La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

SSI – INTERNET – EPLE Aspects juridiques

Publié parFerrand Proust Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "SSI – INTERNET – EPLE Aspects juridiques"— Transcription de la présentation:

1 SSI – INTERNET – EPLE Aspects juridiques
Eric Barbry Avocat Directeur du pôle « droit du numérique »

2 Le Cabinet des technologies avancées
Paris Strasbourg Francfort Pau Grenoble Toulouse Tokyo Palo Alto 2

3 Le Cabinet et le Ministère
Accompagnement général sur la SSI Sensibilisation juridique décideurs Chartes et modes opératoires Assistance juridique et veille Accompagnement sur projets spécifiques ENT – Informatique et libertés – gestion des logs Accompagnement rectorats Sensibilisation ou assistance juridique Questions ponctuelles EPLE – Chef d’établissement

4 Propos introductifs Fonction administrative Outil pédagogique
Le contexte : Systèmes d’informations Fonction administrative Outil pédagogique Innovation technologique ex : ENT L’enjeu : L’exemplarité Les défis : Le nombre et la diversité L’actualité : Jurisprudence hebdomadaire Loi Hadopi Projets LOPSSI

5 ETAT DES LIEUX RISQUES EPLE RESPONSABILITE REGLES DU JEU

6 1. Etat des lieux Les gentils Les méchants Les intéressés Les nouveaux

7 LA "MAISON"

8 Les rectorats

9 Les établissements

10

11

12 9/42

13

14

15

16

17 2. Les risques Contenus Données Secret Propriété

18

19

20 Le protection des mineurs
Deux dispositions pénales Pédopornographie Accès des mineurs à un contenu à caractère pornographique Peines renforcées lorsqu’il s’agit d’utiliser Internet Nécessité de « faire quelque chose » Solution technique notamment Difficulté pratique Tout le monde n’est pas mineur Que fait-on des majeurs ? Environnement professionnel Autre environnement (élève) Chambre et autres espaces « personnels »

21 L’accès aux SSI Les mineurs L’accès libre Le sans fil …
Les problématiques Les mineurs L’accès libre Le sans fil … La notion de « droit à l’accès » Un accès pour tous ? Valeur constitutionnelle (hadopi) Droit de restriction Les obligations Restriction d’accès (FAI) Filtrage (Abonné) La trace des accès Opérateurs de télécom Abonné

22 Les attaques possibles

23

24 La contrefaçon Un problème récurrent
Du photocopillage papier au copiage numérique Internet un outil extraordinaire au service de la pédagogie Accès au contenu Téléchargement Hadopi Protection contre le téléchargement Délit de négligence Le libre Informatique (open source ou presque) Libre étendu (creative commons)

25 Données à caractère personnel
Un autre point récurrent à l’éducation nationale Sensibilité des données élèves Portée très large Directement ou indirectement nominatif Les traitements c’est tout ce qu’on l’on peut imaginer et encore plus 4 axes Démarches préalables Droits des gens Obligation de sécurité Flux hors EU

26 DIRECTEMENT / INDIRECTEMENT
Collecte Extraction Organisation Enregistrement Adaptation Modification DONNEES DIRECTEMENT / INDIRECTEMENT NOMINATIVES Utilisation Conservation Communication Diffusion Mise à disposition Rapprochement Inter- connexion Verrouillage Effacement Destruction Consultation

27 En pratique

28 La « Vie privée résiduelle »
Un principe jurisprudentiel Il est interdit d’interdire Il n’est pas possible de tout laisser faire Situation schizophrène L’outil de travail est « présumé » être professionnel Impossible d’accéder à une « correspondance privée » Sauf situation exceptionnelle ? Du web Le droit de contrôle ou au moins de regard de la hiérarchie

29 Secret et confidentialité
Problématique Notes – Évaluations Sujets d’examen et résultats Informations particulières Patrimoine immatériel du Ministère Distinction secret/confidentialité Contrat / loi Celui qui dispose d’un « secret » en est responsable Le secret n’est pas la négation de la dénonciation Article 40 du Code de procédure pénale Autres articles du Code

30 Les risques hors établissement …
Blogs, twitter, réseaux sociaux … Source de bonheur numérique Partager, échanger, diffuser, … Source de malheur électronique Diffusion de contenus illicites Diffusion de contenus « inadaptés » La difficulté de contrôle hors les murs La nécessité de protéger l’EPLE et son personnel

31 Mél et messagerie Une infraction par messagerie … reste une infraction ! Les méls ne sont jamais confidentiels Serveur de messagerie Le mél peut être une preuve Le mél peut même être un contrat

32 De mai 68 aux cyber-manifs

33 Principe de réalité …judiciaire
Tout commence en 1996 et se poursuit Brel et Sardou Contrefaçon Toutes les premières ou presque Vie privée résiduelle Caractère professionnel de l’adresse mél Manifestations en ligne Droit des blogs Le chef d’ établissement est exposé Professionnellement (ESPCI) Personnellement (blogs et forums)

34 3. Responsabilité Le droit de vivre en paix Le chef d’établissement
n’est pas LE responsable 3. Mais il doit agir ou réagir

35 La sécurité des systèmes d’informations est un droit
Un droit constitutionnalisé « La sécurité est un droit fondamental et l’une des conditions de l’exercice des libertés individuelles et collectives » Article 1er de la loi n°95-73 du 24 janvier 1995 d’orientation et de programmation relative à la sécurité modifiée par la LSI (18 mars 2003) et loi relative à la lutte contre le terrorisme (23 janvier 2006). Un droit basé sur quelques articles simples du Code pénal Articles et suivants Un droit de plus en plus complet De plus en plus de textes génériques comportent des dispositions sur la sécurité Ex : Informatique et libertés / code des marchés publics / code civil

36 Article du Code pénal « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de  euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende.»

37 Article 323-3-1 du Code pénal
« Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée »

38 Article du Code pénal « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de  euros d'amende »

39 Article du Code pénal « Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de  euros d'amende »

40 Orientation et de programmation pour la sécurité intérieure
Un droit de la SSI autonome en évolution permanente B U D A P E S T 2001 Lutte contre le terrorisme 2006 Hadopi Téléchargement 2009 LOPSSI Orientation et de programmation pour la sécurité intérieure 2009/2010 U E Décision cadre 92/242/CEE – Sécurité des SI Décision cadre 2005/222/JAI Attaques SII Règlement 460/2004 Création ENISA Infrastructure Européennes essentielles SOX Sociétés cotées 2002 Bale II (secteur bancaire) 2004 Solvency II (secteur assurance) 2008 LSF Sécurité financière 2003 LCEN Internet 2004 Informatique & Libertés II 2004 STAD Fraude informatique 1988 Loi sécurité Quotidienne (LSQ) 2001 Loi sécurité Intérieure (LSI) 2003 Normes et standards – ISO et s.

41 Zoom Informatique et libertés
« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.   Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8. » - Art. 34 I&L « Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. » – Art. 35 I&L

42 ? Administration Tiers Parents Élèves Chef d’établissement
Prestataires extérieurs ? Personnels au sein de l’établissement Parents Responsables informatiques Élèves

43 C I V I L E P E N A L E ADMINISTRATIVE les 3 ?

44 L’utilisateur, premier responsable
Au contact des SI Auteur de base Le « Maillon faible » Faute Négligence fautive Post-it ou fermeture de session L’éternel incompris

45 Responsabilité de l’institution
Responsabilité « générique » Obligation d’agir Définition des règles du jeu SDSI – SDET – Charte… Obligation de réaction Difficultés – danger – crise Nouvelles questions Blogs, skype, … Protection Spécifique aux fonctionnaires

46 Responsabilité et enseignants
Responsabilité civile Responsabilité spéciale Art 1384 Code civil Principe de substitution (loi du 5 avril 1937) Action récursoire Responsabilité pénale Nul n’est responsable que de son propre fait Principe de « protection » due aux fonctionnaires

47 Et le chef d’établissement dans tout ça …

48 Un … chef Transpose en local les règles
Adapte le cas échéant les règles Peut définir ses propres règles additionnelles Situations particulières Conseil d’administration

49 Un … pompier Une attaque informatique c’est comme un incendie
Procédures d’urgences Fait réaliser des exercices Des gestes simples évitent le danger

50 Un … policier Mineurs Internet Art 40 code de procédure pénale
Pas d’obligation générale de surveillance Obligations spécifiques Mineurs Internet Le droit de savoir L’obligation de dénoncer Art 40 code de procédure pénale

51 Un … gardien Des secrets De la propriété De la vie privée Des libertés
Expression notamment

52 Un … responsable de traitement
Loi informatique et libertés Définit les « finalités » et les « moyens » Les grands SI sont traités au niveau national Pas de démarche particulière Obligation de conformité Attention aux traitements locaux Usages locaux sur SI nationaux

53 Un … éditeur Ex : Notice légale Directeur de la publication
Le site web de l’établissement Une publication comme les autres Une publication pire que les autres Ex : Notice légale 1 an de prison € d’amende Une responsabilité particulière Directeur de la publication Responsabilité légale Responsabilité en cascade

54 Un … prestataire technique
Un fournisseur d’accès Obligation LCEN et jurisprudence BNP Lutte contre certains contenus Délit de négligence sur les bornes Wi-fi Un hébergeur Responsabilité spéciale Notification et réaction

55 Un … artificier Jurisprudence IBM Jurisprudence Tati
Jurisprudence Lucent Alerte - Mise en garde Déminage

56 Un … « prudent » Un bon père de famille Négligence fautive
Un triptyque salvateur Information Contrôle Action Principe de précaution

57 Le chef d’établissement, une victime potentielle
Diffamation, dénigrement, droit à l’image, … Droit de réponse et demande de suppression Requête afin d’identification Procédures contentieuses ou disciplinaires

58 Le chef d’établissement, un utilisateur comme un autre
Responsabilité personnelle Responsabilité pour faute Responsabilité civile/pénale Impact de la faute personnelle sur le professionnel

59 4. Maîtrise du risque Gouvernance Information Contrôle Action

60 Sanctionner Auditer Connaître Contrôler Apprendre Mesures techniques Responsabiliser Règles

61 Gouvernance nationale
Schéma directeur de la sécurité des systèmes d’informations Chaîne fonctionnelle et responsabilité Schéma directeur ENT Socle de base et référentiel juridique Charte des personnels En cours Assistance sécurité

62 Information documentaire
Charte EPLE Conditions d’accès au SI de l’EPLE Extérieur connecté Conditions d’hébergement Charte « poste libre accès » Contrats

63 Champ technique Informatique Identification Téléphonie PDA - Pager Équipement Réseau

64 CHAMP FONCTIONNEL & JURIDIQUE
Correspondance Envoyer/recevoir Surf rechercher Edition publier Discussion échanger CHAMP FONCTIONNEL & JURIDIQUE

65 Information Sensibilisation générale Sensibilisation spéciale
Cas d’espèce : convocation du fait de blogs Le Chef d’établissement doit en savoir plus que l’élève …

66 Mesures de contrôle Filtrage Log Identifiant Contrôle sur poste
Devient obligatoire avec Hadopi Log Le seul moyen de prouver qui est coupable Identifiant Contrôle sur poste Modalités du contrôle Conditions du contrôle

67 LA TECHNIQUE NE SUFFIT PAS...

68

69 Contrefaçon Le risque : téléchargement massif
Le nouveau contexte : Hadopi Mise en place de filtres Rappel des règles Détention du parc justificatif Licences mêmes libres

70 Gestion de la preuve électronique
Pas de preuve = pas de faute Pas de preuve pour soi-même La copie d’écran ne sert que lorsqu’on ne s’en sert pas … Dans l’environnement judiciaire Huissier Police L’archivage des méls

71 Attention au web Notice légale
Un an d’emprisonnement et € d’amende Respect de la loi Informatique et libertés Conditions spéciales « espace école » Attention aux Contenus Liens Référencements Noms de domaine

72 Action-Réaction Accès à un contenu illicite/fautif
Obligation d’information auprès des autorités compétentes Spécial environnement public Pour tous La conséquence de ne pas faire … Civile Co-responsable Pénale Complicité Suivre la chaine d’alerte interne sauf….

73

74 10 Conseils Cnil pour sécuriser

75 Résumé des 10 conseils Cnil pour sécuriser
Adopter une politique de mot de passe rigoureuse Concevoir une procédure de création et de suppression des comptes utilisateurs Mettre en place le verrouillage automatique des postes Identifier précisément qui peut avoir accès aux fichiers Veiller à la confidentialité des données vis-à-vis des prestataires 6. Sécuriser le réseau local 7. Sécuriser l’accès physique aux locaux 8. Anticiper le risque de perte ou de divulgation des données 9. Anticiper et formaliser une politique de sécurité du système d’information 10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi "informatique et libertés"

76 MERCI

77 Contact ALAIN BENSOUSSAN AVOCATS 29 rue du colonel Pierre Avia Paris 15è Tél. : Fax : Eric Barbry L.D. : Mob. :

Télécharger ppt "SSI – INTERNET – EPLE Aspects juridiques"

Présentations similaires

La charte d'usage des TIC : une obligation pour les EPLE

La charte d'usage des TIC : une obligation pour les EPLE
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.

Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
CREPS PACA - 8 décembre 2006 Frédéric Duvernoy - Ardesi

CREPS PACA - 8 décembre 2006 Frédéric Duvernoy - Ardesi
Collège Anatole France – Cadillac Mise à jour: 10-12-2006 Questions sur cette charte à envoyer à: CHARTE INFORMATIQUE SIMPLIFIEE.

Collège Anatole France – Cadillac Mise à jour: Questions sur cette charte à envoyer à: CHARTE INFORMATIQUE SIMPLIFIEE.
DATICE. Propriété intellectuelle et droit dauteur Respect de la vie privée (notamment droit à limage) Protection des données personnelles Ne pas diffuser.

DATICE. Propriété intellectuelle et droit dauteur Respect de la vie privée (notamment droit à limage) Protection des données personnelles Ne pas diffuser.
Protéger la personne et la vie privée

Protéger la personne et la vie privée
Année 1 : Etat des lieux / Analyse contextuelle

Année 1 : Etat des lieux / Analyse contextuelle
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.

1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
C2i Être responsable à l'ère du numérique

C2i Être responsable à l'ère du numérique
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.

COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
Obligations et droits des fonctionnaires de l’ Education Nationale

Obligations et droits des fonctionnaires de l’ Education Nationale
La responsabilité juridique des membres de l’Enseignement

La responsabilité juridique des membres de l’Enseignement
1 BLOG ET DROIT ADDNB - 16 mars 2007

1 BLOG ET DROIT ADDNB - 16 mars 2007
Validation des compétences C.2.1 – C.2.2 et C.2.3

Validation des compétences C.2.1 – C.2.2 et C.2.3
1 LINFORMATION, CAPITAL IMMATÉRIEL DE LENTREPRISE SSTIC – 6 JUIN 2012 Garance MATHIAS Avocat 9 rue Notre Dame de Lorette 75009 PARIS Tel 0143800201/ Email.

1 LINFORMATION, CAPITAL IMMATÉRIEL DE LENTREPRISE SSTIC – 6 JUIN 2012 Garance MATHIAS Avocat 9 rue Notre Dame de Lorette PARIS Tel / .
B2i Lycée Circulaire 2013-120 BO n°31 du 29/08/2013.

B2i Lycée Circulaire BO n°31 du 29/08/2013.
L’attaque rebond Réunion de crise

L’attaque rebond Réunion de crise
INTERRESSEZ VOUS AU DROIT AVANT QUE LE DROIT NE S’INTERRESSE A VOUS …

INTERRESSEZ VOUS AU DROIT AVANT QUE LE DROIT NE S’INTERRESSE A VOUS …
Comment mettre en place et déployer une charte Internet ?

Comment mettre en place et déployer une charte Internet ?
Solidarités et réussites Académie de Créteil www.ac-creteil.fr 1. Présentation du Cartable en ligne 2. Intégration des emplois du temps 3. Charte, droits.

Solidarités et réussites Académie de Créteil 1. Présentation du Cartable en ligne 2. Intégration des emplois du temps 3. Charte, droits.

Présentations similaires

Annonces Google