Académique Documents
Professionnel Documents
Culture Documents
Quelles sont les obligations qui contraignent les entreprises scuriser leurs
systmes dinformation ?
Face une matire juridique vaste et volutive, les entreprises doivent sinformer en
permanence. Le Forum des Comptences a souhait laborer un document de
synthse pour leur permettre de connatre plus aisment les diffrents textes
lgislatifs et rglementaires applicables aux systmes dinformation.
Fiche n 1
A jour au 4-12-2010
Thme : Cloud computing
sous-traitant importateur des garanties suffisantes vie prive et des liberts et droits
de scurit. Il faut donc veiller cette conformit fondamentaux des personnes l'gard du
lgale ainsi qu lencadrement de toute traitement dont ces donnes font l'objet ou
ventuelle sous-traitance par le prestataire dj peuvent faire l'objet.
lui-mme sous-traitant. Le caractre suffisant du niveau de protection
assur par un tat s'apprcie en fonction
La disponibilit des donnes est lautre lment notamment des dispositions en vigueur dans
dterminant du cloud computing, imposant de se cet tat, des mesures de scurit qui y sont
proccuper de la disponibilit aux personnes appliques, des caractristiques propres du
autorises par lentreprise, en fonction des traitement, telles que ses fins et sa dure, ainsi
niveaux de scurit, mais galement des que de la nature, de l'origine et de la
conditions de la rversibilit. destination des donnes traites.
Or, un certain nombre de solutions de cloud
computing sont encore proposes sous forme de
contrat dadhsion ne permettant parfois pas
dobtenir toute la visibilit ncessaire, que ce soit
en terme dengagements pris ou de prcisions sur
les lieux exacts de stockage.
Explications
Le cloud computing doit garantir une continuit daccs et une scurisation adquate des donnes
et externalises par les seules personnes habilites par le client pendant toute la dure du contrat de
prestation.
Les donnes externalises doivent tre conserves en assurant leur intgrit et selon leurs niveaux
de scurit et leurs spcificits (art. 34 de la loi Informatique et Liberts pour les donnes
caractre personnel et/ou rglement n97-02 modifi pour le secteur bancaire par exemple).
En tout tat de cause, cest le responsable de traitement qui reste responsable de la scurit des
et donnes ainsi que plus gnralement du respect de la loi de 1978, quil ait fait le choix de recourir
solution de cloud computing ou quil ait laiss un de ses sous-traitants y recourir pour le
une
traitement de ses donnes.
Lhbergement des donnes peut tre effectu hors de France et doit alors rpondre aux rgles de
flux transfrontaliers des donnes ainsi qu la loi du pays dhbergement.
En pratique, en encadrement contractuel strict de ces obligations doit tre assur, suivi de la mise
en uvre effective daudits rguliers et impliquant la correction des points dinsatisfaction relevs.
Analyse
(mesures pratiques, nature des risques)
Mesures pratiques :
Approche prospective
Le cloud computing prend souvent la forme dun contrat de sous-traitance la demande qui peut
conduire un stockage des donnes hors de lUnion europenne. Il faut donc privilgier les
prestataires proposant des solutions restant strictement dans le cadre de lUnion Europenne (pas de
cloud mondial) et, dfaut, sassurer que le prestataire garantisse contractuellement, et quoiquil
arrive, le suivi de mesures de protection au moins quivalentes celles en vigueur au sein dans
lUnion Europenne.
Lusage de solution danonymisation irrversible est prconiser chaque fois que cela est possible
afin de transformer les donnes caractre personnel en donnes non identifiantes et qui ne
donnent, ds lors, plus lieu application des lgislations ad hoc.
cet gard, il peut tre dcid par le responsable de traitement (client) que la gestion des donnes
les plus sensibles restera en interne ou que le cloud computing sera limit en tendue (cloud interne
lentreprise, cloud interne au prestataire, cloud limit des ressources localises gographiquement,
etc.). Cest pourquoi lentreprise qui envisage dexternaliser ses donnes doit valuer au pralable les
diffrents niveaux de scurit de ses donnes.
Les conditions de rversibilit sont galement essentielles, car elles vitent au client dtre
techniquement dpendant de son prestataire et assurent la continuit du service sans remise en
cause des niveaux de services attendus. Elles doivent donc tre trs prcises.
De plus, et pour garantir le respect par le prestataire de la convention de niveaux de service qui dfinit
la qualit et les performances du cloud computing, une clause de pnalit prvoyant un montant lev
est envisager.
La pertinence et lexhaustivit des garanties contractuelles apportes par le prestataire doivent tre un
critre de choix au moins aussi important que le cot propos pour laccomplissement de la prestation,
compte tenu des risques encourus en cas de traitement de donnes caractre personnel.
Dautant plus que dimportants travaux lgislatifs sont en cours en France concernant la loi de 1978 et
notamment lobligation de scurit issue de lart. 34 : ces travaux, une fois achevs, pourront donc
conduire une mise jour de la prsente fiche. Ils risquent en effet dimposer une stricte obligation de
notification des incidents de scurit concernant les donnes traites par le responsable de
traitement, obligation qui simposera galement si un tiers a eu accs aux donnes alors quelles
taient dans le nuage (v. fiche. Obligation de notification des incidents de scurit ).
Fiche n 2
A jour au 4-12-2010
Thme : Externalisation
Article 37-2
Les entreprises assujetties qui externalisent des prestations de services ou dautres tches
oprationnelles essentielles ou importantes, au sens des q et r de larticle 4, demeurent pleinement
responsables du respect de toutes les obligations qui leur incombent et se conforment en particulier
aux conditions suivantes:
1. a) Lexternalisation nentrane aucune dlgation de la responsabilit de lorgane excutif ;
b) Les relations de lentreprise assujettie avec ses clients et ses obligations envers ceux-ci ne
Obligations en matire de scurit des systmes dinformation
3. Les entreprises assujetties sassurent, dans leurs relations avec leurs prestataires externes, que
ces derniers :
a) Sengagent sur un niveau de qualit rpondant un fonctionnement normal du service et, en cas
dincident, conduisant recourir aux mcanismes de secours mentionns au point c ;
b) Assurent la protection des informations confidentielles ayant trait lentreprise assujettie et ses
clients ;
c) Mettent en uvre des mcanismes de secours en cas de difficult grave affectant la continuit
du service ou que leur propre plan de continuit tient compte de limpossibilit pour le prestataire
externe dassurer sa prestation ;
d) Ne peuvent imposer une modification substantielle de la prestation quils assurent sans laccord
pralable de lentreprise assujettie ;
e) Se conforment aux procdures dfinies par lentreprise assujettie concernant lorganisation et la
mise en uvre du contrle des services quils fournissent ;
f) Leur permettent, chaque fois que cela est ncessaire, laccs, le cas chant sur place, toute
information sur les services mis leur disposition, dans le respect des rglementations relatives
la communication dinformations ;
g) Les informent de tout vnement susceptible davoir un impact sensible sur leur capacit
exercer les tches externalises de manire efficace et conforme la lgislation en vigueur et aux
exigences rglementaires ;
h) Acceptent que la Commission bancaire ou toute autre autorit trangre quivalente au sens
des articles L. 632-7, L. 632-12 et L. 632-13 du Code montaire et financier susvis ait accs aux
informations sur les activits externalises ncessaires lexercice de sa mission, y compris sur
place.
Si lune ou les deux conditions mentionnes ci-dessus ne sont pas remplies, le prestataire de
services dinvestissement ne peut externaliser le service de gestion de portefeuille en le confiant
un prestataire de services situ dans un tat non partie lEspace conomique europen quaprs
avoir notifi le contrat dexternalisation la Commission bancaire. A dfaut dobservations par la
commission dans un dlai de trois mois compter de la notification, lexternalisation envisage par
le prestataire de services dinvestissement peut tre mise en uvre.
Obligations en matire de scurit des systmes dinformation
Article 35
Les donnes caractre personnel ne peuvent faire lobjet dune opration de traitement de la part
dun sous-traitant, dune personne agissant sous lautorit du responsable du traitement ou de celle
du sous-traitant, que sur instruction du responsable du traitement.
Toute personne traitant des donnes caractre personnel pour le compte du responsable du
traitement est considre comme un sous-traitant au sens de la prsente loi.
Le sous-traitant doit prsenter des garanties suffisantes pour assurer la mise en uvre des
mesures de scurit et de confidentialit mentionnes larticle 34. Cette exigence ne dcharge
pas le responsable du traitement de son obligation de veiller au respect de ces mesures.
Article 68
Le responsable dun traitement ne peut transfrer des donnes caractre personnel vers un tat
nappartenant pas la Communaut europenne que si cet tat assure un niveau de protection
suffisant de la vie prive et des liberts et droits fondamentaux des personnes lgard du
traitement dont ces donnes font lobjet ou peuvent faire lobjet.
Le caractre suffisant du niveau de protection assur par un tat sapprcie en fonction notamment
des dispositions en vigueur dans cet tat, des mesures de scurit qui y sont appliques, des
caractristiques propres du traitement, telles que ses fins et sa dure, ainsi que de la nature, de
lorigine et de la destination des donnes traites.
Article 69
Toutefois, le responsable dun traitement peut transfrer des donnes caractre personnel vers
un tat ne rpondant pas aux conditions prvues larticle 68 si la personne laquelle se
rapportent les donnes a consenti expressment leur transfert ou si le transfert est ncessaire
lune des conditions suivantes :
1 A la sauvegarde de la vie de cette personne ;
2 A la sauvegarde de lintrt public ;
3 Au respect dobligations permettant dassurer la constatation, lexercice ou la dfense dun droit
en justice ;
4 A la consultation, dans des conditions rgulires, dun registre public qui, en vertu de
dispositions lgislatives ou rglementaires, est destin linformation du public et est ouvert la
consultation de celui-ci ou de toute personne justifiant dun intrt lgitime ;
5 A lexcution dun contrat entre le responsable du traitement et lintress, ou de mesures
prcontractuelles prises la demande de celui-ci ;
6 A la conclusion ou lexcution dun contrat conclu ou conclure, dans lintrt de la personne
concerne, entre le responsable du traitement et un tiers.
Il peut galement tre fait exception linterdiction prvue larticle 68, par dcision de la
Commission nationale de linformatique et des liberts ou, sil sagit dun traitement mentionn au I
ou au II de larticle 26, par dcret en Conseil dtat pris aprs avis motiv et publi de la
commission, lorsque le traitement garantit un niveau de protection suffisant de la vie prive ainsi
que des liberts et droits fondamentaux des personnes, notamment en raison des clauses
contractuelles ou rgles internes dont il fait lobjet.
Article 70
Si la Commission des Communauts europennes a constat quun tat nappartenant pas la
Communaut europenne nassure pas un niveau de protection suffisant lgard dun transfert ou
dune catgorie de transferts de donnes caractre personnel, la Commission nationale de
linformatique et des liberts, saisie dune dclaration dpose en application des articles 23 ou 24
Obligations en matire de scurit des systmes dinformation
et faisant apparatre que des donnes caractre personnel seront transfres vers cet tat,
dlivre le rcpiss avec mention de linterdiction de procder au transfert des donnes.
Lorsquelle estime quun tat nappartenant pas la Communaut europenne nassure pas un
niveau de protection suffisant lgard dun transfert ou dune catgorie de transferts de donnes,
la Commission nationale de linformatique et des liberts en informe sans dlai la Commission des
Communauts europennes. Lorsquelle est saisie dune dclaration dpose en application des
articles 23 ou 24 et faisant apparatre que des donnes caractre personnel seront transfres
vers cet tat, la Commission nationale de linformatique et des liberts dlivre le rcpiss et peut
enjoindre au responsable du traitement de suspendre le transfert des donnes. Si la Commission
des Communauts europennes constate que ltat vers lequel le transfert est envisag assure un
niveau de protection suffisant, la Commission nationale de linformatique et des liberts notifie au
responsable du traitement la cessation de la suspension du transfert. Si la Commission des
Communauts europennes constate que ltat vers lequel le transfert est envisag nassure pas
un niveau de protection suffisant, la Commission nationale de linformatique et des liberts notifie
au responsable du traitement linterdiction de procder au transfert de donnes caractre
personnel destination de cet tat.
Analyse
(mesures pratiques, nature des risques)
Lexternalisation a pour vocation de transfrer certaines activits vers un prestataire externe. Elle
permet de profiter selon les cas dun apport dexpertise par une socit tierce spcialise, dune plus
grande flexibilit et dun meilleur contrle des cots.
Les mcanismes dexternalisation peuvent impliquer ou non une dlocalisation des services (on
parlera dans ce second cas d offshoring ou de near shoring en fonction de la distance.
Activit bancaire
Les tablissements entrant dans le champ dapplication du rglement n97-02 du 21 fvrier 1997
modifi relatif au contrle interne des tablissements de crdit et des entreprises dinvestissement
devront donc mettre en place, en ce qui concerne lexternalisation de prestations essentielles :
- Des mcanismes de scurisation des systmes dinformation au sens large ;
- Un plan de continuit dactivit ;
- Llaboration de manuels de procdures.
Dans le cadre de la prestation externalise ces obligations devront, en tout ou en partie, tre mises la
charge du prestataire (notamment par le biais contractuel). Quoi quil en soit, la responsabilit en cas
de dfaillance du prestataire restera sur les paules de ltablissement bancaire.
Les obligations prvues par la loi Informatique et Liberts, et notamment son article 34 imposant une
obligation gnrale de scurisation des donnes caractre personnel traites par lentreprise,
devront tre reportes sur le prestataire. Larticle 35 de la loi Informatique et Liberts dispose
cependant que lentreprise externalisant son activit auprs dun prestataire reste pleinement
responsable des manquements de son prestataire.
Ce principe est identique celui nonc par le rglement n97- 02 du 21 fvrier 1997 :en sous-traitant
ses activits, lentreprise ne dlgue en rien sa responsabilit. En ralit, elle dlgue le traitement
dune tche mais conserve la pleine et entire responsabilit du bon accomplissement de cette tche
ralise par son sous-traitant.
Par ailleurs, lexternalisation peut intervenir auprs de prestataires situs en dehors du territoire
national. Dans ce cas particulier, il conviendra de prendre une attention particulire aux dispositions de
la loi informatique et Liberts applicables en matire de transfert des donnes caractre personnel
vers ltranger.
Le principe dict par la loi est que les transferts dun pays de lUnion europenne vers des pays situs
en dehors de l'Union europenne sont interdits. Cette interdiction peut tre leve dans certains cas :
Si le transfert a lieu vers un pays reconnu comme "adquat" par la Commission europenne.
(cas du Canada, de la Suisse, de l'Argentine, des territoires de Guernesey, de Jersey et de l'le
de Man) ou,
Obligations en matire de scurit des systmes dinformation
Les sanctions encourues en cas de non respect des rgles en matire de transferts sont de 300 000
damende et de 5 ans demprisonnement. (Articles 226-16, 226-16 A et 226-22-1 du Code pnal).
La CNIL met la disposition des entreprises un guide relatif aux transferts internationaux de donnes
disponible ladresse suivante :
http://www.cnil.fr/fileadmin/documents/Vos_responsabilites/Transferts/GUIDE-transferts-integral.pdf
Lorsque des changes entre le prestataire et lentreprise ont lieu, la mise en place de moyens
permettant dassurer la confidentialit de ces changes devra tre assure (moyens de cryptographie,
etc.). A ce titre, il est important de vrifier que les dispositions lgales rgulant la cryptographie dans le
pays de lmetteur, comme dans celui du destinataire, ne viennent pas limiter ou interdire lutilisation
de ces moyens de chiffrement.
Le contrat dexternalisation devra fixer les obligations de chacune des parties, encadrer principalement
lensemble des points discuts ci-dessus ou encore prvoir des clauses daudit des prestations
ralises (et notamment de leurs conditions de scurisation).
Approche prospective
N/A
Fiche n 3
A jour au 4-12-2010
Thme : Gestion du risque des systmes dinformation
(Analyse de risques)
Explications
Lapprciation du risque
Il sagit bien danalyser le risque (la loi n78-17 parle des risques prsents par le traitement ) et
de dterminer lobjectif de scurit (le rglement n97-02 parle de dterminer le niveau de
scurit informatique jug souhaitable .)
Comment sapprcie ce risque ? En fonction des donnes concerns (la loi n78-17 prcise au
regard de la nature des donnes ) et des consquences pour lentreprise que pourrait avoir la
ralisation dun risque (le rglement n97-02 voque les exigences [des] mtiers de
lentreprise).
Obligations en matire de scurit des systmes dinformation
Lanalyse de risques se fonde classiquement (depuis le Livre blanc sur la scurit des systmes
dinformation dans les tablissements de crdit labor en 1996 par la Commission bancaire avec
laide du Forum des Comptences) sur ltude de la sensibilit du systme dinformation considr
sous langle des quatre facteurs de scurit DICP : Disponibilit (D), Intgrit (I), Confidentialit (C),
Preuve et contrle (P).
La disponibilit est voque de manire indirecte par les dispositions du rglement n97-02
(articles 14 et 14-1)
Lintgrit : la loi n78-17 voque les donnes qui pourraient tre dformes, endommages .
Le rglement n97-02 voque aussi ce facteur en notant (article 14) que En toutes circonstances
sont prserves lintgrit et la confidentialit des informations . Il a dvelopp indirectement la
notion dintgrit dans larticle 13 : Les entreprises assujetties sassurent de lexhaustivit, de la
qualit et de la fiabilit des informations .
La confidentialit : la loi n78-17 voque le cas o des tiers non autoriss [auraient] accs
aux donnes. Le rglement n97-02 voque aussi ce facteur en notant (article 14) que En toutes
circonstances sont prserves lintgrit et la confidentialit des informations
La preuve : larticle 12 du rglement n97-02, prcisant que la piste daudit doit permettre de
reconstituer dans un ordre chronologique les oprations et de justifier toute information par une
pice dorigine partir de laquelle il doit tre possible de remonter par un cheminement
ininterrompu au document de synthse et rciproquement dfinit les exigences en matire de
traabilit.
Les mesures de scurit sont voques dans cette phrase du rglement n97-02 : Elles veillent
au niveau de scurit retenu et ce que leurs systmes dinformation soient adapts .
Ce sont les prcautions utiles quest tenu de prendre le responsable du traitement selon la loi
n78-17.
La CNIL a, dune certaine manire, prcis ce quelle entendait par prcautions utiles en
publiant le 12 octobre 2009 ses 10 conseils pour scuriser votre systme dinformation .
La CNIL a galement publi le 7 octobre 2010, l'occasion des Assises de la Scurit, le guide
La scurit des donnes personnelles abordant sous forme de fiches 17 points dattention
diffrents. Il est prcis dans ce guide quun document plus labor est en cours de prparation.
Analyse
(mesures pratiques, nature des risques)
Mesures pratiques :
Scuriser insuffisamment, donc exposer lentreprise des risques dont loccurrence pourrait
tre lourde de consquences (dont des risques rglementaires : non respect du rglement 97-
02) ;
Ou au contraire trop scuriser ou faire de mauvais choix, ce qui revient grever indment
lactivit commerciale et engager des dpenses l o elles ne sont pas les plus utiles,
ventuellement au dtriment dinvestissements plus ncessaires.
Inciter ne pas porter plainte en cas dintrusion sur le SI non protg. En effet, lart. 226-17 du
Code pnal renvoyant lart. 34 de loi de 1978, applicable en cas de protection insuffisante de
donnes caractre personnel, prvoit une sanction de 5 ans demprisonnement et de
1 500 000 damende au maximum pour lentreprise qui ne laurait pas respect
Obligations en matire de scurit des systmes dinformation
Mais mme en cas daction en justice contre celui qui aurait attent la scurit du SI, le
dfaut de scurisation du SI de lentreprise peut conduire minimiser voire exclure la
responsabilit du responsable, y compris au plan pnal. En effet, mme si jurisprudence de la
Cour de cassation (Cass. Crim. 7 nov. 2001, Cass. Crim. 6 mai 2009) pose en principe quen
cas de dlit intentionnel envers les biens (introduction frauduleuse dans un SI, abus de
confiance, etc.), il ne peut y avoir de partage de responsabilit entre lauteur et la victime de ce
dlit qui n'aurait commis au pire que des dlits non intentionnels (ngligences, etc.), certains
tribunaux nhsitent pas dcider linverse. Voir notamment le jugement du tribunal
correctionnel de Versailles du 18 dcembre 2007 ayant diminu, malgr labus de confiance du
condamn, les dommages et intrts de la victime de 150 000 7 000 (en lespce, labus
de confiance concernait des documents lectroniques hautement confidentiels abusivement
copis par une stagiaire dans une entreprise et apparemment transmis des tiers).
Approche prospective
N/A
Fiche n 4
A jour au 4-12-2010
Thme : Contrle permanent de lexistant SI
Mme sil a fait lobjet dune analyse de risques Rglement n97-02 du 21 fvrier 1997
initiale en phase projet, un systme dinformation modifi, relatif au contrle interne des
voit sa scurit voluer au fil du temps, du fait tablissements de crdit et des entreprises
de diffrents phnomnes tels que : dinvestissement (souvent appel le rglement
97-02 )
Le vieillissement de certains de ses
composants techniques (quils soient
logiciels ou matriels) qui peuvent tre Code montaire et financier, article L. 533-2
frapps dobsolescence, ne plus tre
maintenus ou supports, ne plus faire
lobjet de correctifs de scurit en cas de
dcouverte de vulnrabilits ;
Le dveloppement des menaces, qui
impose de se prmunir contre des risques
jusqualors inconnus ;
Le durcissement de la rglementation, qui
impose de prendre de nouvelles
prcautions.
Explications
Analyse
(mesures pratiques, nature des risques)
Mesure pratiques :
De scans de vulnrabilits (particulirement sur les sites internet, o ils doivent tre mens
une frquence adapte au rythme dapparition des vulnrabilits) qui identifient les
composants logiciels vulnrables
De tests dintrusion applicatifs, qui tentent dexploiter les failles des applications
De tests dintrusion systmes et rseaux, qui tentent dexploiter les failles des systmes
dexploitation, des logiciels de base, des composants rseau
Daudits dinfrastructure, la fois sur le plan physique et sur le plan logique
De revues des habilitations et des droits
De revues critiques des incidents
Etc.
Tous ces contrles devront donner lieu enregistrements afin den garder la preuve (traabilit)
Outre le risque rglementaire et juridique (non respect du rglement n97-02, qui peut faire lobjet
dune sanction jusqu hauteur de 20 millions deuros et ventuellement dune publication ; non respect
du code montaire et financier, qui peut faire lobjet des sanctions prvues aux articles L. 613-21 et
L. 621-15 ; sanction administrative, voire pnale [et assortie dune publication], dune infraction la loi
Informatique & Liberts, passible dune peine demprisonnement de cinq ans et dune amende pouvant
aller, pour une personne morale, jusqu 1 500 000 ), il y a le risque dune atteinte la scurit du
systme dinformation, lintgrit ou la confidentialit des donnes, do pertes financires, atteinte
limage, etc.
Approche prospective
N/A
Fiche n 5
A jour au 4-12-2010
Thme : Pratique des contrats
Le contrat est une convention par laquelle une Code civil, livre III, et notamment les titres
ou plusieurs personnes sobligent, envers une ou suivants : titre III - Des contrats ou des
plusieurs autres, donner, faire ou ne pas obligations conventionnelles en gnral, titre
faire quelque chose. Art. 1101 du Code civil VI - De la vente, titre VIII - Du contrat de
louage douvrage et titre X - Du prt
La problmatique traite ici vise expliciter
comment la pratique des contrats peut contribuer
la scurisation des systmes dinformation.
Article 35 de loi n 78-17 du 6 janvier 1978
modifie relative linformatique et aux
liberts
Explications
La thorie des contrats est issue des dispositions du Code civil. Les principes majeurs sont que les
cocontractants
(personnes physiques ou morales) ont la libert de crer des droits et obligations
rciproques, dans le respect du cadre lgal et rglementaire. Les nombreuses rgles du Code civil
encadrent la formalisation des contrats, en fonction de la nature des prestations et de la qualit des
contractants. Ces rgles imposent des limites la libert de contracter, issues par exemple du droit
de la consommation, du droit social ou lies des activits rglementes.
Le consentement des parties portera sur une chose (achat, location, prestation de services, etc.) et
un prix, lments ncessaires pour former un contrat. Toutes les autres conditions contribueront
la description la plus exacte des engagements de chacun, notamment en termes de scurit,
qualit, etc.
Les donnes caractre personnel ne peuvent faire l'objet d'une opration de traitement de la
part d'un sous-traitant, d'une personne agissant sous l'autorit du responsable du traitement ou
de celle du sous-traitant, que sur instruction du responsable du traitement. Toute personne
traitant des donnes caractre personnel pour le compte du responsable du traitement est
considre comme un sous-traitant au sens de la prsente loi. Le sous-traitant doit prsenter
des garanties suffisantes pour assurer la mise en uvre des mesures de scurit et de
confidentialit mentionnes l'article 34. Cette exigence ne dcharge pas le responsable du
traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant
au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en
matire de protection de la scurit et de la confidentialit des donnes et prvoit que le sous-
traitant ne peut agir que sur instruction du responsable du traitement.
Obligations en matire de scurit des systmes dinformation
Analyse
(mesures pratiques, nature des risques)
De manire gnrale, lobjectif du contrat est de formaliser les droits et obligations des partenaires dun
projet. Les contrats peuvent contribuer la scurisation du systme dinformation, quand leur
prparation et leur suivi sont adapts au projet concern.
Ces lments visant encadrer et limiter les risques seront issus de lanalyse des risques pralable,
afin de permettre la mise en place de mesures adaptes au SI.
Cette tche dlaboration du contrat correspond une mission pluridisciplinaire, pour laquelle la
coopration des mtiers concerns, des juristes et du RSSI est ncessaire. La phase contractuelle
reprsente une opportunit dchanger quant aux limites du systme concern, au niveau de risque
acceptable et la continuit de lactivit.
La prparation dun contrat relatif au systme dinformation est une phase de la gestion de projet,
intgrer le plus tt possible, pour permettre aux acteurs de construire des solutions techniques et
juridiques adaptes aux exigences de scurit.
La formalisation des contrats sera prendre en compte : contrat lectronique ou sous forme papier,
valeur des changes par courrier lectronique, preuve des changes, etc.
Le contrat se prvoit, sorganise et se ngocie dans un temps dfinir, avant le lancement du projet.
Aprs sa signature, il doit tre archiv de manire scurise et rester accessible pour tre consult ou
faire lobjet dventuelles adaptations (Consulter le document Vers une politique darchivage publi
en 2009 par le Forum des Comptences).
Naturellement, le contrat intgrera des clauses gnrales adapte son contexte : droit applicable,
tribunaux comptents, responsabilit, etc.
En matire de scurit des systmes dinformation, parmi les clauses les plus sensibles, figurent celles
relatives aux aspects suivants :
Scurit
Confidentialit
Donnes caractre personnel
Continuit dactivit
Convention sur la preuve
Proprit intellectuelle
Responsabilit
Assurance
Obligations en matire de scurit des systmes dinformation
Qualit
Respect des normes
Rversibilit
Auditabilit par la socit ou une autorit de contrle
Disponibilit du SI, maintenance et dlais de correction
Respect des normes
Respect des politiques internes
Contrle
Destruction des supports dinformation
Gestion des dchets dquipements lectriques et lectroniques
Approche prospective
Fiche n A
A jour au 4-12-2010
Thme : Obligation de scurit issue de la loi
Informatique et Liberts
Compte tenu des risques prsents par un Loi Informatique et Liberts n78-17 du 6
traitement automatis de donnes caractre janvier 1978, art. 34
personnel (destruction accidentelle ou illicite, Le responsable du traitement est tenu de
perte accidentelle, altration, diffusion ou accs prendre toutes prcautions utiles, au regard de
non autoris) et de la nature de ces donnes, les la nature des donnes et des risques
responsables des traitements de ces donnes prsents par le traitement, pour prserver la
sont astreints une obligation particulire de scurit des donnes et, notamment,
scurit. empcher qu'elles soient dformes,
endommages, ou que des tiers non autoriss
Il convient de noter que le responsable de
traitement, considr comme celui qui fixe la y aient accs [].
finalit et les moyens du traitement, ne peut
dlguer sa responsabilit au titre de cette Loi informatique et Liberts n78-17 du 6
obligation un quelconque sous-traitant : il reste janvier 1978, art. 35 al. 2, 3 et 4
au contraire responsable de la scurit des Toute personne traitant des donnes
traitements assurs par ce dernier et doit veiller caractre personnel pour le compte du
ce que le sous-traitant (par exemple un responsable du
prestataire de services) prsente des garanties traitement est considre comme un sous-
suffisantes en matire de scurit. traitant au sens de la prsente loi.
Le sous-traitant doit prsenter des garanties
Dans ce but, il doit encadrer contractuellement la suffisantes pour assurer la mise en uvre des
prestation de manire stricte et doit indiquer les mesures de scurit et de confidentialit
finalits et modalits du traitement quil a lui- mentionnes l'article 34. Cette exigence ne
mme fixes en tant que responsable de dcharge pas le responsable du traitement de
traitement et quil attend que respecte son sous- son obligation de veiller au respect de ces
traitant (il donne par l ces instructions , cf. , mesures.
colonne de droite). Le contrat liant le sous-traitant au responsable
du traitement comporte l'indication des
Il doit galement veiller ce que le sous-traitant obligations incombant au sous-traitant en
ne puisse dlguer sa propre prestation sauf matire de protection de la scurit et de la
lencadrer des mmes garanties et dun contrle confidentialit des donnes et prvoit que le
strict : mme dans le cas dune sous sous- sous-traitant ne peut agir que sur instruction du
traitance , le responsable de traitement reste responsable du traitement.
pleinement responsable de la scurit des
donnes caractre personnel traites (cf. fiche
n 2 Externalisation ).
Loi informatique et liberts n78-17 du 6
janvier 1978, art. 3-I.
Dans certains cas trs particuliers (relatifs la Le responsable d'un traitement de donnes
sauvegarde de la vie humaine et aux fins de caractre personnel est, sauf dsignation
mdecine prventive), cette obligation rpond expresse par les dispositions lgislatives ou
des prescriptions techniques spcifiques, fixes rglementaires relatives ce traitement, la
par dcret, tant entendu quaucun dcret na, personne, l'autorit publique, le service ou
pour le moment, t publi ce sujet. l'organisme qui dtermine ses finalits et ses
moyens.
Le non-respect de cette obligation est pnalement
sanctionn. Code pnal, art. 226-17
Le fait de procder ou de faire procder un
traitement de donnes caractre personnel
sans mettre en uvre les mesures prescrites
l'article 34 de la loi n78-17 du 6 janvier 1978
prcite est puni de cinq ans
d'emprisonnement et de 300 000 d'amende.
Obligations en matire de scurit de linformation
Explications
Lobligation de scurit vise protger les personnes contre toute atteinte aux donnes caractre
personnel les concernant et qui seraient traites, collectes ou stockes.
Cette obligation de scurit, qui est une obligation de moyen, se traduit par la mise en place de
mesures garantissant un niveau de scurit appropri, au regard de la sensibilit des donnes, de
ltat de lart et des cots engendrs.
Certaines donnes sont par ailleurs protges par le secret professionnel (secret bancaire) et ne
peuvent donc tre communiques sauf consentement du client. La scurit quil convient dassurer
ces donnes nen est que renforce.
Analyse
(mesures pratiques, nature des risques)
Mesures pratiques :
La CNIL a par ailleurs publi le 12 octobre 2009 ses 10 conseils pour scuriser votre systme
dinformation ,, quelle prsente comme un ensemble de mesures que les dtenteurs de fichiers
[de donnes caractre personnel] doivent mettre en uvre , prcisant ainsi ce que la loi entend
par prcautions utiles :
La CNIL a galement publi le 7 octobre 2010, l'occasion des Assises de la Scurit, le guide La
scurit des donnes personnelles abordant sous forme de fiches 17 points dattention diffrents. Il
est prcis dans ce guide quun document plus labor est en cours de prparation.
Par ailleurs, en pratique, le dfaut de scurisation des informations (du SI, etc.) risque
dempcher la protection juridique optimale de lentreprise qui ne pourra que partiellement
poursuivre lauteur de lintrusion : la condamnation de celui-ci pourrait tre largement
minore, notamment en terme de dommages intrts.
Obligations en matire de scurit de linformation
Approche prospective
Enfin, il est important de noter que dimportants travaux lgislatifs sont actuellement en cours
concernant la loi de 1978 et notamment lobligation issue de lart. 34 (proposant notamment la
cration dune obligation de notification des incidents, cf. fiche ad hoc) : ces travaux, une fois
achevs, pourront donc conduire une mise jour de la prsente fiche.
Fiche n 2 : Externalisation
Fiche n H : Notification des violations des donnes caractre personnel
Fiche n 1 : Cloud Computing
Fiche n 3 : Gestion du risque des systmes dinformation
Fiche n 4 : Contrle permanent de lexistant SI
Obligations en matire de scurit des systmes dinformation
Fiche n B
A jour au 4-12-2010
Thme : Obligations de scurit issues du code
montaire et financier
Article L. 533-2
Les prestataires de services d'investissement disposent de procdures administratives saines, de
mcanismes de contrle interne, de techniques efficaces d'valuation des risques et de dispositifs
efficaces de contrle et de sauvegarde de leurs systmes informatiques. []
Article L611-1
Le ministre charg de l'conomie arrte, pour les tablissements de crdit, les rgles concernant
notamment :
[]
10. Les rgles applicables l'organisation comptable, aux mcanismes de contrle et de scurit
dans le domaine informatique ainsi que les procdures de contrle interne.
Obligations en matire de scurit des systmes dinformation
Article L.133-15
I Le prestataire de services de paiement qui dlivre un instrument de paiement doit s'assurer que
les dispositifs de scurit personnaliss de cet instrument tels que dfinis l'article L. 133-4 ne sont
pas accessibles d'autres personnes que l'utilisateur autoris utiliser cet instrument. []
Article L133-4
Pour l'application du prsent chapitre :
a) Un dispositif de scurit personnalis s'entend de tout moyen technique affect par un prestataire
de services de paiement un utilisateur donn pour l'utilisation d'un instrument de paiement. Ce
dispositif, propre l'utilisateur de services de paiement et plac sous sa garde, vise l'authentifier ;
[]
c) Un instrument de paiement s'entend, alternativement ou cumulativement, de tout dispositif
personnalis et de l'ensemble de procdures convenu entre l'utilisateur de services de paiement et le
prestataire de services de paiement et auquel l'utilisateur de services de paiement a recours pour
donner un ordre de paiement ; []
Analyse
(mesures pratiques)
Pour les entreprises dinvestissement et les tablissements de crdits, les exigences du Livre V et du
Livre VI code montaire et financier sont dveloppes dans le rglement n97-02 du 21 fvrier 1997
modifi relatif au contrle interne des tablissements de crdit et des entreprises dinvestissement, prvu
par larticle L. 611-1 du code montaire et financier.
On se rfrera donc pour les mesures pratiques la fiche Rglement 97-02 .
Mais il ne faut pas oublier larticle L. 133-15 relatif la scurit des instruments de paiement scripturaux
qui simpose aux prestataires de services de paiement (dont les banques font partie). Sassurer que les
dispositifs de scurit personnaliss de ces instruments [] ne sont pas accessibles dautres
personnes que lutilisateur autoris utiliser cet instrument , cela impose, par exemple, tout un
service de virement en ligne de mettre en place une authentification suffisamment forte.
Analyse
(sanctions encourues)
Pour les entreprises dinvestissement et les tablissements de crdits, le non respect du rglement n97-
02 peut se traduire, de la part de lAutorit de contrle prudentiel, par une recommandation, une
injonction ou une mise en garde. En cas de manquement plus grave, les sanctions progressives sont
celles prvues larticle L. 612-39 :
1. l'avertissement ;
2. le blme ;
3. l'interdiction d'effectuer certaines oprations et toutes autres limitations dans l'exercice de
l'activit ;
4. la suspension temporaire d'un ou plusieurs dirigeants ;
5. la dmission d'office d'un ou plusieurs dirigeants ;
6. le retrait partiel d'agrment ;
7. le retrait total d'agrment ou la radiation de la liste des personnes agres, avec ou sans
nomination d'un liquidateur.
En ce qui concerne les dispositifs de scurit personnaliss des instruments de paiement, la Banque de
France, tant charge par larticle L. 141-4 du code montaire et financier de veille au bon
fonctionnement et la scurit des systmes de paiement, peut recommander son metteur de
prendre toutes mesures destines y remdier. Si ces recommandations n'ont pas t suivies d'effet,
elle peut, aprs avoir recueilli les observations de l'metteur, dcider de formuler un avis ngatif publi
au Journal officiel.
Obligations en matire de scurit des systmes dinformation
Approche prospective
N/A
Fiche n C
A jour au 4-12-2010
Thme : Rglement n97-02
du 21 fvrier 1997 modifi relatif au contrle interne des
tablissements de crdit et des entreprises dinvestissement
Le rglement n97-02 du 21 fvrier 1997 est entr TITRE III Lorganisation comptable et du
en vigueur le 1er octobre 1997. Il dfinit, traitement de linformation
conformment aux normes internationales, de Article 12
nouvelles rgles relatives au contrle interne qui [] En ce qui concerne linformation comprise
se substituent au dispositif antrieur fond sur le dans les comptes de bilan et de rsultats
rglement n90-08 du 25 juillet 1990. publis ainsi que les informations de lannexe
issues de la comptabilit, lorganisation mise
Ce rglement a t tabli l'origine par le Comit
en place doit garantir lexistence dun
de la rglementation bancaire et financire
ensemble de procdures, appel piste daudit,
(CRBF) et a t par la suite frquemment adapt
qui permet :
et modifi.
- de reconstituer dans un ordre
Suite la loi sur la scurit financire du 17 juillet
chronologique les oprations :
2003, ce Comit a t remplac par le Comit
- de justifier toute information par une pice
consultatif de la lgislation et de la rglementation
dorigine partir de laquelle il doit tre
financire (CCLRF). Depuis cette date, le
possible de remonter par un cheminement
rglement n97-02 a t modifi par arrts du
ininterrompu au document de synthse et
ministre des finances assist par le CCLRF.
rciproquement ;
Il convient de noter que depuis son adoption en - dexpliquer lvolution des soldes dun
1997, le rglement n97-02 fait lobjet de trs arrt lautre par la conservation des
frquentes actualisations. Cette fiche se fonde sur mouvements ayant affect les postes
le texte en vigueur la date du 19 janvier 2010. comptables. []
Article 12
Les
entreprises assujetties doivent respecter les dispositions des articles 1 6 du dcret n83-
1020 du 29 novembre 1983 susvis, en tenant compte des prcisions ci-aprs.
1. En ce qui concerne linformation comprise dans les comptes de bilan et de rsultats publis
ainsi que les informations de lannexe issues de la comptabilit, lorganisation mise en place doit
garantir lexistence dun ensemble de procdures, appel piste daudit, qui permet :
- de reconstituer dans un ordre chronologique les oprations ;
- de justifier toute information par une pice dorigine partir de laquelle il doit tre possible
de remonter par un cheminement ininterrompu au document de synthse et
rciproquement ;
- dexpliquer lvolution des soldes dun arrt lautre par la conservation des
mouvements ayant affect les postes comptables.
En particulier, les soldes des comptes qui figurent dans le plan de comptes prescrit larticle 4
du dcret prcit se raccordent, par voie directe ou par regroupement, aux postes et sous-
postes du bilan et du compte de rsultat ainsi quaux informations contenues dans lannexe ; par
exception, le solde dun compte peut tre raccord par clatement, condition que lentreprise
puisse en justifier, quelle respecte les rgles de scurit et de contrle adquates et quelle
dcrive la mthode utilise dans le document prescrit larticle 1 du dcret prcit.
2. Les informations comptables qui figurent dans les situations destines la Commission
bancaire, ainsi que celles qui sont ncessaires au calcul des normes de gestion tablies en
application des articles L. 611-2, point 6, et L. 533-1 du Code montaire et financier susvis et
des normes de gestion applicables aux entreprises mentionnes aux points 3 et 4 de larticle L.
440-2 et aux points 4 et 5 de larticle L. 542-1 du Code montaire et financier, doivent respecter,
au moins, les conditions dcrites aux points a) et b) du 1. du prsent article relatif la piste
daudit.
En particulier, chaque montant figurant dans les situations, dans les tableaux annexes, dans les
dclarations relatives aux normes de gestion et dans les autres documents remis la
Commission bancaire doit tre contrlable, notamment partir du dtail des lments qui
composent ce montant.
Lorsque la Commission bancaire autorise que des informations soient fournies par une voie
statistique, elles doivent tre vrifiables sans ressortir ncessairement la piste daudit.
Article 14
Les entreprises assujetties dterminent le niveau de scurit informatique jug souhaitable par
rapport aux exigences de leurs mtiers. Elles veillent au niveau de scurit retenu et ce que
leurs systmes dinformation soient adapts. Le contrle des systmes dinformation doit
notamment permettre de sassurer que :
a) le niveau de scurit des systmes informatiques est priodiquement apprci et que, le
cas chant, les actions correctrices sont entreprises ;
b) des procdures de secours informatique sont disponibles afin dassurer la continuit de
lexploitation en cas de difficults graves dans le fonctionnement des systmes
informatiques ;
c) En toutes circonstances sont prserves lintgrit et la confidentialit des informations.
Le contrle des systmes dinformation stend la conservation des informations et la
documentation relative aux analyses, la programmation et lexcution des traitements.
Article 14-1
Outre les dispositions prvues larticle 14, les entreprises assujetties doivent [] disposer de
plans de continuit de lactivit ; []
Article 37-2
Les entreprises assujetties qui externalisent des prestations de services ou dautres tches
oprationnelles
essentielles ou importantes, [], demeurent pleinement responsables du
respect de toutes les obligations qui leur incombent []
Obligations en matire de scurit des systmes dinformation
Article 40
Les entreprises assujetties laborent et tiennent jour des manuels de procdures relatifs et
adapts leurs diffrentes activits. Ces documents doivent notamment dcrire les modalits
denregistrement, de traitement et de restitution des informations, les schmas comptables et les
procdures dengagement des oprations.
Les entreprises assujetties tablissent, dans les mmes conditions, une documentation qui
prcise les moyens destins assurer le bon fonctionnement du contrle interne, notamment
[] les procdures relatives la scurit des systmes dinformation et de communication et
aux plans de continuit de lactivit [].
Analyse
(mesures pratiques)
Afin de rpondre aux obligations institues par les articles du rglement n97-02 cits plus haut, les
tablissements doivent mettre en place les principales mesures dcrites ci-aprs. Le dispositif de
contrle interne de ces tablissements devra par ailleurs permettre de sassurer de lapplication
effective de ces mesures dans les diffrentes units, filiales et autres entreprises incluses dans leur
primtre de contrle interne.
1. Organisation SSI
Formaliser les responsabilits des acteurs intervenant dans la matrise des risques du SI.
Organiser et animer une instance de niveau Direction Gnrale pilotant la scurit du SI.
3. Habilitations informatiques
Les habilitations informatiques font lobjet de revues rgulires (au moins annuelles). Le
primtre de ces revues couvre :
o les applications informatiques bancaires,
o les fichiers informatiques moins structurs (exemple : fichiers Excel) utiliss par des
mtiers pour exercer leur activit (exemple : activits de marchs financiers).
8. Maintien de la documentation du SI
La documentation du SI doit tre maintenue jour de telle sorte quelle permette de rpondre
aux obligations de larticle 40. A cet gard, cette documentation dcrit notamment :
- les modalits denregistrement des informations dans les applications informatiques,
- les traitements informatiques,
- les restitutions dinformations issues des applications et traitements informatiques.
Par ailleurs, la documentation de chaque systme ou application inclut lanalyse de risque actualise,
et les mesures de scurit et de continuit dactivit mises en uvre.
Analyse
(Sanctions encourues)
Lapplication des dispositions prvues par le rglement n97-02 est contrle par lAutorit de contrle
prudentiel qui peut dans ce contexte adresser des sanctions aux tablissements assujettis, savoir :
Approche prospective
N/A
Fiche n D
A jour au 4-12-2010
Thme : Obligations de scurit issues du rglement
gnral de lAutorit des marchs financiers
Les entreprises offrant une prestation de teneur Rglement gnral de lAutorit des marchs
de compte conservateur sont soumises aux financiers, modifi par larrt du 20 aot 2010,
rgles du rglement gnral de lAutorit des et notamment Livre III Prestataires, Titre II,
marchs financiers relatives aux moyens et Chapitre II : Teneurs de compte conservateurs
procdures du teneur de compte conservateur en
matire informatique.
Article 322-12
Le teneur de compte conservateur dispose dun systme de traitement de linformation adapt
sa taille, ses spcificits et au volume des oprations quil traite. Il dispose des matriels et
des logiciels garantissant le niveau requis de performance et de scurit.
Article 322-13
Le teneur de compte conservateur dispose de la liste des droits daccs ses systmes
informatiques et en assure le suivi.
Tous les accs aux systmes informatiques du teneur de compte conservateur sont tracs ainsi
que les modifications de donnes ou de traitements en rsultant.
Article 322-14
Larchitecture gnrale du systme de traitement de linformation propre aux activits de tenue
de compte conservation est documente. La liste des matriels et logiciels utiliss est tablie et
tenue jour.
Article 322-15
Le teneur de compte conservateur contrle rgulirement la qualit des traitements
informatiques. Cette valuation se fonde sur les critres dfinis dans les contrats ou
engagements de service passs entre les utilisateurs et la production informatique. Un suivi
dindicateurs mesurant la frquence des incidents informatiques est mis au point.
Article 322-16
La scurit tant physique que logique de lensemble des systmes de traitement et dchange
dinformations est assure.
Le teneur de compte conservateur assure notamment la protection physique des centres de
traitement et procde, avec les moyens mentionns larticle 322-13, des contrles rigoureux
daccs aux systmes de traitement. Il dfinit un plan de secours, pour assurer la continuit du
service, et les procdures appropries.
Article 322-22
Toute criture est justifie :
1 Soit par un document crit,
2 Soit par des donnes informatises et non altrables.
Obligations en matire de scurit des systmes dinformation
Article 322-26
Les donnes relatives aux clients et aux oprations quils effectuent sont traites et conserves
dans le respect du secret professionnel mentionn larticle 314-1.
Mener une analyse de risques, pour dterminer le niveau souhait de scurit (en particulier en
matire dintgrit pour rpondre aux exigences de larticle 322-22 et de confidentialit pour rpondre
aux exigences de larticle 322-26)
tablir une politique des habilitations et mettre en uvre les mesures retenues. Dfinir et appliquer un
plan de contrle.
tablir et mettre jour la documentation du systme dinformation, y compris les dossiers scurit.
Mettre en place des indicateurs de suivi de la qualit et de la scurit de la production, ainsi quun suivi
des incidents (avec leur gravit, leur cause origine, leur plan dradication)
tablir une politique de scurit physique et une politique de continuit dactivit et mettre en uvre
les mesures retenues. Dfinir et appliquer un plan de contrle.
Fiche n E
A jour au 4-12-2010
Texte : PCI-DSS
La norme PCI DSS (Payment Card Industry Data Le document de rfrence sintitule Conditions et
Security Standard) a t dveloppe par le PCI procdures dvaluation de scurit de la norme
Security Standards Council qui runit les grands PCI DSS (Requirements and Security
rseaux metteurs de cartes (Visa, MasterCard, Assessment Procedures).
American Express, Discover, JCB) dans le but de
renforcer la scurit des donnes des titulaires de La version 2.0 a t publie le 28 octobre 2010 et
er
cartes et de faciliter l'adoption de mesures de est entre en vigueur le 1 janvier 2011.
scurit uniformes lchelle mondiale.
La version 1.2.1 de juillet 2009 peut encore tre
En effet, les compromissions de donnes se sont utilise comme rfrence de validation jusquau
multiplies au cours de la premire dcennie du 31 dcembre 2011.
sicle, supportes financirement par le
domaine metteur et il devenait donc
ncessaire de renforcer la scurit dans le
domaine acqureur (commerants et
fournisseurs de services de paiements
montiques).
Explications
Champ dapplication :
Dans un premier temps, lexigence de certification PCI-DSS se focalise sur les commerants
(selon 4 niveaux dexigence, en fonction du nombre de transactions) et les fournisseurs de
services de paiement [PSP - Payment Service Providers] (selon 2 niveaux dexigence, en fonction
du nombre de transactions).
Les commerants et leurs fournisseurs de services doivent faire certifier leur conformit PCI-DSS.
ce stade, les obligations qui psent sur une banque acqureur sont donc les suivantes :
sassurer que ses commerants et ses fournisseurs de services montiques sont
conformes aux exigences PCI-DSS
dclarer le statut de PCI-DSS de ses commerants en fonction des volumes et des types
de transaction traits
mentionner le nom des fournisseurs de services montiques de ses commerants
Les conditions qui sont vraiment spcifiques lactivit cartes sont les conditions 3 (Protger les
donnes des titulaires de cartes stockes) et 4 (Crypter la transmission des donnes des titulaires
de cartes sur les rseaux publics ouverts).
Les autres conditions font partie de ltat de lart de la matrise des risques SI, mais elles
deviennent ici exigibles.
On peut enfin rappeler que les donnes cartes constituent des donnes caractre personnel
et, comme telles, sont soumises la loi Informatiques et Liberts (cf. la fiche correspondante).
Analyse
(mesures pratiques, nature des risques)
Mesures pratiques :
En cas de non respect des obligations dclaratives et/ou en cas de compromission de carte chez les
commerants clients de la banque ou chez la banque elle-mme, des pnalits financires sont
applicables la banque acqureur.
Approche prospective
Il faut prparer ds maintenant la situation future o ce seront les banques elles-mmes qui seront
soumises une exigence de certification PCI-DSS, car les actions ncessaires pour atteindre le
niveau de conformit permettant dobtenir la certification PCI-DSS peuvent savrer longues et
coteuses :
Fiche n F
A jour au 4-12-2010
Thme : HADOPI
Les rcentes lois dites HADOPI (du nom de Haute Loi n2009-669 du 12 juin 2009 favorisant la
Autorit pour la diffusion des uvres et la diffusion et la protection de la cration sur
protection des droits sur internet quelle institue) internet dite Loi HADOPI 1
imposent une obligation de scuriser son accs
internet. En cas de dtection par un ayant-droit ou
ses reprsentants dun tlchargement illgal
Loi n2009-1311 du 28 octobre 2009 relative
la protection pnale de la proprit littraire
conscutivement une carence dans la
et artistique sur internet dite Loi HADOPI 2
scurisation dudit accs, la sanction peut aller
jusqu une coupure de celui-ci. Ces
dispositions sappliquent tant aux personnes Dcrets dapplication
physiques quaux personnes morales, cest-- - Dcret n2009-1773 du 29 dcembre 2009
dire aux entreprises. relatif l'organisation de la Haute Autorit
pour la diffusion des uvres et la protection
Ladoption de ces textes a t quelque peu des droits sur internet.
tumultueuse. lorigine, la loi HADOPI 1 du 12 - Dcret n2010-236 du 5 mars 2010 relatif au
juin 2009 prvoyait la possibilit pour la Haute traitement automatis de donnes
Autorit dordonner la coupure de laccs caractre personnel autoris par l'article
linternet des personnes ayant partag des L. 331-29 du code de la proprit
fichiers en contradiction avec le droit dauteur et intellectuelle dnomm Systme de gestion
layant fait de faon ritre. des mesures pour la protection des uvres
sur internet .
La possibilit pour la HADOPI dordonner une - Dcret n2010-695 du 25 juin 2010 instituant
coupure daccs ayant t censure par le une contravention de ngligence
Conseil constitutionnel dans sa dcision du 10 caractrise protgeant la proprit littraire
juin 2009, la loi HADOPI 2 du 28 octobre 2009 est et artistique sur internet.
venue rorganiser la partie rpressive du - Dcret n2010-872 du 26 juillet 2010 relatif
dispositif en confiant ce pouvoir de sanction un la procdure devant la commission de
juge unique. protection des droits de la Haute Autorit
pour la diffusion des uvres et la protection
La HADOPI est galement dote dun pouvoir de des droits sur internet.
labellisation des logiciels et procds techniques
permettant de sassurer de labsence de Code de la proprit intellectuelle :
tlchargements illicites sur le ou les postes dispositions relatives aux dlits de
informatiques de labonn. contrefaon (L. 331-2, L. 331-21, L. 331-30, L.
335-1 et suivants et L. 336-3 du CPI)
Article L. 331-2
Outre les procs-verbaux des officiers ou agents de police judiciaire, la preuve de la matrialit de
toute infraction aux dispositions des livres Ier, II et III du prsent code peut rsulter des
constatations d'agents asserments dsigns selon les cas par le Centre national du cinma et de
l'image anime, par les organismes de dfense professionnelle viss l'article L. 331-1 et par les
socits mentionnes au titre II du prsent livre. Ces agents sont agrs par le ministre charg de
la culture dans les conditions prvues par un dcret en Conseil d'Etat.
Obligations en matire de scurit des systmes dinformation
Article L. 331-21
Pour l'exercice, par la commission de protection des droits, de ses attributions, la Haute Autorit
dispose d'agents publics asserments habilits par le prsident de la Haute Autorit dans des
conditions fixes par un dcret en Conseil d'Etat. Cette habilitation ne dispense pas de l'application
des dispositions dfinissant les procdures autorisant l'accs aux secrets protgs par la loi.
Les membres de la commission de protection des droits et les agents mentionns au premier alina
reoivent les saisines adresses ladite commission dans les conditions prvues l'article L. 331-
24. Ils procdent l'examen des faits.
Ils peuvent, pour les ncessits de la procdure, obtenir tous documents, quel qu'en soit le support,
y compris les donnes conserves et traites par les oprateurs de communications lectroniques
en application de l'article L. 34-1 du code des postes et des communications lectroniques et les
prestataires mentionns aux 1 et 2 du I de l'article 6 de la loi n 2004-575 du 21 juin 2004 pour la
confiance dans l'conomie numrique.
Ils peuvent galement obtenir copie des documents mentionns l'alina prcdent.
Article L. 331-25
Lorsqu'elle est saisie de faits susceptibles de constituer un manquement l'obligation dfinie
l'article L. 336-3, la commission de protection des droits peut envoyer l'abonn, sous son timbre
et pour son compte, par la voie lectronique et par l'intermdiaire de la personne dont l'activit est
d'offrir un accs des services de communication au public en ligne ayant conclu un contrat avec
l'abonn, une recommandation lui rappelant les dispositions de l'article L. 336-3, lui enjoignant de
respecter l'obligation qu'elles dfinissent et l'avertissant des sanctions encourues en application
des articles L. 335-7 et L. 335-7-1. Cette recommandation contient galement une information de
l'abonn sur l'offre lgale de contenus culturels en ligne, sur l'existence de moyens de scurisation
permettant de prvenir les manquements l'obligation dfinie l'article L. 336-3 ainsi que sur les
dangers pour le renouvellement de la cration artistique et pour l'conomie du secteur culturel des
pratiques ne respectant pas le droit d'auteur et les droits voisins.
Les recommandations adresses sur le fondement du prsent article mentionnent la date et l'heure
auxquelles les faits susceptibles de constituer un manquement l'obligation dfinie l'article
L. 336-3 ont t constats. En revanche, elles ne divulguent pas le contenu des uvres ou objets
protgs concerns par ce manquement. Elles indiquent les coordonnes tlphoniques, postales
et lectroniques o leur destinataire peut adresser, s'il le souhaite, des observations la
commission de protection des droits et obtenir, s'il en formule la demande expresse, des prcisions
sur le contenu des uvres ou objets protgs concerns par le manquement qui lui est reproch.
Article L. 335-2
Toute dition d'crits, de composition musicale, de dessin, de peinture ou de toute autre
production, imprime ou grave en entier ou en partie, au mpris des lois et rglements relatifs la
proprit des auteurs, est une contrefaon et toute contrefaon est un dlit.
La contrefaon en France d'ouvrages publis en France ou l'tranger est punie de trois ans
d'emprisonnement et de 300 000 d'amende.
Seront punis des mmes peines le dbit, l'exportation et l'importation des ouvrages contrefaisants.
Obligations en matire de scurit des systmes dinformation
Lorsque les dlits prvus par le prsent article ont t commis en bande organise, les peines sont
portes cinq ans d'emprisonnement et 500 000 d'amende.
Article L.335-7
Lorsque l'infraction est commise au moyen d'un service de communication au public en ligne, les
personnes coupables des infractions prvues aux articles L. 335-2, L. 335-3 et L. 335-4 peuvent en
outre tre condamnes la peine complmentaire de suspension de l'accs un service de
communication au public en ligne pour une dure maximale d'un an, assortie de l'interdiction de
souscrire pendant la mme priode un autre contrat portant sur un service de mme nature auprs
de tout oprateur.
Lorsque ce service est achet selon des offres commerciales composites incluant d'autres types de
services, tels que services de tlphonie ou de tlvision, les dcisions de suspension ne
s'appliquent pas ces services.
Les frais d'une ventuelle rsiliation de l'abonnement au cours de la priode de suspension sont
supports par l'abonn.
Lorsque la dcision est excutoire, la peine complmentaire prvue au prsent article est porte
la connaissance de la Haute Autorit pour la diffusion des uvres et la protection des droits sur
internet, qui la notifie la personne dont l'activit est d'offrir un accs des services de
communication au public en ligne afin qu'elle mette en uvre, dans un dlai de quinze jours au
plus compter de la notification, la suspension l'gard de l'abonn concern.
Le fait, pour la personne dont l'activit est d'offrir un accs des services de communication au
public en ligne, de ne pas mettre en uvre la peine de suspension qui lui a t notifie est puni
d'une amende maximale de 5 000 .
Le 3 de l'article 777 du code de procdure pnale n'est pas applicable la peine complmentaire
prvue par le prsent article.
Article L. 335-7-1
Pour les contraventions de la cinquime classe prvues par le prsent code, lorsque le rglement
le prvoit, la peine complmentaire dfinie l'article L. 335-7 peut tre prononce selon les mmes
modalits, en cas de ngligence caractrise, l'encontre du titulaire de l'accs un service de
communication au public en ligne auquel la commission de protection des droits, en application de
l'article L. 331-25, a pralablement adress, par voie d'une lettre remise contre signature ou de tout
autre moyen propre tablir la preuve de la date de prsentation, une recommandation l'invitant
mettre en uvre un moyen de scurisation de son accs internet.
La ngligence caractrise s'apprcie sur la base des faits commis au plus tard un an aprs la
prsentation de la recommandation mentionne l'alina prcdent.
Le fait pour la personne condamne la peine complmentaire prvue par le prsent article de ne
pas respecter l'interdiction de souscrire un autre contrat d'abonnement un service de
communication au public en ligne pendant la dure de la suspension est puni d'une amende d'un
montant maximal de 3 750 .
Obligations en matire de scurit des systmes dinformation
Article L. 336-3
La personne titulaire de l'accs des services de communication au public en ligne a l'obligation de
veiller ce que cet accs ne fasse pas l'objet d'une utilisation des fins de reproduction, de
reprsentation, de mise disposition ou de communication au public d'uvres ou d'objets protgs
par un droit d'auteur ou par un droit voisin sans l'autorisation des titulaires des droits prvus aux
livres Ier et II lorsqu'elle est requise.
Le manquement de la personne titulaire de l'accs l'obligation dfinie au premier alina n'a pas
pour effet d'engager la responsabilit pnale de l'intress, sous rserve des articles L. 335-7 et
L. 335-7-1.
Article R. 335-5
I.- Constitue une ngligence caractrise, punie de l'amende prvue pour les contraventions de la
cinquime classe, le fait, sans motif lgitime, pour la personne titulaire d'un accs des services de
communication au public en ligne, lorsque se trouvent runies les conditions prvues au II :
1 Soit de ne pas avoir mis en place un moyen de scurisation de cet accs ;
2 Soit d'avoir manqu de diligence dans la mise en uvre de ce moyen.
II.-Les dispositions du I ne sont applicables que lorsque se trouvent runies les deux conditions
suivantes :
1 En application de l'article L. 331-25 et dans les formes prvues par cet article, le titulaire de
l'accs s'est vu recommander par la commission de protection des droits de mettre en uvre un
moyen de scurisation de son accs permettant de prvenir le renouvellement d'une utilisation de
celui-ci des fins de reproduction, de reprsentation ou de mise disposition ou de communication
au public d'uvres ou d'objets protgs par un droit d'auteur ou par un droit voisin sans
l'autorisation des titulaires des droits prvus aux livres Ier et II lorsqu'elle est requise ;
2 Dans l'anne suivant la prsentation de cette recommandation, cet accs est nouveau utilis
aux fins mentionnes au 1 du prsent II.
Analyse
(mesures pratiques, nature des risques)
Loi HADOPI 1
Larticle L. 336-3 du CPI impose au titulaire (personne physique ou morale) dun accs internet de
veiller ce que cet accs ne fasse pas lobjet dune utilisation illicite.
II / Riposte gradue
Larticle L. 331-25 du CPI met en place un systme de riposte gradue comme suit :
Loi HADOPI 2
La loi HADOPI 2 relative la protection pnale de la proprit littraire et artistique sur internet
comporte principalement deux volets :
Le pouvoir judiciaire devra donc, sur la base du dossier fourni et instruit par la HADOPI, dcider de
quelle nature est l'infraction constate, et prononcer une peine en consquence.
Consquences
Mme si les textes en vigueur sont moins lourds de consquences que les textes censurs par le
Conseil Constitutionnel le 10 juin 2009 visant permettre la HADOPI de couper elle-mme les
accs internet des abonns, ils tendent nanmoins vers une augmentation du nombre de dcisions
judiciaires sanctionnant des actes contrefaisants sur internet et condamnant des coupures
daccs internet pouvant aller jusqu un an.
Il est donc permis de sinterroger sur les consquences de lapplication des lois HADOPI pour les
entreprises fournissant un accs internet leurs salaris et des services en ligne ou un accs
internet leurs clients.
Les textes ne distinguent pas selon la personnalit juridique du titulaire de laccs, celui-ci pouvant
tre tant une personne physique quune personne morale.
Dans une entreprise disposant dun rseau interne important et utilisant un seul point daccs
linternet, la scurisation totale du rseau pourrait savrer difficile, coteuse, et ne saurait tre
dnue de failles. Le risque de coupure, mme momentane, de laccs internet au sein de
lentreprise nest pas ngligeable. Par ailleurs, lorsque la connexion internet de lentreprise est la
fois utilis pour permettre laccs internet ses salaris et pour offrir des services en ligne ses
clients (services de banque distance notamment), une telle coupure, mme brve, pourrait avoir
des consquences importantes sur son activit.
Il appartiendra aux entreprises de mettre en place, pour toutes leurs connexions internet, des
logiciels leur permettant de sexonrer de leur responsabilit. Une telle obligation, dans le cas dun
rseau comportant des dizaines de milliers de postes informatiques, peut toutefois savrer trs
coteuse. Au minimum devraient tre prvu afin de limiter les risques de poursuite ventuelle :
- une charte dutilisation des outils informatiques rappelant les rgles aux salaris ;
- assortie de la mise en place de techniques de contrle et de filtrage stricts.
Obligations en matire de scurit des systmes dinformation
II / Concernant laccessibilit aux services en ligne fournis par les entreprises leur
clientle :
Alors que les entreprises sengagent de plus en plus dans loffre de services en ligne pour leur
clientle tant prive que professionnelle, laugmentation du nombre de coupure de laccs internet
risque de porter prjudice au dveloppement de ces services.
Les entreprises devront en effet grer la question du maintien de la relation avec les clients qui
utilisent de faon importante les services en ligne et cela pendant la priode (pouvant aller jusqu
un an) de suspension de laccs du client.
Il est craindre que la clientle frappe dune suspension de son accs internet soit conduite
rsilier les services en ligne optionnels souscrits pour revenir vers des services classiques avec
toutes les problmatiques conomiques quun tel transfert occasionnerait pour les entreprises.
Les entreprises peuvent proposer un accs leur clientle dans leurs locaux, notamment dans les
aires dattente, les salles de runion ou les espaces de rception de la clientle.
Ces points daccs, gnralement offerts au travers dune connexion de type WIFI, entrent dans le
champ de la loi HADOPI, ce titre, ils devront tre scuriss comme les autres connexions
dont lentreprise est titulaire.
Cette scurisation sera particulirement difficile dans le cas de ces accs wifi qui sont par nature
ouverts (chacun peut sy connecter sans contrle daccs). Dans cette situation, la scurisation
devrait alors reposer sur une restriction des protocoles pris en charge ainsi quune limitation de
laccessibilit des sites internet (sur la base dun filtrage), voire sur une identification stricte des
utilisateurs.
Quoi quil en soit ces parades demeurent imparfaites dans la mesure o il est difficile de filtrer, au
niveau de lentreprise, lensemble des sites accessibles sur linternet (sauf mettre en place une
liste blanche) et que , par ailleurs, des moyens de contournement techniques (au travers dun proxy
notamment) restent possibles.
Approche prospective
La HADOPI compte effectivement sen prendre aux entreprises si elle lestime ncessaire comme a pu
le confirmer son secrtaire gnral, qui a dclar que la rponse gradue mise en place par la loi
vise tout type dabonnement et sapplique donc aux entreprises. Il a galement conseill cette
occasion aux chefs dentreprise dadopter une charte interne dutilisation des outils informatiques pour
limiter leur responsabilit.
Rappelons tout de mme que cette charte, pour tre efficace, doit tre parfaitement adapte
lentreprise et aux comportements quelle encadre, et tre jour des volutions jurisprudentielles
rcentes concernant le contrle par lemployeur de lactivit de ses salaris.
Elle doit surtout servir dappui la mise en place effective de systmes de filtrage et de contrle, sous
peine de ne pas tre respecte.
A terme, la HADOPI labellisera des logiciels de scurisation des accs (enregistrant les connexions
ralises dans une bote noire, etc.). Reste que lon peut dores et dj sinterroger sur ladquation
des solutions qui seront labellises avec les SI des entreprises, les configurations techniques ayant
peu de points communs avec celles des particuliers.
Fiche n G
A jour au 4-12-2010
Thme : Cryptographie
La Loi pour la Confiance dans lEconomie Numrique (LCEN) contient des dispositions relatives
la cryptologie dans ses articles 29 40. Larticle 30 de la LCEN libralise totalement la seule
utilisation des moyens de cryptologie.
Obligation de dchiffrement :
La libert dutilisation de moyens de cryptologie accorde par la LCEN trouve sa limite dans les
possibilits quont les forces de lordre de demander lutilisateur de tels moyens que les donnes
soient remises en clair.
Plusieurs textes ont organis les conditions devant permettre le dchiffrement des messages dans
le cadre dune enqute judiciaire. Ainsi, larticle 434-15-2 du Code pnal introduit par la loi sur la
scurit quotidienne (LSQ) impose, sous peine de 3 ans demprisonnement et de 45 000
damende, toute personne ayant connaissance de la convention secrte de dchiffrement dun
moyen de cryptologie susceptible davoir t utilis pour la commission dun crime ou dun dlit, de
remettre cette information aux autorits. Si ce refus a t oppos alors que la rvlation aurait
permis dviter la commission du crime ou dlit, la peine est porte 5 ans de prison et 75 000
damende. Ici aussi, sagissant dune personne morale, cette amende sera quintuple.
Par ailleurs, les articles L. 230-1 et suivants du Code de procdure pnale (issus de la LSQ) ont
substantiellement augment les pouvoirs du juge confront des donnes chiffres par des
moyens de cryptologie, puisque celui-ci peut demander toute personne physique ou morale
qualifie deffectuer les oprations ncessaires au dchiffrement des donnes. Il peut aussi tre fait
recours aux moyens de lEtat ds lors que la peine encourue est suffisamment importante.
Larticle 11-1 de la loi du 10 juillet 1991, relative au secret des correspondances, impose aux
personnes qui fournissent des prestations de cryptologie visant assurer une fonction de
confidentialit, de remettre aux agents autoriss les conventions permettant le dchiffrement des
donnes ou de mettre en uvre eux-mmes ces conventions sous peine de 2 ans de prison et
30 000 damende, sauf dans le cas o ils ne sont pas en mesure de satisfaire cette
demande . A ce titre, il convient de prciser que suivant une rponse ministrielle (n 154458,
JOAN, Questions, 5 octobre 1998, p. 5451) : La fourniture de moyens de cryptologie doit
s'entendre au sens premier du terme, c'est--dire comme l'approvisionnement pendant un certain
temps de manire ponctuelle, priodique ou continue, en moyens ou en services d'une autre
personne ce qui implique que les entreprises devraient, lorsquelles fournissent des moyens de
cryptologie leur salaris, entrer dans le champ de cette obligation.
Enfin, larticle 36 de la LCEN prvoit une procdure de communication et de saisie des moyens de
cryptologie. La communication est faite aux agents habilits par le Premier ministre. La saisie des
moyens de cryptologie est possible, par les mmes agents, sur autorisation (et sous contrle)
judiciaire donne par ordonnance du prsident du tribunal de grande instance, pralablement saisi
par le procureur de la Rpublique par demande motive. Tout obstacle au droulement de ces
enqutes est sanctionn svrement par une peine de 6 mois demprisonnement et de 7 500
damende. Ici encore sagissant dune personne morale, cette amende sera quintuple.
Rgulation internationale
Il convient de noter que chaque Etat est susceptible de rglementer limportation / lexportation et
lutilisation de moyens de cryptographie sur ou depuis son territoire. En raison de son origine
militaire et ses enjeux stratgiques, la cryptographie reste encore strictement rgule par certains
pays. Sans vouloir dresser une liste exhaustive de ces rgulations, on retiendra que la Chine, la
Russie, Isral mais aussi lInde disposent de lgislations encadrant trs fortement lutilisation de
moyens de cryptographie en requrant le plus souvent une autorisation pralable avant importation
et utilisation de procds cryptographiques.
Cet accord a t conclu en 1996 et comporte, la date du 6 aot 2010, 40 pays participants. Son
objectif est de contrler lexportation darmes et technologies usage double (militaire et civil)
comme le chiffrement. Il a t modifi en dcembre 1998 dans le sens dune plus grande
libralisation de la cryptologie :
sont libres lexportation tous les produits de chiffrement symtrique jusqu 56
bits, tous les produits de chiffrement ne dpassant pas 512 bits, et tous les
produits de chiffrement de type sous-groupe ne dpassant pas 112 bits ;
il en va de mme pour les matriels et logiciels de chiffrement grand public ne
dpassant pas 64 bits, lesquels sont libres lexportation (la limite des 64 bits a
er
t abroge le 1 dcembre 2000) ;
lexportation de tout autre produit de chiffrement ncessite une licence.
Analyse
(mesures pratiques, nature des risques)
En droit franais, en cas de non-respect des formalits pralables, la premire sanction encourue est
dordre administratif. Elle permet au Premier ministre, aprs avoir mis l'intress mme de prsenter
ses observations, de prononcer l'interdiction de mise en circulation du moyen de cryptologie concern.
Des sanctions pnales sont galement prvues par lart. 34 de la LCEN qui nonce que :
Les personnes morales peuvent tre responsables pnalement, et dans ce cas, le montant de
lamende est multipli par cinq.
Au plan international, les rgulations tant dictes localement par chaque Etat, les sanctions
encourues peuvent varier assez largement.
Voyage ltranger
Les appareils mobiles (tlphones, smartphones, ordinateurs portables) emports lors dun voyage
ltranger peuvent faire, dans certains cas, lobjet dun contrle la frontire. Dans ce contexte, il
convient de mettre en place des mesures techniques de protection afin de sassurer que des donnes
confidentielles ne puissent faire lobjet dun accs par des tiers (les services des douanes
principalement).
En pratique la mise en place de procds de chiffrement des contenus des appareils mobiles savre
insuffisante dans la mesure ou les autorits locales ont toute latitude pour demander au salari de
divulguer sa convention secrte (son mot de passe, etc.) afin daccder aux donnes en clair et en cas
de refus de celui-ci, pourront copier les donnes et les transmettre au service de lEtat afin de casser le
chiffrement.
Il est donc prfrable de prvoir non pas un stockage des donnes sensibles sur le terminal mais plutt
un accs distant aux donnes confidentielles depuis le terminal au travers dun canal de
communication chiffr tel un rseau priv virtuel (Virtual Private Network ou VNP).
Il conviendra, par ailleurs, de sensibiliser les personnels amens se rendre ltranger sur les
risques engendrs et sur lattitude adopter en cas de contrle.
Afin dassurer la protection des informations confidentielles, lAgence nationale de la scurit des
systmes dinformation (ANSSI) a publi une liste de recommandations en la matire disponible
ladresse suivante : http://www.securite-informatique.gouv.fr/gp_article712.html
Avant tout voyage daffaire dans un pays tranger, il est recommand de se renseigner sur les risques
particuliers pouvant exister dans le pays de destination, notamment en consultant le portail de conseils
aux voyageurs du ministre des affaires trangres (http://www.diplomatie.gouv.fr/fr/conseils-aux-
voyageurs_909/)
Obligations en matire de scurit des systmes dinformation
Approche prospective
Fiche n H
A jour au 4-12-2010
Thme : Notification des violations de donnes
caractre personnel
Explications
Approche prospective
Les systmes dinformation dun grand nombre doprateurs conomiques (dont les banques)
contiennent de nombreuses informations caractre personnel sur leurs clients, leurs prospects, leurs
collaborateurs. Or un certain nombre dincidents ont montr que la scurisation de ces donnes tait
souvent insuffisante. Une lgislation imposant la notification obligatoire des violations de scurit, avec
toutes les consquences coteuses quelle peut avoir pour lentreprise, a pour objectif de constituer
une incitation la scurisation des systmes.
Aux tats-Unis, depuis lexemple historique de la Californie en 2002 (Senate Bill 1386), ce sont
aujourdhui quarante-cinq tats, le District de Columbia, Puerto Rico et les les Vierges qui ont mis en
uvre des lgislations imposant la notification des brches de scurit concernant des donnes
er
caractre personnel. En Allemagne, depuis le 1 septembre 2009, la loi impose aux responsables de
er
traitements de notifier les incidents de scurit . Il en est de mme en Autriche depuis le 1 janvier
2010.
Ainsi, la directive n2009/136/CE introduit-elle pour ces entreprises une obligation de notification des
violations de scurit des donnes caractre personnel, dabord l autorit nationale comptente
mais aussi, lorsque cette violation est de nature affecter ngativement les donnes caractre
personnel ou la vie prive , chaque abonn ou particulier concern.
Compte tenu de la nature de ces directives du paquet tlcom , cette obligation ne sapplique quau
secteur des communications lectroniques, mais le lgislateur europen annonce dans les
considrants que ces exigences seront amenes stendre : Lintrt des utilisateurs tre
informs ne se limite pas, lvidence, au secteur des communications lectroniques, et il convient
ds lors dintroduire de faon prioritaire, au niveau communautaire, des exigences de notification
Obligations en matire de scurit des systmes dinformation
Cette obligation gnrale pourrait tre introduite dans une volution future de la directive n1995/46/CE
sur la protection des donnes caractre personnel. Elle figurait dailleurs dans la feuille de route
trace par le groupe de travail Article 29 (qui regroupe les autorits nationales de protection des
donnes caractre personnel) en rponse la consultation qua lance la Commission europenne
en juillet 2009 sur le cadre juridique de la protection des donnes caractre personnel : La
transparence impose une information des personnes concernes en cas de violation de la vie prive
susceptible de nuire leurs donnes caractre personnel ainsi qu leur vie prive. [] La
notification gnrale de violation de la vie prive devrait tre introduite dans le nouveau cadre
juridique .
Cette orientation sest renforce rcemment puisque, dans sa stratgie de protection des donnes
(intitule Une approche globale de la protection des donnes caractre personnel dans l'Union
europenne ) rendue publique le 4 novembre 2010, la Commission europenne explique : Il importe
galement que les intresss soient informs lorsque des donnes les concernant ont t
accidentellement ou illgalement dtruites, perdues, altres, consultes par des personnes non
autorises ou divulgues de telles personnes. La rcente rvision de la directive vie prive et
communications lectroniques a instaur une notification obligatoire des violations de donnes,
qui n'est toutefois applicable que dans le secteur des tlcommunications. Vu le risque que des
violations de donnes se produisent dans d'autres secteurs (par exemple, le secteur financier), la
Commission examinera les modalits d'une extension d'autres secteurs de l'obligation de notifier les
atteintes aux donnes caractre personnel, conformment la dclaration qu'elle a prsente cet
gard au Parlement europen en 2009, dans le contexte de la rforme du cadre rglementaire relatif
aux communications lectroniques. Cet examen n'aura aucune incidence sur les dispositions de la
directive vie prive et communications lectroniques, qui doit tre transpose en droit national au
plus tard le 25 mai 2011. Il y a lieu de garantir l'adoption d'une approche systmatique et cohrente
cet gard.
En France, une proposition de loi ne au Snat visant mieux garantir le droit la vie prive
lheure du numrique a tent, entre autres dispositions, dintroduire une obligation de notification la
CNIL des failles de scurit. Elle se heurte aux objections du gouvernement qui souhaite traiter le
problme de manire plus globale en incluant, en particulier, la transposition des directives tlcom
susmentionnes, mais a nanmoins franchi une premire tape du processus lgislatif en tant
adopte en premire lecture au Snat le 23 mars 2010.
Paralllement ce texte dont lavenir est trs incertain, le gouvernement a dpos le 15 septembre
2010 lAssemble nationale un projet de loi visant notamment lautoriser pendant 6 mois ( compter
de la publication de la loi) prendre par ordonnance des mesures de nature lgislative pour adapter la
lgislation franaise au droit de lUnion europenne en matire de sant, de travail et de
communications lectroniques , ce qui inclut spcifiquement la directive n2009/136/CE et lobligation
de notification des violations de donnes caractre personnel (v. art. 11 I. 2). La procdure
acclre de vote de ce texte a t engage (une seule lecture par chaque chambre du Parlement).
Mme sil subsiste aujourdhui des dsaccords sur les modalits dintroduction de cette obligation
dans notre droit et des incertitudes sur l autorit comptente , il ne semble gure faire de doute que
lobligation de notification ne finisse par simposer dans les annes qui viennent.
Analyse
(mesures pratiques, nature des risques)
Si lobligation de notification des violations des donnes caractre personnel tait mise en place, le
risque en cas de violation comporterait :
Sil y a obligation de notification lautorit comptente :
Sanction possible de la CNIL pour non respect de larticle 34 (mme sil ne sagit que
Obligations en matire de scurit des systmes dinformation
Rappel sur le cot dune violation de confidentialit des donnes (source : tudes annuelles
du Ponemon Institute) :
France, 2009 : 89 par enregistrement (dtection, escalade : 28 , notification : 4 ,
traitement ultrieur : 30 , perte de chiffre daffaires : 27 ) mais 140 dans le secteur
de la finance
Allemagne, 2009 : 133 par enregistrement (dtection, escalade : 39 , notification :
7 , traitement ultrieur : 41 , perte de chiffre daffaires : 46 ) mais 155 dans le
secteur de la finance
Royaume-Uni, 2009 : 64 par enregistrement (dtection, escalade et gestion de
crise : 12 , notification 7 , traitement ultrieur [dont les suites judiciaires] 17 , perte
de chiffre daffaires 29 ) mais 86 dans le secteur de la finance
Etat-Unis, 2009 : 204 $ par enregistrement (dtection, escalade et gestion de crise :
8 $, notification 15 $, traitement ultrieur [dont les suites judiciaires] 46 $, perte de
chiffre daffaires 135 $) mais 249 $ dans le secteur de la finance
Risque rglementaire, voire pnal, ds lors que la lgislation nationale applicable comportera une
disposition relative la notification des violations de confidentialit.
Mesures pratiques :
Rappel sur les principales causes dune violation (source : tudes annuelles du Ponemon
Institute) :
France, 2009 :
- donnes externalises chez un tiers : 41 %
- support (CD, DVD, cl USB, ordinateur portable) perdu ou vol : 35 %
- ngligence : 35 %
- attaque malveillante ou criminelle : 35 %
- vulnrabilit logicielle du systme : 29 %
Royaume-Uni, 2009 :
- ngligence : 45 %
- donnes externalises chez un tiers : 36 %
- support (CD, DVD, cl USB, ordinateur portable) perdu ou vol : 30 %
- vulnrabilit logicielle du systme : 30 %
- attaque malveillante ou criminelle : 24 %
tats-Unis, 2009 :
- donnes externalises chez un tiers : 42 %
- ngligence : 40 %
- support (CD, DVD, cl USB, ordinateur portable) perdu ou vol : 36 %
- vulnrabilit logicielle du systme : 36 %
- attaque malveillante ou criminelle : 24 %
Obligations en matire de scurit des systmes dinformation
Approche prospective
N/A