SSI – INTERNET – EPLE Aspects juridiques

Slides:



Advertisements
Présentations similaires
La charte d'usage des TIC : une obligation pour les EPLE
Advertisements

Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
CREPS PACA - 8 décembre 2006 Frédéric Duvernoy - Ardesi
Collège Anatole France – Cadillac Mise à jour: Questions sur cette charte à envoyer à: CHARTE INFORMATIQUE SIMPLIFIEE.
DATICE. Propriété intellectuelle et droit dauteur Respect de la vie privée (notamment droit à limage) Protection des données personnelles Ne pas diffuser.
Protéger la personne et la vie privée
Année 1 : Etat des lieux / Analyse contextuelle
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
C2i Être responsable à l'ère du numérique
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
Obligations et droits des fonctionnaires de l’ Education Nationale
La responsabilité juridique des membres de l’Enseignement
1 BLOG ET DROIT ADDNB - 16 mars 2007
Validation des compétences C.2.1 – C.2.2 et C.2.3
1 LINFORMATION, CAPITAL IMMATÉRIEL DE LENTREPRISE SSTIC – 6 JUIN 2012 Garance MATHIAS Avocat 9 rue Notre Dame de Lorette PARIS Tel / .
B2i Lycée Circulaire BO n°31 du 29/08/2013.
L’attaque rebond Réunion de crise
INTERRESSEZ VOUS AU DROIT AVANT QUE LE DROIT NE S’INTERRESSE A VOUS …
Comment mettre en place et déployer une charte Internet ?
Solidarités et réussites Académie de Créteil 1. Présentation du Cartable en ligne 2. Intégration des emplois du temps 3. Charte, droits.
Qu’est ce qu’un ENT ? C.TICE Soissons 2.
Environnements de travail Schéma directeur des. SDET : un méta projet du S3IT S3IT : Une démarche globale Une démarche structurante Une démarche de projet.
La responsabilité pénale des éducateurs sportifs
Protection de la vie privée
Laurent Bloch RSSI de l'INSERM
C2I Métiers de la santé Domaine Juridique
ADMINISTRATION ELECTRONIQUE L'administration, nouvel hébergeur.
Conférence Vanham & Vanham 8 mai 2003 Les nouvelles obligations en matière de publicité et de marketing réalisés par le biais des nouvelles technologies.
Le cycle de vie du document et les exigences pour chacune des étapes
Législation.
Sécurité des Systèmes d'Information
Pr. François-André ALLAERT Médecin de santé publique et juriste
La charte Informatique de l’établissement
L’ordonnance du 8 décembre 2005
Barreau de Grenoble Présentation Grilog 6 février 2014
Le Conseil de la Vie Sociale
P. 1 Réunion des administrateurs l 03/05/2012 Déclaration des traitements comportant des données personnelles.
La.
« Jeunes, Réseaux sociaux et Citoyenneté » 11 décembre 2013 – Grand Salon de la Sorbonne « Jeunes, Réseaux sociaux et Citoyenneté » 11 décembre 2013 –
L’identité numérique.
CHARTE D’UTILISATION DE L’INTERNET, DES RESEAUX ET DES SERVICES MULTIMEDIA PREAMBULE Cette charte s’applique à tout utilisateur membre du personnel ou.
Le droit à l’image -Protéger son image-
Protection des mineurs sur Internet dans les établissements scolaires
Déontologie et Droit à l’image
Les blog et les sites web. Sommaire Introduction Définition Création d’un blog Obligations Responsabilités Interdits Blogs dans le cadre scolaire Mesures.
ASSURANCE ET RESPONSABILITES. L’activité sportive et la notion de risque  Notion de risque : futur, aléatoire, réel et licite L’assurance a pour but.
PROJET DE BLOG DES ELEVES DU BAC PRO ASSP
Présentation de l’ENT (espace numérique de travail)
Régulation des jeux d'argent
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Me Isabelle Chvatal 25 septembre 2014 Réseau REPCAR.
Droit à l'information et secret des affaires dans le monde de
Protection des mineurs et responsabilité de chaque acteur.
Savoir vivre le numérique en milieu scolaire
1. Le blanchiment, variation « symphonique » de la prévention de recel
1 Atelier Juridique du 6/10/09 Cybervendeurs : quelles sont vos obligations ? Franck Martin Selarl – 15 rue Vignon Paris Contact :
Les données personnelles
Me Jean Chartier – Président de la CAI au Québec et de l’AFAPDP Enjeux de la régulation : comment assurer une protection efficace des renseignements personnels.
Le projet d’établissement
Externat Bon Accueil Mars 2008
L'Accueil du public le moyen de rendre opérationnelles les compétences techniques d'un Espace Informatique grâce à une optimisation relationnelle et communicationnelle.
TICE Exposé L’école et la Vie Privée
Secrétariat général direction de la Recherche et de l’Animation scientifique et technique Présentation de la directive européenne INSPIRE.
LE DROIT ET LE WEB SI28 GODEAU Manon A2006. Le droit et le Web Introduction Le droit d’auteur Création d’un site Un site illicite.
Le droit et le Web MTEYREK Mohamad.
Informatique et Libertés individuelles. 2 La CNIL La loi en vigueur Nous sommes surveillés ?
Cellule Ecoute Loiret Enfance en Danger
Etre responsable à l’ère du numérique Domaine D2.
Les aspects juridiques de l'externalisation des données et services ARAMIS 2012 « Virtualisation et Bases de données » Yann Bergheaud – Lyon3.
LA PLACE DU DROIT 2.1 La place du droit dans l’organisation de la vie publique et des relations sociales Les notions et caractère du droit  L’objet.
ISFSC. RESEAUX SOCIAUX E-contrôle – Quels sont les moyens de contrôle et de surveillance dont disposent les employeurs envers leurs travailleurs ?
Transcription de la présentation:

SSI – INTERNET – EPLE Aspects juridiques Eric Barbry Avocat Directeur du pôle « droit du numérique »

Le Cabinet des technologies avancées Paris Strasbourg Francfort Pau Grenoble Toulouse Tokyo Palo Alto 2

Le Cabinet et le Ministère Accompagnement général sur la SSI Sensibilisation juridique décideurs Chartes et modes opératoires Assistance juridique et veille Accompagnement sur projets spécifiques ENT – Informatique et libertés – gestion des logs Accompagnement rectorats Sensibilisation ou assistance juridique Questions ponctuelles EPLE – Chef d’établissement

Propos introductifs Fonction administrative Outil pédagogique Le contexte : Systèmes d’informations Fonction administrative Outil pédagogique Innovation technologique ex : ENT L’enjeu : L’exemplarité Les défis : Le nombre et la diversité L’actualité : Jurisprudence hebdomadaire Loi Hadopi Projets LOPSSI

ETAT DES LIEUX RISQUES EPLE RESPONSABILITE REGLES DU JEU

1. Etat des lieux Les gentils Les méchants Les intéressés Les nouveaux

LA "MAISON"

Les rectorats

Les établissements

9/42

2. Les risques Contenus Données Secret Propriété

Le protection des mineurs Deux dispositions pénales Pédopornographie Accès des mineurs à un contenu à caractère pornographique Peines renforcées lorsqu’il s’agit d’utiliser Internet Nécessité de « faire quelque chose » Solution technique notamment Difficulté pratique Tout le monde n’est pas mineur Que fait-on des majeurs ? Environnement professionnel Autre environnement (élève) Chambre et autres espaces « personnels »

L’accès aux SSI Les mineurs L’accès libre Le sans fil … Les problématiques Les mineurs L’accès libre Le sans fil … La notion de « droit à l’accès » Un accès pour tous ? Valeur constitutionnelle (hadopi) Droit de restriction Les obligations Restriction d’accès (FAI) Filtrage (Abonné) La trace des accès Opérateurs de télécom Abonné

Les attaques possibles

La contrefaçon Un problème récurrent Du photocopillage papier au copiage numérique Internet un outil extraordinaire au service de la pédagogie Accès au contenu Téléchargement Hadopi Protection contre le téléchargement Délit de négligence Le libre Informatique (open source ou presque) Libre étendu (creative commons)

Données à caractère personnel Un autre point récurrent à l’éducation nationale Sensibilité des données élèves Portée très large Directement ou indirectement nominatif Les traitements c’est tout ce qu’on l’on peut imaginer et encore plus 4 axes Démarches préalables Droits des gens Obligation de sécurité Flux hors EU

DIRECTEMENT / INDIRECTEMENT Collecte Extraction Organisation Enregistrement Adaptation Modification DONNEES DIRECTEMENT / INDIRECTEMENT NOMINATIVES Utilisation Conservation Communication Diffusion Mise à disposition Rapprochement Inter- connexion Verrouillage Effacement Destruction Consultation

En pratique

La « Vie privée résiduelle » Un principe jurisprudentiel Il est interdit d’interdire Il n’est pas possible de tout laisser faire Situation schizophrène L’outil de travail est « présumé » être professionnel Impossible d’accéder à une « correspondance privée » Sauf situation exceptionnelle ? Du web Le droit de contrôle ou au moins de regard de la hiérarchie

Secret et confidentialité Problématique Notes – Évaluations Sujets d’examen et résultats Informations particulières Patrimoine immatériel du Ministère Distinction secret/confidentialité Contrat / loi Celui qui dispose d’un « secret » en est responsable Le secret n’est pas la négation de la dénonciation Article 40 du Code de procédure pénale Autres articles du Code

Les risques hors établissement … Blogs, twitter, réseaux sociaux … Source de bonheur numérique Partager, échanger, diffuser, … Source de malheur électronique Diffusion de contenus illicites Diffusion de contenus « inadaptés » La difficulté de contrôle hors les murs La nécessité de protéger l’EPLE et son personnel

Mél et messagerie Une infraction par messagerie … reste une infraction ! Les méls ne sont jamais confidentiels Serveur de messagerie Le mél peut être une preuve Le mél peut même être un contrat

De mai 68 aux cyber-manifs

Principe de réalité …judiciaire Tout commence en 1996 et se poursuit Brel et Sardou Contrefaçon Toutes les premières ou presque Vie privée résiduelle Caractère professionnel de l’adresse mél Manifestations en ligne Droit des blogs Le chef d’ établissement est exposé Professionnellement (ESPCI) Personnellement (blogs et forums)

3. Responsabilité Le droit de vivre en paix Le chef d’établissement n’est pas LE responsable 3. Mais il doit agir ou réagir

La sécurité des systèmes d’informations est un droit Un droit constitutionnalisé « La sécurité est un droit fondamental et l’une des conditions de l’exercice des libertés individuelles et collectives » Article 1er de la loi n°95-73 du 24 janvier 1995 d’orientation et de programmation relative à la sécurité modifiée par la LSI (18 mars 2003) et loi relative à la lutte contre le terrorisme (23 janvier 2006). Un droit basé sur quelques articles simples du Code pénal Articles 323-1 et suivants Un droit de plus en plus complet De plus en plus de textes génériques comportent des dispositions sur la sécurité Ex : Informatique et libertés / code des marchés publics / code civil

Article 323-1 du Code pénal « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende.»

Article 323-3-1 du Code pénal « Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée »

Article 323-2 du Code pénal « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende »

Article 323-3 du Code pénal « Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende »

Orientation et de programmation pour la sécurité intérieure Un droit de la SSI autonome en évolution permanente B U D A P E S T 2001 Lutte contre le terrorisme 2006 Hadopi Téléchargement 2009 LOPSSI Orientation et de programmation pour la sécurité intérieure 2009/2010 U E Décision cadre 92/242/CEE – Sécurité des SI Décision cadre 2005/222/JAI Attaques SII Règlement 460/2004 Création ENISA Infrastructure Européennes essentielles SOX Sociétés cotées 2002 Bale II (secteur bancaire) 2004 Solvency II (secteur assurance) 2008 LSF Sécurité financière 2003 LCEN Internet 2004 Informatique & Libertés II 2004 STAD Fraude informatique 1988 Loi sécurité Quotidienne (LSQ) 2001 Loi sécurité Intérieure (LSI) 2003 Normes et standards – ISO 27001 et s.

Zoom Informatique et libertés « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.   Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8. » - Art. 34 I&L « Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. » – Art. 35 I&L

? Administration Tiers Parents Élèves Chef d’établissement Prestataires extérieurs ? Personnels au sein de l’établissement Parents Responsables informatiques Élèves

C I V I L E P E N A L E ADMINISTRATIVE les 3 ?

L’utilisateur, premier responsable Au contact des SI Auteur de base Le « Maillon faible » Faute Négligence fautive Post-it ou fermeture de session L’éternel incompris

Responsabilité de l’institution Responsabilité « générique » Obligation d’agir Définition des règles du jeu SDSI – SDET – Charte… Obligation de réaction Difficultés – danger – crise Nouvelles questions Blogs, skype, … Protection Spécifique aux fonctionnaires

Responsabilité et enseignants Responsabilité civile Responsabilité spéciale Art 1384 Code civil Principe de substitution (loi du 5 avril 1937) Action récursoire Responsabilité pénale Nul n’est responsable que de son propre fait Principe de « protection » due aux fonctionnaires

Et le chef d’établissement dans tout ça …

Un … chef Transpose en local les règles Adapte le cas échéant les règles Peut définir ses propres règles additionnelles Situations particulières Conseil d’administration

Un … pompier Une attaque informatique c’est comme un incendie Procédures d’urgences Fait réaliser des exercices Des gestes simples évitent le danger

Un … policier Mineurs Internet Art 40 code de procédure pénale Pas d’obligation générale de surveillance Obligations spécifiques Mineurs Internet Le droit de savoir L’obligation de dénoncer Art 40 code de procédure pénale

Un … gardien Des secrets De la propriété De la vie privée Des libertés Expression notamment

Un … responsable de traitement Loi informatique et libertés Définit les « finalités » et les « moyens » Les grands SI sont traités au niveau national Pas de démarche particulière Obligation de conformité Attention aux traitements locaux Usages locaux sur SI nationaux

Un … éditeur Ex : Notice légale Directeur de la publication Le site web de l’établissement Une publication comme les autres Une publication pire que les autres Ex : Notice légale 1 an de prison 75.000 € d’amende Une responsabilité particulière Directeur de la publication Responsabilité légale Responsabilité en cascade

Un … prestataire technique Un fournisseur d’accès Obligation LCEN et jurisprudence BNP Lutte contre certains contenus Délit de négligence sur les bornes Wi-fi Un hébergeur Responsabilité spéciale Notification et réaction

Un … artificier Jurisprudence IBM Jurisprudence Tati Jurisprudence Lucent Alerte - Mise en garde Déminage

Un … « prudent » Un bon père de famille Négligence fautive Un triptyque salvateur Information Contrôle Action Principe de précaution

Le chef d’établissement, une victime potentielle Diffamation, dénigrement, droit à l’image, … Droit de réponse et demande de suppression Requête afin d’identification Procédures contentieuses ou disciplinaires

Le chef d’établissement, un utilisateur comme un autre Responsabilité personnelle Responsabilité pour faute Responsabilité civile/pénale Impact de la faute personnelle sur le professionnel

4. Maîtrise du risque Gouvernance Information Contrôle Action

Sanctionner Auditer Connaître Contrôler Apprendre Mesures techniques Responsabiliser Règles

Gouvernance nationale Schéma directeur de la sécurité des systèmes d’informations Chaîne fonctionnelle et responsabilité Schéma directeur ENT Socle de base et référentiel juridique Charte des personnels En cours Assistance sécurité

Information documentaire Charte EPLE Conditions d’accès au SI de l’EPLE Extérieur connecté Conditions d’hébergement Charte « poste libre accès » Contrats

Champ technique Informatique Identification Téléphonie PDA - Pager Équipement Réseau

CHAMP FONCTIONNEL & JURIDIQUE Correspondance Envoyer/recevoir Surf rechercher Edition publier Discussion échanger CHAMP FONCTIONNEL & JURIDIQUE

Information Sensibilisation générale Sensibilisation spéciale Cas d’espèce : convocation du fait de blogs Le Chef d’établissement doit en savoir plus que l’élève …

Mesures de contrôle Filtrage Log Identifiant Contrôle sur poste Devient obligatoire avec Hadopi Log Le seul moyen de prouver qui est coupable Identifiant Contrôle sur poste Modalités du contrôle Conditions du contrôle

LA TECHNIQUE NE SUFFIT PAS...

Contrefaçon Le risque : téléchargement massif Le nouveau contexte : Hadopi Mise en place de filtres Rappel des règles Détention du parc justificatif Licences mêmes libres

Gestion de la preuve électronique Pas de preuve = pas de faute Pas de preuve pour soi-même La copie d’écran ne sert que lorsqu’on ne s’en sert pas … Dans l’environnement judiciaire Huissier Police L’archivage des méls

Attention au web Notice légale Un an d’emprisonnement et 75.000€ d’amende Respect de la loi Informatique et libertés Conditions spéciales « espace école » Attention aux Contenus Liens Référencements Noms de domaine

Action-Réaction Accès à un contenu illicite/fautif Obligation d’information auprès des autorités compétentes Spécial environnement public Pour tous La conséquence de ne pas faire … Civile Co-responsable Pénale Complicité Suivre la chaine d’alerte interne sauf….

10 Conseils Cnil pour sécuriser

Résumé des 10 conseils Cnil pour sécuriser Adopter une politique de mot de passe rigoureuse Concevoir une procédure de création et de suppression des comptes utilisateurs Mettre en place le verrouillage automatique des postes Identifier précisément qui peut avoir accès aux fichiers Veiller à la confidentialité des données vis-à-vis des prestataires 6. Sécuriser le réseau local 7. Sécuriser l’accès physique aux locaux 8. Anticiper le risque de perte ou de divulgation des données 9. Anticiper et formaliser une politique de sécurité du système d’information 10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi "informatique et libertés"

MERCI

Contact ALAIN BENSOUSSAN AVOCATS 29 rue du colonel Pierre Avia Paris 15è Tél. : 33 1 41 33 35 35 Fax : 33 1 41 33 35 36 paris@alain-bensoussan.com Eric Barbry L.D. : 01 41 33 35 27 Mob. : 06 13 28 91 28 eric-barbry@alain-bensoussan.com

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.