La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Droit + sécurité = pas si sûr ! vincent gautrais professeur agrégé – avocat faculté de droit – UDM titulaire de la chaire UDM en droit de la sécurité et.

Présentations similaires


Présentation au sujet: "Droit + sécurité = pas si sûr ! vincent gautrais professeur agrégé – avocat faculté de droit – UDM titulaire de la chaire UDM en droit de la sécurité et."— Transcription de la présentation:

1 droit + sécurité = pas si sûr ! vincent gautrais professeur agrégé – avocat faculté de droit – UDM titulaire de la chaire UDM en droit de la sécurité et des affaires électroniques

2 droit versus sécurité

3 le droit cest… réaction

4 la sécurité cest… action

5 le droit cest… stabilité

6 la sécurité cest… mouvant

7 le droit cest… vieux

8 la sécurité cest… nouveau (informatique)

9 le droit de la sécurité fusion des 2

10 le droit de la sécurité source de changements

11 les 3 « p » p hysique

12 les 3 « p » p ermanent

13 les 3 « p » p rocessuel

14 substance versus procédure

15 pas de vide juridique

16 mais …

17 flou juridique

18 le droit de la sécurité 1 – insécurité sur la substance du droit

19 le droit de la sécurité 2 – insécurité sur lune des fonctions du droit = prévisibilité

20 4 illustrations 1 – contrat

21 4 illustrations 2 – vie privée

22 4 illustrations 3 – preuve

23 4 illustrations 4 – SOX

24 -1- econtrat

25 dessine-moi un contrat?

26 normalement … offre + acceptation

27 AB normalement …

28 1386 CCQ. L'échange de consentement se réalise par la manifestation, expresse ou tacite, de la volonté d'une personne d'accepter l'offre de contracter que lui fait une autre personne.

29 cest aussi... information + sanction

30 mais aussi… communication + sécurité

31 exemples ORALPAPIER ELECTRONQUE BAS téléphone nappe fax courriel MEDIUM vente entre 2 professionnels contrat signé courriel avec accusé de réception HAUT code Hammurabi contrat de mariage vente immobilière Saxon ( 100 A J.C.) contrat notarial contrat avec PKI contrat avec une tierce partie communication securité

32 consentement = 1)communication 2) acceptation 1 2

33 1399 CCQ « Le consentement doit être libre et éclairé. » 1

34 lisibilité contrat = information 1

35 mais.. Pour le moins 10 pratiques contractuelles pathologiques 1

36 1 - lisibilité 1

37 2 - dynamique 7. Privacy; Monitoring the Services We are under no obligation to monitor the services, but we may do so from time to time and we may disclose information regarding Users use of the Services for any reason and at our sole discretion in order to satisfy applicable laws, regulations, governmental requests, or in order to operate and deliver the Services in an effective manner, or to otherwise protect us and our Users. We agree to comply with the terms of our Privacy Policy as set forth on our FAQ website, as it may be amended from time to time. 1

38 3 - longueur 1

39 information = oxygène 1

40 Feldman v. GoogleFeldman v. Google (avril 2007) « AdWords Agreement gave reasonable notice of its terms. In order to activate an AdWords account, the user had to visit a webpage which displayed the Agreement in a scrollable text box. (…) the text of the AdWords Agreement was immediately visible to the user, as was a prominent admonition in boldface to read the terms and conditions carefully, and with instruction to indicate assent if the user agreed to the terms. That the user would have to scroll through the text box of the Agreement to read it in its 14 entirety does not defeat notice because there was sufficient notice of the Agreement itself and clicking Yes constituted assent to all of the terms. The preamble, which was immediately visible, also made clear that assent to the terms was binding. The Agreement was presented in readable 12-point font. It was only seven paragraphs long – not so long so as to render scrolling down to view all of the terms inconvenient or impossible. A printer-friendly, full-screen version was made readily available. The user had ample time to review the document. »

41 4 - hyperliens linéarité versus hypertextualité 1

42 5 – où est le e-contrat ? 1

43 6 – documents légaux multiples Copyright Privacy Cookies Terms and Conditions of Sale Terms of Use Limited Warranty Service Contracts Hardware Technical Support Policy Etc. 1

44 7 - terminologies juridiques THE SERVICES PROVIDED BY US ARE PROVIDED "AS IS." WE MAKE NO WARRANTY OF ANY KIND, EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO ANY WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE OR NON-INFRINGEMENT, OR ANY WARRANTY REGARDING THE RELIABILITY OR SUITABILITY FOR A PARTICULAR PURPOSE OF ITS SERVICES. USER UNDERSTANDS AND ACKNOWLEDGES THAT WE EXERCISE NO CONTROL OVER THE NATURE, CONTENT OR RELIABILITY OF THE INFORMATION AND/OR DATA PASSING THROUGH OUR NETWORK. NO ORAL OR WRITTEN INFORMATION OR ADVICE GIVEN BY US, ITS DEALERS, AGENTS OR EMPLOYEES SHALL CREATE A WARRANTY AND USER MAY NOT RELY ON ANY SUCH INFORMATION OR ADVICE. WE MAKES NO WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, REGARDING THE QUALITY, ACCURACY OR VALIDITY OF THE INFORMATION AND/OR DATA RESIDING ON OR PASSING THROUGH ANY NETWORK. USE OF ANY INFORMATION AND/OR DATA OBTAINED FROM OR THROUGH SERVICES PROVIDED BY US WILL BE AT USERS OWN RISK. USER ACKNOWLEDGES THAT WE ARE NOT LIABLE FOR ANY ERRORS OR INTERRUPTION IN THE INSTALLATION PROCESS OR IN PROVIDING THE SERVICES, WHETHER WITHIN OR OUTSIDE THE CONTROL OF US. UNDER NO CIRCUMSTANCES SHALL THE USER HOLD US OR ANY OF OUR AGENTS, CONTRACTORS OR REPRESENTATIVES RESPONSIBLE FOR ANY FORM OF DAMAGES OR LOSSES (INCLUDING WITHOUT LIMITATION ANY DIRECT, INDIRECT, CONSEQUENTIAL OR INCIDENTAL DAMAGES OR LOSSES) SUFFERED FROM, BUT NOT LIMITED TO ERRORS, DELAYS, LOSS OF INFORMATION, DELAYS IN THE INSTALLATION OR PROVISIONING PROCESS, OR INTERRUPTIONS IN THE SERVICES CAUSED BY THE USER, US OR A THIRD PARTYS NEGLIGENCE, FAULT, MISCONDUCT OR FAILURE TO PERFORM. USER UNDERSTANDS THAT TELECOMMUNICATION AND/OR NETWORK ACCESS SERVICES MAY BE TEMPORARILY UNAVAILABLE FOR SCHEDULED OR UNSCHEDULED MAINTENANCE AND FOR OTHER REASONS WITHIN AND OUTSIDE OF THE DIRECT CONTROL OF US. UNDER NO CIRCUMSTANCES DO ANY SUCH ERRORS, DELAYS, INTERRUPTIONS IN SERVICES OR LOSS OF INFORMATION NULLIFY OR MODIFY THESE TERMS AND CONDITIONS. WE RESERVE THE RIGHT TO REFUSE OR TERMINATE SERVICES TO A USER AT ANY TIME WITHOUT CAUSE. THE INTERNET CONTAINS UNEDITED MATERIALS, WHICH MAY BE SEXUALLY EXPLICIT, OR MAY BE OFFENSIVE TO YOU OR OTHERS ACCESSING THE SERVICES. WE HAVE NO CONTROL OVER SUCH MATERIALS AND ACCEPT NO RESPONSIBILITY FOR SUCH MATERIALS. 1

45 7 – terminologies 1

46 8 – titres non juridiques consumer contract terms of Services conditions of Use conditions of Sale notice legal waiver licence etc. Privacy « contract » privacy confidentiality FAQ security legal waiver licence notice etc. 1

47 9 –clauses abusives 1

48 10 –clauses stupides DELL (INCLUDING DELLS PARENTS, AFFILIATES, OFFICERS, DIRECTORS, EMPLOYEES OR AGENTS) DOES NOT ACCEPT LIABILITY BEYOND THE REMEDIES SET FORTH HEREIN, INCLUDING ANY LIABILITY FOR PRODUCTS NOT BEING AVAILABLE FOR USE, LOST OR CORRUPTED DATA OR SOFTWARE, PRODUCTS SOLD THROUGH DELLS SOFTWARE AND PERIPHERALS DIVISION, OR THE PROVISION OF SERVICES OR SUPPORT. DELL WILL NOT HAVE ANY LIABILITY FOR ANY DAMAGES ARISING FROM THE USE OF THE PRODUCTS IN ANY HIGH RISK ACTIVITY, INCLUDING, BUT NOT LIMITED TO, THE OPERATION OF NUCLEAR FACILITIES, AIRCRAFT NAVIGATION OR COMMUNICATION SYSTEMS, AIR TRAFFIC CONTROL, MEDICAL SYSTEMS, LIFE SUPPORT OR WEAPONS SYSTEMS. DELL WILL NOT BE LIABLE FOR LOST PROFITS, LOSS OF BUSINESS, OR OTHER INCIDENTAL, INDIRECT, CONSEQUENTIAL, SPECIAL OR PUNITIVE DAMAGES, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGES, OR FOR ANY CLAIM BY ANY THIRD PARTY EXCEPT AS EXPRESSLY PROVIDED HEREIN.

49 10 –clauses stupides « Do not use the ING DIRECT Web Site to communicate to others, to post on the ING DIRECT Web Site, or otherwise transmit to the ING DIRECT Web Site, any materials, information, or communication that either causes any harm to any person or that is illegal or otherwise unlawful, including without limitation any hateful, harassing, pornographic, obscene, profane, defamatory, libellous, threatening materials which constitutes or may encourage conduct that would be considered, a criminal offence, give rise to civil liability, promote the excessive, irresponsible or underage consumption of alcohol, or otherwise violate any law or regulation. »

50 10 –clauses stupides « The limited warranty set forth below is given by Canon U.S.A., Inc. (Canon U.S.A.) in the United States or Canon Canada Inc., (Canon Canada) in Canada with respect to the Canon-brand PowerShot Digital Camera purchased with this limited warranty, when purchased and used in the United States or Canada. »

51 solutions simples court langage accessible humanité lent visuel 1

52 exemple intéressant : / 1

53 1399 CCQ « Le consentement doit être libre et éclairé. » 2

54 A. Shrink wrap B. Click wrap C. Browse wrap 2

55 1 - shrink wrap 2.A ProCD ProCD (US ) King (Canada )

56 2 - Click wrap – Dell Dell Computer c. Union des consommateurs - Cours suprême du Canada (13 juillet 2007)Dell Computer c. Union des consommateurs 2 questions principales –Clause arbitrale et consommation –Validité du eContract –Lire aussi « Dell a gagné »Dell a gagné 2.B

57 Click 1

58 Click 2

59 Click 3

60 Click 4

61 3 - Browse wrap 2.C

62

63 -2- evie privée

64 sources juridiques Loi sur la protection des renseignements personnels dans le secteur privé ( Québec)Loi sur la protection des renseignements personnels dans le secteur privé Loi sur la protection des renseignements personnels et les documents électroniques ( Canada) (PEPIDA)Loi sur la protection des renseignements personnels et les documents électroniques Annexe 1 de la précédente Loi (Principes énoncés dans la norme nationale du Canada intitulée code type sur la protection des renseignements personnels, CAN/CSA- Q830-96)Annexe 1 Loi concernant le cadre juridique des technologies de linformation ( Québec)Loi concernant le cadre juridique des technologies de linformation CCQ, articles 2085 et suiv. Et dautres …

65 introduction Vie privée existe depuis longtemps mais… La problématique change avec lélectronique – Tellement facile de copier – Tellement facile de vendre, céder, échanger ces informations – Tellement facile de ne pas se rendre compte que des informations personnelles nous concernant circulent – Tellement facile de les communiquer à autrui.

66 définition Définition dans PEPIDA: « article 2: «renseignement personnel » Tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail. » Définition dans la loi québécoise: Article 2: « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l'identifier. » (aucune restriction)

67 en pratique, un RP cest… Un numéro de carte de crédit Des indications personnelles sur sa race, sa santé, son crédit, etc… Mais aussi… –Nom, prénom, courriel, âge, téléphone, adresse, etc… –Habitudes dachat –Il faut aussi parfois quil y ait un lien entre les informations –Cela ne concerna pas non plus les éléments qui sont du domaine public –Etc.

68 principes Il y a les principes généraux (10 principes) Et il y a les principes spécifiques (10 principes) Même si recoupements possibles

69 principes généraux annexe 1 PEPIDA 1. Responsabilités 2. Finalités 3. Consentement 4. Limitations de la collecte 5. Limitation de lutilisation, communication et de la conservation 6. Exactitude 7. Sécurité 8. Transparence 9. Accès 10. Recours

70 principes généraux 1. Responsabilité « Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront sassurer du respect des principes énoncés ci-dessous. » « Les organisations doivent assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris : a) la mise en oeuvre des procédures pour protéger les renseignements personnels ; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite ; c) la formation du personnel et la transmission au personnel de linformation relative aux politiques et pratiques de lorganisation ; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures.

71 principes généraux 2. Finalités « Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par lorganisation avant la collecte ou au moment de celle-ci. »

72 principes généraux 3. Consentement « Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins quil ne soit pas approprié de le faire. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #40, 2002 IIJCan (C.V.P.C.)), du 12 mars 2002, une banque ne peut exiger dune personne souhaitant ouvrir un compte sans avoir un quelconque crédit (simplement pour déposer des chèques), une étude crédit classique avec présentation dun NAS.Conclusion #40, 2002 IIJCan (C.V.P.C.)

73 principes généraux 4. Limitation de la collecte « Lorganisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite. »

74 principes généraux 5. Limitation du traitement « Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée ny consente ou que la loi ne lexige. On ne doit conserver les renseignements personnels quaussi longtemps que nécessaire pour la réalisation des fins déterminées. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #121, 2003 IIJCan (C.V.P.C.)), du 23 janvier 2003, une banque est responsable dun employé qui utilise des renseignements sur un client pour commettre une fraude. En loccurrence, le dédommagement offert par la banque est jugé suffisant.Conclusion #121, 2003 IIJCan (C.V.P.C.)

75 principes généraux 6. Exactitude « Les renseignements personnels doivent être aussi exacts, complets et à jour que lexigent les fins auxquelles ils sont destinés. »

76 principes généraux 7. Mesures de sécurité « Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #177, 2003 IIJCan (C.V.P.C.)), du 05 juin 2003, une banque ne peut laisser un ordinateur connecté à des renseignements personnels dans une aire publique sans mot de passe.Conclusion #177, 2003 IIJCan (C.V.P.C.) EX: Selon une décision du Commissariat à la vie privée (Conclusion #289, 2005 IIJCan (C.V.P.C.)), du 03 février 2005, une banque est resposable du vol dun ordinateur portatif de lune de ses employée.Conclusion #289, 2005 IIJCan (C.V.P.C.)

77 principes généraux 8. Transparence « Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #183, 2003 IIJCan (C.V.P.C.)), du 10 juillet 2003, une banque nest pas tenue de publier ses politiques et ses pratiques concernant la gestion des renseignements personnels. Il est notamment précisé que « le commissaire était davis quune institution bancaire doit savoir de façon plus générale quelles seront les conséquences de la diffusion de détails sur ses politiques et pratiques. Il a trouvé logique quune banque ne veuille pas rendre public les étapes précises suivies pour empêcher la fraude, puisque les criminels pourraient utiliser cette information pour déjouer les mesures de protection de linstitution ».Conclusion #183, 2003 IIJCan (C.V.P.C.)

78 principes généraux 9. Accès « Une organisation doit informer toute personne qui en fait la demande de lexistence de renseignements personnels qui la concernent, de lusage qui en est fait et du fait quils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester lexactitude et lintégralité des renseignements et dy faire apporter les corrections appropriées. »

79 principes généraux 10. Plaintes « Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les personnes responsables de les faire respecter au sein de lorganisation concernée. »

80 principes spécifiques 1.Existence dune politique –Reprendre les éléments de base –Les respecter –Écrire une politique lisible –Disposer cette politique dans un endroit stratégique (voir par exemple les exigences de TrustE) 2. Inscrire dans la politique la finalité de la collection, lutilisation ou la communication des RP

81 principes spécifiques 3.Aménager le consentement OPT-IN: droit dopposition quant à lutilisation ultérieure »Soit actif »Soit passif OPT-OUT: droit de retrait »Nimporte quand »Ne plus utiliser les RP pour les finalités déjà consenties Attention au formulaire de renonciation (idem contrat)

82 principes spécifiques 4.Utilisation des cookies. Sont-ils comestibles? Quest-ce cest? A quoi ça sert? »Retracer »Sécurité »Faciliter lutilisation (ex: panier dachat) Expliquer ce que cest et dire comment sen prémuni

83 principes spécifiques 5.Le droit daccès 6.Le respect dune certaine sécurité 7.Mettre la liste des RP saisis sur le site et éventuellement préciser ceux qui ne le sont pas 8.Éventuellement envisager des situations spéciales selon les spécificités du site Enfants Informations sur la santé 9.Éventuellement faire une mention de la loi applicable 10.Éventuellement permettre un lien par courriel à un responsable des RP sur le site

84 -3- epreuve

85 loi concernant le cadre juridique des technologies de linformation loi concernant le cadre juridique des technologies de linformation (LCCJTI) (L.R.Q. c-1.1)

86 Afin dy voir clair Guide relatif à la gestion des documents technologiques (11/2005) Guide relatif à la gestion des documents technologiques Afin dy voir clair Guide relatif à la gestion des documents technologiques

87 1

88 nouveaux risques

89 nouveau document « technologique »

90 nouveaux avantages

91 nouveaux inconvénients

92 nouveaux objectifs enlever barrières –EX: écrit –EX: signature –EX: original élever sécurité –EX: un courriel –EX: cest quoi être sécuritaire? protéger les personnes –EX: 29 LCCJTI

93 identifiant etc… transfert documentation certification document technologique cycle de vie nouveaux vocabulaire

94 2

95 neutralité technologique Loi ne favorise pas une technologie – EX: Utah, Singapour, Italie, Portugal, Allemagne, etc. –EX: certification Mais loi être néanmoins assez prescriptive –Neutre ne veut pas dire silence –Lois silencieuses EX: Quest quêtre intègre? EX: 34 LCCJTI

96 équivalence fonctionnelle Rechercher les fonctions du papier et les transposer –Document trouver un critère –Écrit transposable –Signature à chaque –Original concept tant pour le –Copie papier que pour lélectronique

97 écrit loi concernant le cadre juridique des technologies de linformation loi concernant le cadre juridique des technologies de linformation (L.R.Q. c. C- 1.1) art. 5 écrit = intégrité

98 signature 2827 Cc.Q.: « La signature consiste dans l'apposition qu'une personne fait sur un acte de son nom ou d'une marque qui lui est personnelle et qu'elle utilise de façon courante, pour manifester son consentement.

99 signature Droit réfère parfois aux TI

100 signature United Nations Convention on the Use of Electronic Communications in International Contracts (2005) and (…) (b) The method used is (…) : (i) As reliable as appropriate for the purpose for which the electronic communication was generated or communicated, in the light of all the circumstances, including any relevant agreement;

101 signature Ontario and Electronic Commerce Act (…) (a) the electronic signature is reliable for the purpose of identifying the person; and (b) the association of the electronic signature with the relevant electronic document is reliable.

102 signature Uniform Electronic Transaction Act (USA) the use of security procedures is simply one method for proving the source or content of an electronic record or signature. A security procedure may be technologically very sophisticated, such as an asymetric cryptographic system. At the other extreme the security procedure may be as simple as a telephone call to confirm the identity of the sender through another channel of communication. It may include the use of a mother's maiden name or a personal identification number (PIN). Each of these examples is a method for confirming the identity of a person or accuracy of a message.

103 signature fiability ? security procedure ?

104 signature contrat décline sa responsabilité

105

106 signature information = oxygène

107 signature Si pas de responsabilité = pas de sécurité

108 2838 CCQ Outre les autres exigences de la loi, il est nécessaire, pour que la copie d'une loi, l'acte authentique, l'acte semi-authentique ou l'acte sous seing privé établi sur un support faisant appel aux technologies de l'information fasse preuve au même titre qu'un document de même nature établi sur support papier, que son intégrité soit assurée. intégrité

109 2839 CCQ L'intégrité d'un document est assurée, lorsqu'il est possible de vérifier que l'information n'en est pas altérée et qu'elle est maintenue dans son intégralité, et que le support qui porte cette information lui procure la stabilité et la pérennité voulue. intégrité

110 3

111 gestion documentaire Transfert Conservation Consultation Communication

112 transfert Définition: Faire passer un document technologique dun support à un autre. Le document sur le nouveau support a la même valeur juridique que lancien et le document sur lancien support peut par la suite être détruit. Exemple: Une entreprise numérise des masses de documents papier, pour des raisons de coûts darchivage ou pour faciliter les recherches, et les transfère ensuite sur un cédérom. Conditions légales: 1) documenter en précisant QUI – QUOI – COMMENT; 2) préserver lintégrité.

113 conservation Définition: Remiser des documents dune façon telle que lon puisse les retrouver ultérieurement, sur demande, et sans quils naient été altérés. Pour des raisons fiscales, administratives ou légales, la plupart des entreprises ont une obligation de conserver certains documents. Exemples: Un particulier qui achète un produit en ligne peut avoir intérêt à garder une trace dun accusé de réception qui lui a été envoyé par le commerçant après que le paiement ait été transmis et avant que ledit produit ne soit en sa possession. À des fins comptables, une entreprise peut avoir à conserver certains documents jusquà 10 ans. Conditions légales: 1) Désigner une personne assignée, au sein de lorganisation, pour les questions de sécurité ou sous-traiter à un service dintermédiaires. 2) Sassurer que les documents conservés soient intègres et disponibles pendant toute la durée de conservation. 3) Sassurer que la personne assignée qui modifie un document conservé, et donc remet en cause sciemment son intégrité, explique dans le document lui-même ou dans un autre qui y est associé : QUI – QUOI – COMMENT - QUAND

114 consultation Définition: Rendre disponible à des personnes habilitées un document présenté dans une forme intelligible. Exemples: La Loi sur laccès aux documents des organismes publics et sur la protection des renseignements personnels oblige les instances publiques à rendre accessibles aux citoyens les renseignements personnels quelles détiennent sur eux. La Loi sur la protection des renseignements personnels dans le secteur privé oblige les entreprises à rendre accessibles aux usagers des documents contenant des renseignements personnels sur eux. La Loi sur la valeurs mobilières oblige parfois les personnes morales à transmettre aux investisseurs certains documents relatifs à leur entreprise (tels des états financiers ou des communiqués de presse). Conditions légales: Sassurer que les documents sont intelligibles, lisibles. Laisser à la personne qui dispose du droit daccès la liberté de choisir entre un document papier ou un document utilisant une technologie de linformation. Organiser un accès particulier lorsque les documents qui doivent être rendus accessibles contiennent des renseignements personnels ou confidentiels, par essence plus sensibles, à savoir : identifier une personne assignée et interdire laccès aux autres;faire en sorte quil soit impossible de faire de la recherche extensive, cest-à-dire quil ne peut être permis par exemple de vérifier dans une banque de données de jugements les noms des parties; mettre en place un encadrement sécuritaire suffisant; et sassurer que les conditions qui sappliquent pour les documents contenant des renseignements personnels soient respectées.

115 communication Définition: Transmettre un document dune personne à une autre en faisant appel aux technologies de linformation, sauf interdiction dune loi ou dun règlement. Exemple: Le courriel est un moyen usuel pour transmettre un document attaché. Lindustrie transmet très souvent des documents électroniques : échanges de documents informatisés, transferts électroniques de fonds, etc. Conditions légales: Pour que le document expédié ait la même valeur que celui qui a été reçu, sassurer : –de lintégrité des deux documents et de documenter la façon de faire pour parvenir à cette fin. –Présumer quun document technologique est transmis lorsque lexpéditeur na plus le contrôle de celui-ci. Pour plus dassurance, un bordereau denvoi peut être généré par le système de lexpéditeur. –Présumer quun document technologique est reçu lorsquil est accessible au destinataire. Pour plus dassurance, un accusé de réception peut être généré par le système du destinataire. –Sassurer quun document qui contient des informations confidentielles :soit transmis par un moyen jugé approprié et que la transmission soit documentée.

116 4

117 preuve preuve = intégrité + identité présomptions

118 preuve EX: admission dun courriel

119 Loi concernant le cadre juridique des technologies de linformation (L.R.Q. c-1.1) « Froid » jurisprudentiel « Froid » réglementaire « Froid » doctrinal Loi concernant le cadre juridique des technologies de linformation

120 «Froid» jurisprudentiel sur le plan quantitatif – Bélanger c. Future Électronique, 2005 QCCRT 0570 Bélanger c. Future Électronique – Citadelle, Cie dassurance générale c. Montréal (Ville), 2005 IIJCan (QC C.S.)Citadelle, Cie dassurance générale c. Montréal (Ville) – Vandal c. Salvas [2005] IIJCan QC. C.Q. Vandal c. Salvas Loi concernant le cadre juridique des technologies de linformation

121 «Froid» réglementaire – Aucune suite aux articles 63 et suivants… 63. Pour favoriser lharmonisation, tant au plan national quinternational, des procédés, des systèmes, des normes et des standards techniques mis en place pour la réalisation des objets de la présente loi, un comité multidisciplinaire est constitué. À cette fin, le gouvernement, après consultation du Bureau de normalisation du Québec, fait appel à des personnes provenant du milieu des affaires, de lindustrie des technologies de linformation et de la recherche scientifique et technique, à des personnes provenant des secteurs public, parapublic et municipal ainsi quà des personnes provenant des ordres professionnels, toutes ces personnes devant posséder une expertise relative audomaine des technologies de linformation. Loi concernant le cadre juridique des technologies de linformation

122 « Froid » doctrinal –Peu dinterprétations –Interprétations contradictoires –Prévisibilité juridique réduite Loi concernant le cadre juridique des technologies de linformation

123 5

124 1457 CCQ 1 – qui ? faute lien dommage

125 LPRPDE + LPRPSP + LCCJTI 2 – quoi ? => confidentialité sécurité consentement accès limitation finalité

126 6

127 principe 1: documenter transmission documents confidentiels conservation transfert améliorer preuve

128 -4- conformité

129 sécurité et finances Quelles sont les éléments susceptibles dêtre modifiés par Internet ? –La vie privée –La diffusion de linformation –Les aspects internationaux –La fraude et les aspects reliés à la lutte contre la criminalité –La vente de VM via Internet –La divulgation dinformations financières sur le site Internet de la compagnie –Les règles de conformité

130 les règles de conformité Au départ Enron, WorldCom, etc. Collusion entreprise / compagnies de comptables Solutions proposées –Intégrité de linfo. –Intégrité des personnes SOX (Sarbanes Oxley Act) Équivalent au Canada –Règlement sur lattestation de linformation présentée dans les documents annuels et intermédiaires des émetteursRèglement sur lattestation de linformation présentée dans les documents annuels et intermédiaires des émetteurs –Règlement sur les rapports sur le contrôle interne à légard de linformation financièreRèglement sur les rapports sur le contrôle interne à légard de linformation financière

131 les règles de conformité Niveau règlementaire Niveau intermédiaire Niveau applicatif ACVM Instruction ACVM ACVM ACVM COCO COSO Turnbull Tendance «contrôle qualité» ITIL ISO 9000 NQI Tendance « sécurité » ISO GAISP Octave Méhari Tendance «contrôle interne» COBIT OECD CICA

132 média Media et «axe du mal» 77% des «evening news» 01 à 07/2002 (11% en 2001) «Politics, not economics, determines which corporate governance devices tend to be disfavored»(Jonathan Macey Professeur de droit à Yale) «It follows from the insight that regulation like SOX is not so much for the benefit of investors, who will avoid future risk, but for that of reputable sellers who will lose business unless they can persuade buyers that the sharks are gone and it is safe to swim» (Henry N. Butler and Larry E. Ribstein - The Sarbanes Oxley Debacle, 2006) «Shoot first, ask questions later», Henry N. Butler and Larry E. Ribstein - The Sarbanes Oxley Debacle, 2006 RÉSULTAT DE SOX: Résultat du 25 juillet 2002 Chambre des représentants : 422 versus 3

133 politique «the most far-reaching reforms of American business practices since the time of Franklin Delano Roosevelt» G. W. Bush

134 fondamentaux de SOX Plus de contrôle interne Plus de vérification externe Plus de divulgation Plus de sanctions criminelles Plus dattestations personnelles des dirigeants

135 section 404: Management Assessment of Internal Controls « Rules Required. The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 to contain an internal control report, which shall: state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting ».

136 attention au 404 «404 File Not Found » (en français, « fichier non trouvé ») est un code d'erreur dans le protocole HTTP. Ce code est renvoyé par un serveur HTTP pour indiquer que la ressource demandée (généralement une page Web) n'existe pas. Le premier 4 indique une erreur dans la requête, ici une mauvaise URL, venant d'une page obsolète ou d'une erreur de saisie d'adresse Web de la part du visiteur. Le dernier 4 indique le problème causé par cette erreur : la ressource est introuvable.françaisfichiercodeprotocoleHTTPserveur HTTP page WebURLadresse Web Les numéros d'erreur sont définis dans les spécifications du protocole de communication HTTP.»spécifications wikipedia

137 inflation réglementaire Final Rule: Management's Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports Réfèrant à plusieurs «standards» Référant à des «Reports»

138 critiques inhérentes Atteintes à la délégation (favorise lesprit de dépanneur) Atteinte à linnovation (indiquer tous les changements) Coûts prohibitifs (très différents des estimations de la SEC) même si frise la fantaisie Conséquences de lultra-responsabilisation des dirigeants (plus de suivi – coûts de gestion en hausse) « Hyper-oxygénation informationnelle » Prise de pouvoir des «technos»

139 place de la technologie Intégrité financière = intégrité technique

140 critiques globales Responsabilités des États et non du fédéral Concurrence des Etats-Unis par des pays plus «laxistes» Fait fuire les investissements étrangers Limite le risque Trop peu flexibles selon la taille des compagnies Variations cacophoniques selon les pays (parfois illégal)

141 404 Délais (31 décembre 2007) Appel au «repeal» Une législation si décriée ne peu pas être si manifestement mauvaise

142 Canada Attentisme déclaré (31/12/2007) Consultation en cours Documents en cours instructions instructions et autres…

143 substance versus procédure (les revoilà)

144 conclusion documentation inhérente à la preuve électronique sécurité électronique implique Document + environnement procéduralisation du droit

145 droit + sécurité = pas si sûr ! vincent gautrais professeur agrégé – avocat faculté de droit – UDM titulaire de la chaire UDM en droit de la sécurité et des affaires électroniques


Télécharger ppt "Droit + sécurité = pas si sûr ! vincent gautrais professeur agrégé – avocat faculté de droit – UDM titulaire de la chaire UDM en droit de la sécurité et."

Présentations similaires


Annonces Google