Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
SSI – INTERNET – EPLE Aspects juridiques
Eric Barbry Avocat Directeur du pôle « droit du numérique »
2
Le Cabinet des technologies avancées
Paris Strasbourg Francfort Pau Grenoble Toulouse Tokyo Palo Alto 2
3
Le Cabinet et le Ministère
Accompagnement général sur la SSI Sensibilisation juridique décideurs Chartes et modes opératoires Assistance juridique et veille Accompagnement sur projets spécifiques ENT – Informatique et libertés – gestion des logs Accompagnement rectorats Sensibilisation ou assistance juridique Questions ponctuelles EPLE – Chef d’établissement
4
Propos introductifs Fonction administrative Outil pédagogique
Le contexte : Systèmes d’informations Fonction administrative Outil pédagogique Innovation technologique ex : ENT L’enjeu : L’exemplarité Les défis : Le nombre et la diversité L’actualité : Jurisprudence hebdomadaire Loi Hadopi Projets LOPSSI
5
ETAT DES LIEUX RISQUES EPLE RESPONSABILITE REGLES DU JEU
6
1. Etat des lieux Les gentils Les méchants Les intéressés Les nouveaux
7
LA "MAISON"
8
Les rectorats
9
Les établissements
12
9/42
17
2. Les risques Contenus Données Secret Propriété
20
Le protection des mineurs
Deux dispositions pénales Pédopornographie Accès des mineurs à un contenu à caractère pornographique Peines renforcées lorsqu’il s’agit d’utiliser Internet Nécessité de « faire quelque chose » Solution technique notamment Difficulté pratique Tout le monde n’est pas mineur Que fait-on des majeurs ? Environnement professionnel Autre environnement (élève) Chambre et autres espaces « personnels »
21
L’accès aux SSI Les mineurs L’accès libre Le sans fil …
Les problématiques Les mineurs L’accès libre Le sans fil … La notion de « droit à l’accès » Un accès pour tous ? Valeur constitutionnelle (hadopi) Droit de restriction Les obligations Restriction d’accès (FAI) Filtrage (Abonné) La trace des accès Opérateurs de télécom Abonné
22
Les attaques possibles
24
La contrefaçon Un problème récurrent
Du photocopillage papier au copiage numérique Internet un outil extraordinaire au service de la pédagogie Accès au contenu Téléchargement Hadopi Protection contre le téléchargement Délit de négligence Le libre Informatique (open source ou presque) Libre étendu (creative commons)
25
Données à caractère personnel
Un autre point récurrent à l’éducation nationale Sensibilité des données élèves Portée très large Directement ou indirectement nominatif Les traitements c’est tout ce qu’on l’on peut imaginer et encore plus 4 axes Démarches préalables Droits des gens Obligation de sécurité Flux hors EU
26
DIRECTEMENT / INDIRECTEMENT
Collecte Extraction Organisation Enregistrement Adaptation Modification DONNEES DIRECTEMENT / INDIRECTEMENT NOMINATIVES Utilisation Conservation Communication Diffusion Mise à disposition Rapprochement Inter- connexion Verrouillage Effacement Destruction Consultation
27
En pratique
28
La « Vie privée résiduelle »
Un principe jurisprudentiel Il est interdit d’interdire Il n’est pas possible de tout laisser faire Situation schizophrène L’outil de travail est « présumé » être professionnel Impossible d’accéder à une « correspondance privée » Sauf situation exceptionnelle ? Du web Le droit de contrôle ou au moins de regard de la hiérarchie
29
Secret et confidentialité
Problématique Notes – Évaluations Sujets d’examen et résultats Informations particulières Patrimoine immatériel du Ministère Distinction secret/confidentialité Contrat / loi Celui qui dispose d’un « secret » en est responsable Le secret n’est pas la négation de la dénonciation Article 40 du Code de procédure pénale Autres articles du Code
30
Les risques hors établissement …
Blogs, twitter, réseaux sociaux … Source de bonheur numérique Partager, échanger, diffuser, … Source de malheur électronique Diffusion de contenus illicites Diffusion de contenus « inadaptés » La difficulté de contrôle hors les murs La nécessité de protéger l’EPLE et son personnel
31
Mél et messagerie Une infraction par messagerie … reste une infraction ! Les méls ne sont jamais confidentiels Serveur de messagerie Le mél peut être une preuve Le mél peut même être un contrat
32
De mai 68 aux cyber-manifs
33
Principe de réalité …judiciaire
Tout commence en 1996 et se poursuit Brel et Sardou Contrefaçon Toutes les premières ou presque Vie privée résiduelle Caractère professionnel de l’adresse mél Manifestations en ligne Droit des blogs Le chef d’ établissement est exposé Professionnellement (ESPCI) Personnellement (blogs et forums)
34
3. Responsabilité Le droit de vivre en paix Le chef d’établissement
n’est pas LE responsable 3. Mais il doit agir ou réagir
35
La sécurité des systèmes d’informations est un droit
Un droit constitutionnalisé « La sécurité est un droit fondamental et l’une des conditions de l’exercice des libertés individuelles et collectives » Article 1er de la loi n°95-73 du 24 janvier 1995 d’orientation et de programmation relative à la sécurité modifiée par la LSI (18 mars 2003) et loi relative à la lutte contre le terrorisme (23 janvier 2006). Un droit basé sur quelques articles simples du Code pénal Articles et suivants Un droit de plus en plus complet De plus en plus de textes génériques comportent des dispositions sur la sécurité Ex : Informatique et libertés / code des marchés publics / code civil
36
Article du Code pénal « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende.»
37
Article 323-3-1 du Code pénal
« Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée »
38
Article du Code pénal « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de euros d'amende »
39
Article du Code pénal « Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de euros d'amende »
40
Orientation et de programmation pour la sécurité intérieure
Un droit de la SSI autonome en évolution permanente B U D A P E S T 2001 Lutte contre le terrorisme 2006 Hadopi Téléchargement 2009 LOPSSI Orientation et de programmation pour la sécurité intérieure 2009/2010 U E Décision cadre 92/242/CEE – Sécurité des SI Décision cadre 2005/222/JAI Attaques SII Règlement 460/2004 Création ENISA Infrastructure Européennes essentielles SOX Sociétés cotées 2002 Bale II (secteur bancaire) 2004 Solvency II (secteur assurance) 2008 LSF Sécurité financière 2003 LCEN Internet 2004 Informatique & Libertés II 2004 STAD Fraude informatique 1988 Loi sécurité Quotidienne (LSQ) 2001 Loi sécurité Intérieure (LSI) 2003 Normes et standards – ISO et s.
41
Zoom Informatique et libertés
« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8. » - Art. 34 I&L « Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. » – Art. 35 I&L
42
? Administration Tiers Parents Élèves Chef d’établissement
Prestataires extérieurs ? Personnels au sein de l’établissement Parents Responsables informatiques Élèves
43
C I V I L E P E N A L E ADMINISTRATIVE les 3 ?
44
L’utilisateur, premier responsable
Au contact des SI Auteur de base Le « Maillon faible » Faute Négligence fautive Post-it ou fermeture de session L’éternel incompris
45
Responsabilité de l’institution
Responsabilité « générique » Obligation d’agir Définition des règles du jeu SDSI – SDET – Charte… Obligation de réaction Difficultés – danger – crise Nouvelles questions Blogs, skype, … Protection Spécifique aux fonctionnaires
46
Responsabilité et enseignants
Responsabilité civile Responsabilité spéciale Art 1384 Code civil Principe de substitution (loi du 5 avril 1937) Action récursoire Responsabilité pénale Nul n’est responsable que de son propre fait Principe de « protection » due aux fonctionnaires
47
Et le chef d’établissement dans tout ça …
48
Un … chef Transpose en local les règles
Adapte le cas échéant les règles Peut définir ses propres règles additionnelles Situations particulières Conseil d’administration
49
Un … pompier Une attaque informatique c’est comme un incendie
Procédures d’urgences Fait réaliser des exercices Des gestes simples évitent le danger
50
Un … policier Mineurs Internet Art 40 code de procédure pénale
Pas d’obligation générale de surveillance Obligations spécifiques Mineurs Internet Le droit de savoir L’obligation de dénoncer Art 40 code de procédure pénale
51
Un … gardien Des secrets De la propriété De la vie privée Des libertés
Expression notamment
52
Un … responsable de traitement
Loi informatique et libertés Définit les « finalités » et les « moyens » Les grands SI sont traités au niveau national Pas de démarche particulière Obligation de conformité Attention aux traitements locaux Usages locaux sur SI nationaux
53
Un … éditeur Ex : Notice légale Directeur de la publication
Le site web de l’établissement Une publication comme les autres Une publication pire que les autres Ex : Notice légale 1 an de prison € d’amende Une responsabilité particulière Directeur de la publication Responsabilité légale Responsabilité en cascade
54
Un … prestataire technique
Un fournisseur d’accès Obligation LCEN et jurisprudence BNP Lutte contre certains contenus Délit de négligence sur les bornes Wi-fi Un hébergeur Responsabilité spéciale Notification et réaction
55
Un … artificier Jurisprudence IBM Jurisprudence Tati
Jurisprudence Lucent Alerte - Mise en garde Déminage
56
Un … « prudent » Un bon père de famille Négligence fautive
Un triptyque salvateur Information Contrôle Action Principe de précaution
57
Le chef d’établissement, une victime potentielle
Diffamation, dénigrement, droit à l’image, … Droit de réponse et demande de suppression Requête afin d’identification Procédures contentieuses ou disciplinaires
58
Le chef d’établissement, un utilisateur comme un autre
Responsabilité personnelle Responsabilité pour faute Responsabilité civile/pénale Impact de la faute personnelle sur le professionnel
59
4. Maîtrise du risque Gouvernance Information Contrôle Action
60
Sanctionner Auditer Connaître Contrôler Apprendre Mesures techniques Responsabiliser Règles
61
Gouvernance nationale
Schéma directeur de la sécurité des systèmes d’informations Chaîne fonctionnelle et responsabilité Schéma directeur ENT Socle de base et référentiel juridique Charte des personnels En cours Assistance sécurité
62
Information documentaire
Charte EPLE Conditions d’accès au SI de l’EPLE Extérieur connecté Conditions d’hébergement Charte « poste libre accès » Contrats
63
Champ technique Informatique Identification Téléphonie PDA - Pager Équipement Réseau
64
CHAMP FONCTIONNEL & JURIDIQUE
Correspondance Envoyer/recevoir Surf rechercher Edition publier Discussion échanger CHAMP FONCTIONNEL & JURIDIQUE
65
Information Sensibilisation générale Sensibilisation spéciale
Cas d’espèce : convocation du fait de blogs Le Chef d’établissement doit en savoir plus que l’élève …
66
Mesures de contrôle Filtrage Log Identifiant Contrôle sur poste
Devient obligatoire avec Hadopi Log Le seul moyen de prouver qui est coupable Identifiant Contrôle sur poste Modalités du contrôle Conditions du contrôle
67
LA TECHNIQUE NE SUFFIT PAS...
69
Contrefaçon Le risque : téléchargement massif
Le nouveau contexte : Hadopi Mise en place de filtres Rappel des règles Détention du parc justificatif Licences mêmes libres
70
Gestion de la preuve électronique
Pas de preuve = pas de faute Pas de preuve pour soi-même La copie d’écran ne sert que lorsqu’on ne s’en sert pas … Dans l’environnement judiciaire Huissier Police L’archivage des méls
71
Attention au web Notice légale
Un an d’emprisonnement et € d’amende Respect de la loi Informatique et libertés Conditions spéciales « espace école » Attention aux Contenus Liens Référencements Noms de domaine
72
Action-Réaction Accès à un contenu illicite/fautif
Obligation d’information auprès des autorités compétentes Spécial environnement public Pour tous La conséquence de ne pas faire … Civile Co-responsable Pénale Complicité Suivre la chaine d’alerte interne sauf….
74
10 Conseils Cnil pour sécuriser
75
Résumé des 10 conseils Cnil pour sécuriser
Adopter une politique de mot de passe rigoureuse Concevoir une procédure de création et de suppression des comptes utilisateurs Mettre en place le verrouillage automatique des postes Identifier précisément qui peut avoir accès aux fichiers Veiller à la confidentialité des données vis-à-vis des prestataires 6. Sécuriser le réseau local 7. Sécuriser l’accès physique aux locaux 8. Anticiper le risque de perte ou de divulgation des données 9. Anticiper et formaliser une politique de sécurité du système d’information 10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi "informatique et libertés"
76
MERCI
77
Contact ALAIN BENSOUSSAN AVOCATS 29 rue du colonel Pierre Avia Paris 15è Tél. : Fax : Eric Barbry L.D. : Mob. :
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.