Marie Barel – Orange Consulting Le vol d’informations n’existe pas Quelle protection pour l’information ? Marie Barel – Orange Consulting presentation title
reconnaît pas le vol d’informations Une idée reçue … en conflit avec la réalité économique Non, le droit ne reconnaît pas le vol d’informations SSTIC’09 – Marie Barel, Orange Consulting 2 presentation title
Le vol : article 311-1 du Code pénal Position unanime de la doctrine classique (J. Devèze, J. Pradel, J. Huet, …) Principaux obstacles : dans la rédaction et l’esprit du code pénal, les faits de vol nécessitent … la « soustraction » frauduleuse : une vision matérielle Arrêt Beaudet (1937) > il faut « prendre, enlever, ravir » Nécessité d’un support : CA Grenoble, 4 mai 2000 Critère du déplacement de la chose volée (// UK, Theft Act 1916: « takes and carries ») de la « chose » d’autrui : l’information, un objet susceptible d’appropriation ? Droit comparé (UK, Suisse, Finlande, Espagne, Inde, …) : chose matérielle, biens mobiliers et corporels De l’immatérialité de l’information : // création prétorienne du vol d’électricité (Crim., 3.8.1912 > art. 311-2 CP) ; Crim., 2 septembre 2008 SSTIC’09 – Marie Barel, Orange Consulting 3 presentation title
Jurisprudence : de l’audace mais pas de consécration De l’appropriation (corpus) à la dépossession (animus) : l’usurpation ou la soustraction juridique de la chose Précédents : affaires Logabax (1979) et Antoniolli (1989) Attendu de principe : « attendu que la détention matérielle d’une chose, non accompagnée de la remise de la possession, n’est pas exclusive de l’appréhension qui constitue l’un des éléments constitutifs du vol. » Dissociation du support et de son « contenu informationnel » : premier pas vers une reconnaissance du vol d’informations ? Arrêt de référence : affaire Bourquin - Crim., 12 janvier 1989 ; voir aussi, CA Limoges, 8.9.1998 SSTIC’09 – Marie Barel, Orange Consulting 4 presentation title
Bilan du droit positif et perspectives Les juges conduits à une « extension considérable » des textes dans le souci de ne pas laisser impunies des infractions qui sont en pleine expansion Une adaptation des éléments traditionnels du vol contraire au principe de légalité : nécessité d’une intervention législative Si le droit ne protège pas contre l’appréhension (vol) de l’information, il permet généralement de protéger celle-ci contre sa divulgation ou son détournement SSTIC’09 – Marie Barel, Orange Consulting 5 presentation title 5
Et pourtant, une réalité économique ! Besoin de se prémunir … Intelligence économique « défensive » et protection des intérêts fondamentaux de la Nation (FIC 2009) : secrets industriels ou militaires, ICS*, … (*) Informations commercialement sensibles Piratage informatique et « marché noir » des informations à caractère personnel (CB, n°SS, …) Menace externe ou étrangère SSTIC’09 – Marie Barel, Orange Consulting 6 presentation title 6
Des moyens de réponse spécifiques Face à cette menace, si le droit français ne protège pas tant contre l’appréhension de l’information (sous réserve des articles 323-1 et suivants du Code Pénal), elle la protège plus efficacement contre sa divulgation : Livraison d’informations à une puissance étrangère (art. 411-6 à 411-8 du Code pénal) : vise les « données informatisées ou fichiers » Protection par le secret : secret de la défense nationale (art. 413-9 à 413-12 C.Pén. ; IGI n° 1300 et 900) secret professionnel (articles 226-13 et 226-14 du Code pénal) secrets de fabrique et espionnage industriel : cas Dassault Aviation (2002) Protection des informations dans le cadre de procédures administratives ou judiciaires (type E-discovery) : loi n°68-678 du 26 juillet 1968 Guide des bonnes pratiques en matière d’intelligence économique - Publié en février 2009 par le SCIE : http://www.ie.bercy.gouv.fr/ 7
Autre constat : la menace interne 1 chiffre 59% des employés américains ayant quitté leur société en 2008 admettent dérober des données confidentielles appartenant à l’entreprise qu’ils quittent Source : enquête conjointe menée par le Ponemon Institue et Symantec (février 2009) – https://www4.symantec.com/Vrt/offer?a_id=78695 « Barbie hacker » by Mattel SSTIC’09 – Marie Barel, Orange Consulting 8 presentation title 8
Menace interne : pistes d’explication possible Quel est le statut juridique de l’information ? Toutes les informations présentes sur le SI sont-elles protégées ? Quels sont les titulaires des droits qui s’appliquent ? … Principes d’efficacité issus de Retex ? Quel périmètre pour la politique de protection de l’information ? … Faux sentiment de propriété Méconnaissance des obligations nées du contrat de travail ou de prestation de service « Vol d’informations » par un Utilisateur (insiders/ex-employees) Déficit de sensibilisation ou complexité de la politique de protection et de classification de l’information Quelle est la portée et le contenu de l’obligation de loyauté ? Quelles sont les clauses importantes des contrats d’externalisation ? … Comment la Charte peut-elle protéger l’entreprise ? Quelles sont les dispositions à prévoir ? … Contrôle de l’application des règles d’utilisation du SI SSTIC’09 – Marie Barel, Orange Consulting 9 presentation title
Statut juridique de l’information Propositions diverses pour la reconnaissance des « biens informationnels » : Zenati, Catala, Bourgeois et d’autres D’une propriété auto proclamée à une propriété énoncée par le droit ou la jurisprudence Rappel des principes de propriété intellectuelle : brevets, marques, D&M (déposant) bases de données (investisseur) logiciels (employeur) productions intellectuelles (auteur) Le produit de l’activité du salarié, propriété de l’employeur : CA Grenoble, 15 février 1995 Difficulté d’un statut global des informations, qui possèdent des formes et des contenus hétérogènes SSTIC’09 – Marie Barel, Orange Consulting 10 presentation title 10
Voies de protection de l’information 1 Contrat de travail Normes internes Autres dispositions légales 2 3 SSTIC’09 – Marie Barel, Orange Consulting 11 presentation title 11
L’obligation de loyauté : art. 1135 C. civil / art. 1222-1 C. Travail Contrat de travail L’obligation de loyauté : art. 1135 C. civil / art. 1222-1 C. Travail Contenu général : ne pas nuire à la réputation et au bon fonctionnement de l’organisme employeur Comprend aussi : Le devoir de réserve : discrétion applicable aux informations dont le salarié a connaissance de par ses fonctions L’utilisation non autorisée de la propriété de l’employeur dans des buts privés notamment Sanction : licenciement légitimé par la perte de confiance SSTIC’09 – Marie Barel, Orange Consulting 12
Politiques et normes internes (1) Politique de classification et de gestion de l’information : facteurs clés de succès Axiomes : simplicité, réalisme Dimension humaine et organisationnelle prépondérante Outillage : chiffrement, techniques de « data loss prevention », labellisation électronique, … La protection de l’information : enjeux, gouvernance et bonnes pratiques – Publications Cigref 2008 : http://cigref.typepad.fr/cigref_publications/2008/10/2008---protection.html SSTIC’09 – Marie Barel, Orange Consulting 13
Politiques et normes internes (2) Charte « Utilisateurs » Vecteur le plus fréquent pour l’éducation des comportements Un mode de déploiement privilégié : l’insertion au RI Facteurs d’appropriation : une campagne de sensibilisation adaptée Des messages ciblés Se concentrer moins sur les règles (liste d’interdits) que sur la compréhension de ces règles : expliquer SSTIC’09 – Marie Barel, Orange Consulting 14
Politiques et normes internes (3) Politique de gestion des tiers et contractualisation : Engagement de confidentialité (NDA) Respect des règles et procédures de sécurité définies par l’Entreprise Règles spécifiques d’accès et d’habilitation au SI Clauses de qualité : niveau de services (SLA), engagement sur la documentation, organisation d’un transfert de compétences, … Exigences de transparence et de reporting : suivi de la prestation réalisée par le tiers, clauses d’audit, … SSTIC’09 – Marie Barel, Orange Consulting 15
Sanction du détournement d’informations Applicabilité du parasitisme et de la concurrence déloyale même en l’absence de droit privatif Poursuites pour abus de confiance (art. 314-1 C. Pénal) Ex. affaire Valeo (2005>2007) ; Crim. 14 novembre 2000 Applicabilité du recel : une brèche dans l’alinéa 2 de l’art. 321-1 du code pénal ? Vise le fait de bénéficier, par tout moyen, du « produit » d’un crime ou d’un délit Des décisions divergentes : Affaire Calvet, Crim. 3 avril 1995 : recel d’informations (non) TGI Paris, 1er juin 2007 : recel de fichiers informatiques (oui) SSTIC’09 – Marie Barel, Orange Consulting 16
Conclusion Responsabilisation Communication Contrôle La politique de protection de l’information a besoin de tous pour s’appliquer ; il faut replacer le facteur humain au cœur des politiques de sécurité des Systèmes d’Information. On ne peut pas faire l’économie de campagnes d’information et de sensibilisation auprès des différents acteurs. La maîtrise de l’information passe par la connaissance des règles. La confiance n’exclut pas le contrôle. Responsabilisation Communication Contrôle SSTIC’09 – Marie Barel, Orange Consulting 17 presentation title
Merci pour votre attention