1 / 77

SSI – INTERNET – EPLE Aspects juridiques

SSI – INTERNET – EPLE Aspects juridiques. Eric Barbry Avocat Directeur du pôle « droit du numérique ». Le Cabinet des technologies avancées. Paris. Strasbourg. Francfort. Pau. Grenoble. Toulouse. Tokyo. Palo Alto. 2. Le Cabinet et le Ministère. Accompagnement général sur la SSI

atalo
Télécharger la présentation

SSI – INTERNET – EPLE Aspects juridiques

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SSI – INTERNET – EPLEAspects juridiques Eric Barbry Avocat Directeur du pôle « droit du numérique »

  2. Le Cabinet des technologies avancées Paris Strasbourg Francfort Pau Grenoble Toulouse Tokyo Palo Alto 2

  3. Le Cabinet et le Ministère • Accompagnement général sur la SSI • Sensibilisation juridique décideurs • Chartes et modes opératoires • Assistance juridique et veille • Accompagnement sur projets spécifiques • ENT – Informatique et libertés – gestion des logs • Accompagnement rectorats • Sensibilisation ou assistance juridique • Questions ponctuelles EPLE – Chef d’établissement

  4. Propos introductifs • Le contexte : Systèmes d’informations • Fonction administrative • Outil pédagogique • Innovation technologique ex : ENT • L’enjeu : L’exemplarité • Les défis : Le nombre et la diversité • L’actualité : • Jurisprudence hebdomadaire • Loi • Hadopi • Projets LOPSSI

  5. RISQUES ETAT DES LIEUX REGLES DU JEU RESPONSABILITE EPLE

  6. 1. Etat des lieux • Les gentils • Les méchants • Les intéressés • Les nouveaux

  7. LA "MAISON"

  8. Les rectorats

  9. Les établissements

  10. 9/42

  11. 2. Les risques • Contenus • Données • Secret • Propriété

  12. Le protection des mineurs • Deux dispositions pénales • Pédopornographie • Accès des mineurs à un contenu à caractère pornographique • Peines renforcées lorsqu’il s’agit d’utiliser Internet • Nécessité de « faire quelque chose » • Solution technique notamment • Difficulté pratique • Tout le monde n’est pas mineur • Que fait-on des majeurs ? • Environnement professionnel • Autre environnement (élève) • Chambre et autres espaces « personnels »

  13. L’accès aux SSI • Les problématiques • Les mineurs • L’accès libre • Le sans fil … • La notion de « droit à l’accès » • Un accès pour tous ? • Valeur constitutionnelle (hadopi) • Droit de restriction • Les obligations • Restriction d’accès (FAI) • Filtrage (Abonné) • La trace des accès • Opérateurs de télécom • Abonné

  14. Les attaques possibles

  15. La contrefaçon • Un problème récurrent • Du photocopillage papier au copiage numérique • Internet un outil extraordinaire au service de la pédagogie • Accès au contenu • Téléchargement • Hadopi • Protection contre le téléchargement • Délit de négligence • Le libre • Informatique (open source ou presque) • Libre étendu (creative commons)

  16. Données à caractère personnel • Un autre point récurrent à l’éducation nationale • Sensibilité des données élèves • Portée très large • Directement ou indirectement nominatif • Les traitements c’est tout ce qu’on l’on peut imaginer et encore plus • 4 axes • Démarches préalables • Droits des gens • Obligation de sécurité • Flux hors EU

  17. Collecte Extraction Organisation Enregistrement Adaptation DONNEES DIRECTEMENT / INDIRECTEMENT NOMINATIVES Modification Utilisation Conservation Diffusion Mise à disposition Communication Rapprochement Destruction Effacement Verrouillage Inter- connexion Consultation

  18. En pratique

  19. La « Vie privée résiduelle » • Un principe jurisprudentiel • Il est interdit d’interdire • Il n’est pas possible de tout laisser faire • Situation schizophrène • L’outil de travail est « présumé » être professionnel • Impossible d’accéder à une « correspondance privée » • Sauf situation exceptionnelle • ? Du web • Le droit de contrôle ou au moins de regard de la hiérarchie

  20. Secret et confidentialité • Problématique • Notes – Évaluations • Sujets d’examen et résultats • Informations particulières • Patrimoine immatériel du Ministère • Distinction secret/confidentialité • Contrat / loi • Celui qui dispose d’un « secret » en est responsable • Le secret n’est pas la négation de la dénonciation • Article 40 du Code de procédure pénale • Autres articles du Code

  21. Les risques hors établissement … • Blogs, twitter, réseaux sociaux … • Source de bonheur numérique • Partager, échanger, diffuser, … • Source de malheur électronique • Diffusion de contenus illicites • Diffusion de contenus « inadaptés » • La difficulté de contrôle hors les murs • La nécessité de protéger l’EPLE et son personnel

  22. Mél et messagerie • Une infraction par messagerie … reste une infraction ! • Les méls ne sont jamais confidentiels • Serveur de messagerie • Le mél peut être une preuve • Le mél peut même être un contrat

  23. De mai 68 aux cyber-manifs

  24. Principe de réalité …judiciaire • Tout commence en 1996 et se poursuit • Brel et Sardou • Contrefaçon • Toutes les premières ou presque • Vie privée résiduelle • Caractère professionnel de l’adresse mél • Manifestations en ligne • Droit des blogs • Le chef d’ établissement est exposé • Professionnellement (ESPCI) • Personnellement (blogs et forums)

  25. 3. Responsabilité • Le droit de vivre en paix • Le chef d’établissement • n’est pas LE responsable • 3. Mais il doit agir ou réagir

  26. La sécurité des systèmes d’informations est un droit • Un droit constitutionnalisé • « La sécurité est un droit fondamental et l’une des conditions de l’exercice des libertés individuelles et collectives » • Article 1er de la loi n°95-73 du 24 janvier 1995 d’orientation et de programmation relative à la sécurité modifiée par la LSI (18 mars 2003) et loi relative à la lutte contre le terrorisme (23 janvier 2006). • Un droit basé sur quelques articles simples du Code pénal • Articles 323-1 et suivants • Un droit de plus en plus complet • De plus en plus de textes génériques comportent des dispositions sur la sécurité • Ex : Informatique et libertés / code des marchés publics / code civil

  27. Article 323-1 duCode pénal « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000euros d'amende.»

  28. Article 323-3-1 du Code pénal « Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée »

  29. Article 323-2 du Code pénal « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende »

  30. Article 323-3 du Code pénal « Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende »

  31. B U D A P E S T U E Infrastructure Européennes essentielles Décision cadre 2005/222/JAI Attaques SII Règlement 460/2004 Création ENISA Décision cadre 92/242/CEE – Sécurité des SI 2001 Normes et standards – ISO 27001 et s. Un droit de la SSI autonome en évolution permanente Lutte contre le terrorisme 2006 Hadopi Téléchargement 2009 LOPSSI Orientation et de programmation pour la sécurité intérieure 2009/2010 SOX Sociétés cotées 2002 Bale II (secteur bancaire) 2004 Solvency II (secteur assurance) 2008 LSF Sécurité financière 2003 LCEN Internet 2004 Informatique & Libertés II 2004 STAD Fraude informatique 1988 Loi sécurité Quotidienne (LSQ) 2001 Loi sécurité Intérieure (LSI) 2003

  32. « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8. » - Art. 34 I&L « Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. » – Art. 35 I&L Zoom Informatique et libertés

  33. Administration Tiers Chef d’établissement Prestataires extérieurs ? Personnels au sein de l’établissement Parents Responsables informatiques Élèves

  34. C I V I L E P E N A L E ADMINISTRATIVE les 3 ?

  35. L’utilisateur, premier responsable • Au contact des SI • Auteur de base • Le « Maillon faible » • Faute • Négligence fautive • Post-it ou fermeture de session • L’éternel incompris

  36. Responsabilité de l’institution • Responsabilité « générique » • Obligation d’agir • Définition des règles du jeu • SDSI – SDET – Charte… • Obligation de réaction • Difficultés – danger – crise • Nouvelles questions • Blogs, skype, … • Protection • Spécifique aux fonctionnaires

  37. Responsabilité et enseignants • Responsabilité civile • Responsabilité spéciale • Art 1384 Code civil • Principe de substitution (loi du 5 avril 1937) • Action récursoire • Responsabilité pénale • Nul n’est responsable que de son propre fait • Principe de « protection » due aux fonctionnaires

  38. Et le chef d’établissement dans tout ça …

  39. Un … chef • Transpose en local les règles • Adapte le cas échéant les règles • Peut définir ses propres règles additionnelles • Situations particulières • Conseil d’administration

  40. Un … pompier • Une attaque informatique c’est comme un incendie • Procédures d’urgences • Fait réaliser des exercices • Des gestes simples évitent le danger

  41. Un … policier • Pas d’obligation générale de surveillance • Obligations spécifiques • Mineurs • Internet • Le droit de savoir • L’obligation de dénoncer • Art 40 code de procédure pénale

More Related