant sur des r gles qu on aurait nous m mes d finis gt Mais un des objectifs final sera d obtenir une vrai charte m tier des A
36. prime c est la continuit du service des jugements ont d j t rendus Donc dans le cas d un utilisateur qui ne veux n est plus la on a le droit d acc der son compte e La direction peut faire appel un juge des requ tes qui ordonne un huissier une intervention en urgence 48h e On peut bloquer le compte ou messagerie de la personne le temps que l huissier constate e C est pr f rable de faire les op rations en pr sence de la personne concern e En fonction de l urgence du probl me si la personne dit non il faut r agir vite pour ventuellement bloquer le compte et faire appel un huissier Faire 3 copies huissier ASR l utilisateur e Une copie d cran ne peut pas servir de preuve Il faut faire appel un huissier 4 Zoom sur la Loi Informatique amp Libert s Pr server la s curit emp cher que les donn es soient d form es endommag es ou que des tiers non autoris s aient acc s au SI Principes actuels e il est interdit d interdire l usage personnel de la messagerie notion de vie priv e r siduelle o face une situation de risque on peut ouvrir de la correspondance priv e pour des raisons de s curit ou d urgence o on peut alors se poser comme question quelles sont les raisons de s curit ou d urgence e tous les l ments qui sont dans un bureau d un employeur sont r put s professionnels De ce fait l employeur peut y avoir acc s m me en l absence
37. publics L ASR n a pas de d l gation p nale il n a pas la responsabilit de l employeur au niveau p nal e La plupart des infractions li es notre m tier ouvrir la boite mail des utilisateurs intrusion alt ration des donn es voir le chapitre sur la Lutte contre la cybercriminalit pour le reste des infractions relevant du p nal rel vent du p nal Mais dans la jurisprudence actuellement la plupart des affaires sont jug es en civil e Rappel N oubliez pas que nul n est cens ignorer la loi pas plus les ASR que les autres e En fait on consid re les 3 cat gories suivantes le FAI fournisseur d acc s Internet l h bergeur et l diteur dans la loi Mais cette loi a commenc en 1996 Donc le web2 blog forums chat ench res lectroniques etc n est pas trait La responsabilit de l diteur est beaucoup plus importante que celle de l h bergeur ou du FAI e De nombreux contrats comportent des clauses abusives ex Apple les fournisseurs de t l phone qui permettent de les faire d clarer nuls devant une juridiction Il est m me parfois int ressant de signer un tel contrat quitte l attaquer en justice si besoin Cas pratique Affaire CYBERLEX e Cyberlex est une association loi 1901 cr e en 1996 cyberlex org Le directeur de la publication galement pr sident est un avocat Le contenu est libre et gratuit Cette association comprend 80 membres qui se r unissent une foi
38. ques par certificat Par contre rien ne d finit dans le droit ce qui est int gre La justice se base donc sur la norme AFNOR Z42 013 sur archivage lectronique o http www boutique afnor org NEL5DetailNormeEnLigne aspx amp nivCtx NELZNELZ1A 10A101A107 amp ts 16806738 amp CLE ART FA118461 Le hic Cette norme AFNOR Z42 013 ne concerne que les supports non r inscriptibles Convention sur la preuve Lorsque la loi n a pas fix d autres principes et d faut de convention valable entre les parties le juge r gle les conflits de preuve litt rale en d terminant par tous moyens le titre le plus vraisemblable Si la preuve n est pas conforme aux conditions cit es ci dessus au 1 alors a se discute selon le bon sens et l avis du juge L existence d une convention de preuve est aussi prise en compte Qu est ce qu une convention de preuve Lutte contre la cybercriminalit I existe 4 articles fondamentaux du Code P nal concernant la fraude Informatique 323 1 323 2 323 3 concernant les atteintes aux syst mes de traitement automatis des donn es http www legifrance gourv fr affichCodeArticle do cidTexte LEGITEXTO00006070719 amp i dArticle LEGIARTIO00006418315 amp dateTexte 20080523 htto www legifrance gouv fr affichCodeArticle do jsessionid 836251FC3C56DBOAOD74 C1C931C22FDB tpdjo17v 3 idArticle LEGIARTIO00006418319 amp cidTexte LEGITEXTOO0 006070719 amp dateTexte 20080523 htto www legifrance gou
39. responsabilit il faut e une faute e un dommage et e un lien de causalit entre faute et dommage Exemple e 1 faute un pot de fleur qui tombe d un balcon e 1 dommage il touche quelqu un il pourrait tomber cot e 1 lien de causalit le pot de fleur a bless quelqu un la blessure de la personne aurait pu tre provoqu e par quelque chose d autre que le pot de fleur AU niveau du lien de causalit il existe des causes d exon ration la force majeure la faute du tiers ou la faute de la victime Un exemple de cause d exon ration pour la formation juridique Marseille les supports sont arriv s en retard Si la d l gation du CNRS de Marseille attaque Comundi celle ci devra prouver une cause exon ratoire crash forte majeure retard de livraison faute du tiers ou lieu de livraison incorrecte faute de la victime La dur e maximale pour engager la responsabilit de base en civil en g n ral est de 30 ans sauf prescription sp ciale 10 ans pour les contrats lectroniques 1 an pour les facture T l com Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 3 24 Pour tre s r d avoir des preuves valables il vaut mieux travailler dans un contexte juridique demander un juge un huissier m me lorsqu il existe des preuves en local Qu est ce qu une preuve fiable est ce que vous dites la v rit seul l huissier a l obligation de d
40. rnneeeeeeneeeeeeeenes cuves 8 Jurisprudence TATI 2001 nrnna a aaa aaea a a eaaa N CRK a a ia 8 J risprudence LUcSnt ss signe iu ea ae a e E a ea E AEN ar aa 9 Jurisprudence ESPCI T998 A ie erise ea a aa a a eines las a aiaia 9 Jurisprudence administrateur sise verse 10 3 Lesr gles duijeu de a SSl intimement een AAEE 10 Information Contr le Action issues vec 10 La charte Le livret des proc dures sise 11 ASS BAUM TIQUERE ENS MR E nn EP an te 13 5 Lutte contre la cybercriminalit sarnasena tnt en T it 13 6 D onn es personnels er AE nn en tn ie nn 14 Utilisation des moyens num riques des fins personnelles Vie priv e R siduelle 14 L ASCNILS sera E OT EI E Rate a rater Ne mn nn te ren as 15 Les CIL Correspondants Informatique et Libert s 15 7 Propri t intelectul Ersisi meniniai artisna aesir A TE TANN RTEA 16 Sit es Internete assein inaia a a i de a EAR A VA TE AAR Ea E ARE Stat 17 A retenir dans le quotidien des ASR sssssssssrssssstittrtsrttttt artnr ttnan A Ar EEEENEEREENEE EEEE EEEE EEEE Et 18 l En g n ral iior etie ior E E INRA REE eraa ra is AEAN E ESS 18 2 Charte web logs messagerie crypto ttrt ttantta rnr nn nnnrnt 18 3 Une r gl d or le tryptique information contr le action au quotidien 19 INfOM E frein ann on entente te nt Da corn ee ln er ten den ed t 19 Contr ler iris nm nn r N EAA AEA LA EANA en eaaa a at eaa a a ee
41. rudences pour illustrer l obligation d informer et de S curiser Jurisprudence CNRS 1996 e Le jugement est sur le lien http www legalis net breves article php3 id_article 107 e lIln y a pas de r sum c est la raison pour laquelle il n est pas repris dans ce document et le jugement rendu est exceptionnel Ce qui est retenir plus globalement c est qu on ne peut pas traduire modifier adapter transformer arranger reproduire repr senter et diffuser une oeuvre sans le consentement de son auteur A la seule exception 1 d une utilisation des fins priv es comme la repr sentation dans le cercle de famille 2 d une revue de Presse 3 d une courte citation Jurisprudence TATI 2001 R sum du jugement http www legalis net breves article php3 id_article 936 Fraude informatique l animateur de kitetoa com relax 04 11 2002 L animateur du site kitetoa com condamn en premi re instance pour acc s frauduleux dans un traitement automatis de donn es vient d tre relax par la cour d appel de Paris le 30 Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 8 24 octobre 2002 Le juges ont ainsi suivi les r quisitions du parquet g n ral de la cour de Paris qui avait demand l infirmation du jugement TGI de Paris du 13 f vrier 2002 Pour le procureur g n ral le caract re frauduleux de la manipulation n a pas t tabli par la proc dure Le
42. s Jeboycottedanone com et Greenpeace dans lesquels les juges avaient estim que le droit constitutionnel la libert d expression primait sur le droit des marques Le cr ateur des pages personnelles a donc t condamn payer la soci t Escota 1 de dommages int r ts et supporter les frais de publication de cette condamnation hauteur de 8 000 maximum devra en outre relever et garantir son ancien employeur des condamnations prononc es son encontre le tribunal ayant galement retenu la responsabilit de la soci t Lucent Technologie du fait des fautes commises par son employ Le tribunal a consid r que la faute de Nicolas B a t commise dans le cadre des ses fonctions puisque le site litigieux a t r alis sur le lieu de travail gr ce aux moyens fournis par l entreprise D s lors il importe peu que le salari ait agi en dehors de ses attributions professionnelles et sans autorisation de son employeur e D tail du jugement Jurisprudence ESPCI 1998 Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 9 24 Le r sum http legalis net breves article php3 id article 1007 Pas de cybersurveillance l insu des personnes 25 12 2001 La d cision de la cour d appel de Paris du 17 d cembre 2001 sur une affaire relative au secret d au courrier lectronique dans le cadre d une mission d enseignement fai
43. s et donc peu de recul jurisprudentiel sur les nouvelles lois Sch matiquement on peut distinguer Contravention pas de prison D lit moins de 10 ans de prison Crime plus de 10 ans de prison On a obligation de d noncer les d lits et les crimes Concernant la responsabilit p nale les auteurs et les complices sont punis de la m me peine Pour tre poursuivi il faut 1 l ment l gal un texte du Code p nal 1 l ment mat riel 1 faute 1 l ment psychologique avoir eu conscience de commettre une faute D pend du P nal notamment e Contrefa on e diffamation e Injures e Racisme e R visionnisme e incitation e ouverture correspondance priv es e intrusion SI e Alt ration SI e Modification Suppression de donn es preuves e Mise disposition e Enregistrement audio vid o sans autorisation e Diffusion et stockage d image caract re p do e non d claration la CNIL e pas de notices L gale sur site Web e Attention en mati re de SI Les r les sont renvers s e si infraction p nale traditionnelle par exemple un intrus dans une maison a n est pas quelqu un de dire qu il y a un intrus chez moi quelqu un qui entre sans autorisation dans une maison n est pas chez lui et est consid r comme un intrus e Dans le cadre d un SI l ASR doit apporter la preuve qu il y a un intrus et qu il a mis les moyens en oeuvre pour sp cifier que c est un intrus
44. s par mois sur un th me changer les meilleures techniques dans les TICE Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 6 24 2 Le webmaster crit un article sur comment ne pas payer sur l internet et cite des logiciels qui g n rent des num ros de cartes bleues bidon Il dit que ce n est pas bien mais donne sur son site 2 liens sur 2 logiciels Dans le magazine Que Choisir l article appara t et l auteur est cit comme un voyou Cyberlex demande au magasine Que Choisir de retirer l article ou d avoir un droit de r ponse qui est refus Le pr sident de Cyberlex intente une action en justice pour diffamation contre Que choisir et le webmestre une action pour contrefa on Conclusion L association a finalement t consid r e comme coupable de n gligence fautive n ayant pas sp cifi de r gles de v rification des articles mettre en ligne Le jugement donne raison Que Choisir on est dans un cas d imprudence et de n gligence fautive de la part de Cyberlex qui a laiss des liens vers des sites de pirates qui malgr l objectif p dagogique ont t jug s comme une incitation au d lit Il aurait pu tre accus de complicit faute p nale Le jugement a eu lieu en r f r donc la contrefa on n a pas t trait e Responsabilit et SSI On a renvers la donne en mati re de politique de s curit des Syst
45. s sur les services les interruptions du r seau de l ext rieur des statistiques de virus spams d bits r seau infection PC un bilan d activit annuel du service une rubrique S curit dans l intranet de notre site web Contr ler Mettre en place les outils n cessaires pour e param trer les logs sur la dur e maximale l gale pour les services demand s e pour des statistiques sur le d bit les sites consult s la consultation du site du labo la place occup e sur les disques e avoir des remont es en cas probl me Agir e L ASR est tenu d assurer la S curit syst me du site passer les correctifs e Si un correctif de s curit n a pas t pass et qu il y a eu un incident grave comme la s curit syst me est le fait des ASR pour ne pas tre responsable il faudra prouver par exemple qu il tait en vacances et qu il n y avait pas de redondance humaine pr vue e Pour maintenir la continuit des services communs pour s curiser ex cuter les patchs en cas d urgence ou de crise C est assez subjectif et c est selon les Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 19 24 circonstances Alors que faire en cas de probl me tout d abord essayer d en avoir une id e pr cise et s il a une incidence grave sur le fonctionnement du service Prendre conseil aupr s du RSSI En parler a la direction et agir en cons quence Ce qui
46. t l objet d un pourvoi en cassation L tudiant avait port plainte contre les dirigeants de l Ecole sup rieure de chimie qui taient intervenus sur sa bo te aux lettres pour conforter un certain nombre de soup ons qu ils d veloppaient son encontre Le TGI de Paris les avaient condamn s le 2 novembre 2000 pour violation du secret des correspondances effectu e par voie de t l communications par personne charg e d un service public des demandes respectives de 10 000 F et 5 000 F ainsi qu une somme globale de 10 000 F titre de dommages int r ts La cour d appel a confirm le statut de correspondance priv e du mail Mais la complexit de l affaire et les circonstances troubl es du d lit ont t prises en compte pour conduire une r formation des peines assorties de sursis L tudiant a t invit faire valoir son pr judice aupr s d une juridiction administrative Cette d cision va dans le m me sens que bien d autres sur ce sujet des mesures de surveillance prises l insu de la personne sont illicites et seul le juge a autorit pour faire ouvrir un courrier personnel Les circonstances de s curit informatique ne sauraient constituer elles seules des l ments justifiant des empi tements sur la vie priv e de l individu D tail du jugement http www legalis net jurisprudence decision php3 id_article 1182 Jurisprudence administrateur Un ASR a t licenci pour avoir t l c
47. t le livret pouvant tre r vis s r guli rement et la proc dure en est simplifi e pas de re validation devant un conseil de laboratoire ou d administration Le livret des proc dures est une d clinaison technique de la charte e Exemple 1 Charte L utilisateur doit se conformer aux dispositifs mis en place pour lutter contre les virus et les programmes Livret technique toute machine connect e au r seau doit comporter un antivirus jour Les machines g r es par le service informatique sont automatiquement reli es au serveur antivirus e Exemple 2 Charte il lui appartient de prot ger ses donn es en utilisant diff rents moyens de sauvegardes individuels ou mis sa disposition Livret technique expliquer ce qui est sauvegard la fr quence comment r cup rer ce qu on a d truit par erreur e Exemple 3 Charte il doit choisir des mots de passe s r Livret technique citer la note du CERTA sur le choix d un mot de passe Pr ciser qu un renouvellement automatique annuel est programm e Pour mettre en place les documents cit s ci dessus des supports et des moyens sont n cessaires comme les IRP les Instances Repr sentatives du personnel la commission amp L Informatiques et Libert le contrat clic qui fait r f rence au bouton agree la fin d un texte lire Sont n cessaires galement l information la formation l assistance et la m diation Concernant la chart
48. tifs contre les t l chargements pirates e Responsabilit professionnelle La clart des missions la mise en place de r f rentiels Sch ma directeur charte recueil des proc dures guide utilisateur et le respect de normes et des r gles de l art participent la qualit professionnelle e La responsabilit personnelle est engag e dans quelques cas comme refus ill gitime d accomplir un acte ou manquement une obligation Par exemple si on t l charge massivement des donn es titre personnel notre responsabilit personnelle est engag e e On peut d l guer une responsabilit p nale quelqu un Par exemple un chef d Entreprise d l gue sa responsabilit un chef de chantier e Il n y a pas de d l gation P nale en Droit Administratif gt Le Directeur d Unit ne peut pas d l guer sa responsabilit sur le plan P nal e L acte de D l gation DOIT d finir ce sur quoi on fait porter la D l gation Si on n a pas les moyens d appliquer correctement une politique de s curit il faut l indiquer PAR ECRIT Pour agir efficacement il me faut e On peut d finir une charte bas e sur le principe de l thique r gle de bonne conduite ou celui de la r gulation qui suppose une proc dure de mise en place pr cise On obtient au niveau du droit respectivement un code ou un encadrement dans ce cas la charte est annex e au r glement int rieur Dans le cas d une charte
49. u support papier de la formation 1 Panorama de la responsabilit On se trouve en pr sence de diff rents environnements juridiques Il faut parler des responsabilit s eu gard la S curit du Syst me d Information Dans ce cadre seules les responsabilit civiles et p nales sont couramment invoqu es e Responsabilit civile o avec contrat Loi des diff rentes parties diffamation contrefa on etc o hors contrat e Responsabilit P nale e Responsabilit Administrative Elle est surtout utilis e pour les sanctions disciplinaires Elle est peu impliqu e dans le cadre de la SSI on ne trouve aucune jurisprudence actuellement en responsabilit administrative dans les SSI Un exemple de juridiction civile en 1996 un site web personnel a t cr par quelqu un qui affichait des uvres de Brel et Sardou gt contrefa on gt Juridiction Civile idem pour le cas de contrefa on concernant le recueil de po mes de Raymond Queneau 1000 milliards de po mes les l ments fautifs sont des l ments du civil contrefa on Une faute p nale est civile Une faute civile n est pas forc ment p nale L attaquant choisi soit il attaque en civil il recherche de r paration d un pr judice subit ou en p nal il recherche la punition Dans ce dernier cas il peut ensuite attaquer en civil Au niveau p nal toute personne a l obligation de d noncer un crime et d intervenir
50. v fr affichCodeArticle do jsessionid 836251FC3C56DBOAOD74 C1C931C22FDB tpdjo17v_3 idArticle LEGIARTIO00006418322 amp cidTexte LEGITEXTOO00 006070719 amp dateTexte 20080523 Le fait d acc der ou de se maintenir frauduleusement dans tout ou partie d un syst me de traitement automatis de donn es est puni de deux ans d emprisonnement et de 30000 euros d amende Lorsqu il en est r sult soit la suppression ou la modification de donn es contenues dans le syst me soit une alt ration du fonctionnement de ce syst me la peine est de trois ans d emprisonnement et de 45000 euros d amende Un rappel sur les articles du code p nal 323 1 323 2 323 3 323 4 o sont r prim s l acc s frauduleux la tentation elle m me est punissable o le maintien sur un syst me l entrave au fonctionnement o l introduction la suppression la modification de donn es o mais galement la mise disposition de tout dispositif permettant de le faire contrefa on diffamation injures racisme r visionnisme incitation ouverture de correspondance priv es enregistrement audio vid o sans autorisation diffusion et stockage d image p dophile la non d claration la CNIL pas de notice l gale sur Formation juridique mars et avril 2008 R seaux r gionaux AsrNormandie Cesar et X Stra Page 13 24 6 site Web Un huissier ne peut pas venir de sa propre volont c est sur d cision de justice Donn es personnelles Util
Download Pdf Manuals
Related Search