SSI – INTERNET – EPLE Aspects juridiques Eric Barbry Avocat Directeur du pôle « droit du numérique »
Le Cabinet des technologies avancées Paris Strasbourg Francfort Pau Grenoble Toulouse Tokyo Palo Alto 2
Le Cabinet et le Ministère Accompagnement général sur la SSI Sensibilisation juridique décideurs Chartes et modes opératoires Assistance juridique et veille Accompagnement sur projets spécifiques ENT – Informatique et libertés – gestion des logs Accompagnement rectorats Sensibilisation ou assistance juridique Questions ponctuelles EPLE – Chef d’établissement
Propos introductifs Fonction administrative Outil pédagogique Le contexte : Systèmes d’informations Fonction administrative Outil pédagogique Innovation technologique ex : ENT L’enjeu : L’exemplarité Les défis : Le nombre et la diversité L’actualité : Jurisprudence hebdomadaire Loi Hadopi Projets LOPSSI
ETAT DES LIEUX RISQUES EPLE RESPONSABILITE REGLES DU JEU
1. Etat des lieux Les gentils Les méchants Les intéressés Les nouveaux
LA "MAISON"
Les rectorats
Les établissements
9/42
2. Les risques Contenus Données Secret Propriété
Le protection des mineurs Deux dispositions pénales Pédopornographie Accès des mineurs à un contenu à caractère pornographique Peines renforcées lorsqu’il s’agit d’utiliser Internet Nécessité de « faire quelque chose » Solution technique notamment Difficulté pratique Tout le monde n’est pas mineur Que fait-on des majeurs ? Environnement professionnel Autre environnement (élève) Chambre et autres espaces « personnels »
L’accès aux SSI Les mineurs L’accès libre Le sans fil … Les problématiques Les mineurs L’accès libre Le sans fil … La notion de « droit à l’accès » Un accès pour tous ? Valeur constitutionnelle (hadopi) Droit de restriction Les obligations Restriction d’accès (FAI) Filtrage (Abonné) La trace des accès Opérateurs de télécom Abonné
Les attaques possibles
La contrefaçon Un problème récurrent Du photocopillage papier au copiage numérique Internet un outil extraordinaire au service de la pédagogie Accès au contenu Téléchargement Hadopi Protection contre le téléchargement Délit de négligence Le libre Informatique (open source ou presque) Libre étendu (creative commons)
Données à caractère personnel Un autre point récurrent à l’éducation nationale Sensibilité des données élèves Portée très large Directement ou indirectement nominatif Les traitements c’est tout ce qu’on l’on peut imaginer et encore plus 4 axes Démarches préalables Droits des gens Obligation de sécurité Flux hors EU
DIRECTEMENT / INDIRECTEMENT Collecte Extraction Organisation Enregistrement Adaptation Modification DONNEES DIRECTEMENT / INDIRECTEMENT NOMINATIVES Utilisation Conservation Communication Diffusion Mise à disposition Rapprochement Inter- connexion Verrouillage Effacement Destruction Consultation
En pratique
La « Vie privée résiduelle » Un principe jurisprudentiel Il est interdit d’interdire Il n’est pas possible de tout laisser faire Situation schizophrène L’outil de travail est « présumé » être professionnel Impossible d’accéder à une « correspondance privée » Sauf situation exceptionnelle ? Du web Le droit de contrôle ou au moins de regard de la hiérarchie
Secret et confidentialité Problématique Notes – Évaluations Sujets d’examen et résultats Informations particulières Patrimoine immatériel du Ministère Distinction secret/confidentialité Contrat / loi Celui qui dispose d’un « secret » en est responsable Le secret n’est pas la négation de la dénonciation Article 40 du Code de procédure pénale Autres articles du Code
Les risques hors établissement … Blogs, twitter, réseaux sociaux … Source de bonheur numérique Partager, échanger, diffuser, … Source de malheur électronique Diffusion de contenus illicites Diffusion de contenus « inadaptés » La difficulté de contrôle hors les murs La nécessité de protéger l’EPLE et son personnel
Mél et messagerie Une infraction par messagerie … reste une infraction ! Les méls ne sont jamais confidentiels Serveur de messagerie Le mél peut être une preuve Le mél peut même être un contrat
De mai 68 aux cyber-manifs
Principe de réalité …judiciaire Tout commence en 1996 et se poursuit Brel et Sardou Contrefaçon Toutes les premières ou presque Vie privée résiduelle Caractère professionnel de l’adresse mél Manifestations en ligne Droit des blogs Le chef d’ établissement est exposé Professionnellement (ESPCI) Personnellement (blogs et forums)
3. Responsabilité Le droit de vivre en paix Le chef d’établissement n’est pas LE responsable 3. Mais il doit agir ou réagir
La sécurité des systèmes d’informations est un droit Un droit constitutionnalisé « La sécurité est un droit fondamental et l’une des conditions de l’exercice des libertés individuelles et collectives » Article 1er de la loi n°95-73 du 24 janvier 1995 d’orientation et de programmation relative à la sécurité modifiée par la LSI (18 mars 2003) et loi relative à la lutte contre le terrorisme (23 janvier 2006). Un droit basé sur quelques articles simples du Code pénal Articles 323-1 et suivants Un droit de plus en plus complet De plus en plus de textes génériques comportent des dispositions sur la sécurité Ex : Informatique et libertés / code des marchés publics / code civil
Article 323-1 du Code pénal « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende.»
Article 323-3-1 du Code pénal « Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée »
Article 323-2 du Code pénal « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende »
Article 323-3 du Code pénal « Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende »
Orientation et de programmation pour la sécurité intérieure Un droit de la SSI autonome en évolution permanente B U D A P E S T 2001 Lutte contre le terrorisme 2006 Hadopi Téléchargement 2009 LOPSSI Orientation et de programmation pour la sécurité intérieure 2009/2010 U E Décision cadre 92/242/CEE – Sécurité des SI Décision cadre 2005/222/JAI Attaques SII Règlement 460/2004 Création ENISA Infrastructure Européennes essentielles SOX Sociétés cotées 2002 Bale II (secteur bancaire) 2004 Solvency II (secteur assurance) 2008 LSF Sécurité financière 2003 LCEN Internet 2004 Informatique & Libertés II 2004 STAD Fraude informatique 1988 Loi sécurité Quotidienne (LSQ) 2001 Loi sécurité Intérieure (LSI) 2003 Normes et standards – ISO 27001 et s.
Zoom Informatique et libertés « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8. » - Art. 34 I&L « Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. » – Art. 35 I&L
? Administration Tiers Parents Élèves Chef d’établissement Prestataires extérieurs ? Personnels au sein de l’établissement Parents Responsables informatiques Élèves
C I V I L E P E N A L E ADMINISTRATIVE les 3 ?
L’utilisateur, premier responsable Au contact des SI Auteur de base Le « Maillon faible » Faute Négligence fautive Post-it ou fermeture de session L’éternel incompris
Responsabilité de l’institution Responsabilité « générique » Obligation d’agir Définition des règles du jeu SDSI – SDET – Charte… Obligation de réaction Difficultés – danger – crise Nouvelles questions Blogs, skype, … Protection Spécifique aux fonctionnaires
Responsabilité et enseignants Responsabilité civile Responsabilité spéciale Art 1384 Code civil Principe de substitution (loi du 5 avril 1937) Action récursoire Responsabilité pénale Nul n’est responsable que de son propre fait Principe de « protection » due aux fonctionnaires
Et le chef d’établissement dans tout ça …
Un … chef Transpose en local les règles Adapte le cas échéant les règles Peut définir ses propres règles additionnelles Situations particulières Conseil d’administration
Un … pompier Une attaque informatique c’est comme un incendie Procédures d’urgences Fait réaliser des exercices Des gestes simples évitent le danger
Un … policier Mineurs Internet Art 40 code de procédure pénale Pas d’obligation générale de surveillance Obligations spécifiques Mineurs Internet Le droit de savoir L’obligation de dénoncer Art 40 code de procédure pénale
Un … gardien Des secrets De la propriété De la vie privée Des libertés Expression notamment
Un … responsable de traitement Loi informatique et libertés Définit les « finalités » et les « moyens » Les grands SI sont traités au niveau national Pas de démarche particulière Obligation de conformité Attention aux traitements locaux Usages locaux sur SI nationaux
Un … éditeur Ex : Notice légale Directeur de la publication Le site web de l’établissement Une publication comme les autres Une publication pire que les autres Ex : Notice légale 1 an de prison 75.000 € d’amende Une responsabilité particulière Directeur de la publication Responsabilité légale Responsabilité en cascade
Un … prestataire technique Un fournisseur d’accès Obligation LCEN et jurisprudence BNP Lutte contre certains contenus Délit de négligence sur les bornes Wi-fi Un hébergeur Responsabilité spéciale Notification et réaction
Un … artificier Jurisprudence IBM Jurisprudence Tati Jurisprudence Lucent Alerte - Mise en garde Déminage
Un … « prudent » Un bon père de famille Négligence fautive Un triptyque salvateur Information Contrôle Action Principe de précaution
Le chef d’établissement, une victime potentielle Diffamation, dénigrement, droit à l’image, … Droit de réponse et demande de suppression Requête afin d’identification Procédures contentieuses ou disciplinaires
Le chef d’établissement, un utilisateur comme un autre Responsabilité personnelle Responsabilité pour faute Responsabilité civile/pénale Impact de la faute personnelle sur le professionnel
4. Maîtrise du risque Gouvernance Information Contrôle Action
Sanctionner Auditer Connaître Contrôler Apprendre Mesures techniques Responsabiliser Règles
Gouvernance nationale Schéma directeur de la sécurité des systèmes d’informations Chaîne fonctionnelle et responsabilité Schéma directeur ENT Socle de base et référentiel juridique Charte des personnels En cours Assistance sécurité
Information documentaire Charte EPLE Conditions d’accès au SI de l’EPLE Extérieur connecté Conditions d’hébergement Charte « poste libre accès » Contrats
Champ technique Informatique Identification Téléphonie PDA - Pager Équipement Réseau
CHAMP FONCTIONNEL & JURIDIQUE Correspondance Envoyer/recevoir Surf rechercher Edition publier Discussion échanger CHAMP FONCTIONNEL & JURIDIQUE
Information Sensibilisation générale Sensibilisation spéciale Cas d’espèce : convocation du fait de blogs Le Chef d’établissement doit en savoir plus que l’élève …
Mesures de contrôle Filtrage Log Identifiant Contrôle sur poste Devient obligatoire avec Hadopi Log Le seul moyen de prouver qui est coupable Identifiant Contrôle sur poste Modalités du contrôle Conditions du contrôle
LA TECHNIQUE NE SUFFIT PAS...
Contrefaçon Le risque : téléchargement massif Le nouveau contexte : Hadopi Mise en place de filtres Rappel des règles Détention du parc justificatif Licences mêmes libres
Gestion de la preuve électronique Pas de preuve = pas de faute Pas de preuve pour soi-même La copie d’écran ne sert que lorsqu’on ne s’en sert pas … Dans l’environnement judiciaire Huissier Police L’archivage des méls
Attention au web Notice légale Un an d’emprisonnement et 75.000€ d’amende Respect de la loi Informatique et libertés Conditions spéciales « espace école » Attention aux Contenus Liens Référencements Noms de domaine
Action-Réaction Accès à un contenu illicite/fautif Obligation d’information auprès des autorités compétentes Spécial environnement public Pour tous La conséquence de ne pas faire … Civile Co-responsable Pénale Complicité Suivre la chaine d’alerte interne sauf….
10 Conseils Cnil pour sécuriser
Résumé des 10 conseils Cnil pour sécuriser Adopter une politique de mot de passe rigoureuse Concevoir une procédure de création et de suppression des comptes utilisateurs Mettre en place le verrouillage automatique des postes Identifier précisément qui peut avoir accès aux fichiers Veiller à la confidentialité des données vis-à-vis des prestataires 6. Sécuriser le réseau local 7. Sécuriser l’accès physique aux locaux 8. Anticiper le risque de perte ou de divulgation des données 9. Anticiper et formaliser une politique de sécurité du système d’information 10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi "informatique et libertés"
MERCI
Contact ALAIN BENSOUSSAN AVOCATS 29 rue du colonel Pierre Avia Paris 15è Tél. : 33 1 41 33 35 35 Fax : 33 1 41 33 35 36 paris@alain-bensoussan.com Eric Barbry L.D. : 01 41 33 35 27 Mob. : 06 13 28 91 28 eric-barbry@alain-bensoussan.com