droit + sécurité + techno = ? vincent gautrais professeur agrégé – avocat faculté de droit – UDM titulaire de la chaire UDM en droit de la sécurité et des affaires électroniques

triangle … relationnel symbiotique incestieux amoureux ? sécurité droittechno

nous sommes face à une révolution

la technologie est révolutionnée

« dès le moment où change le couplage support - message, cest-à-dire le moment de linvention de lécriture, alors dans nos civilisations, tout change ! » Michel Serres

la sécurité est révolutionnée vous

la sécurité est révolutionnée nous

la sécurité est révolutionnée sécurité sublimée

la sécurité est révolutionnée

le droit est en évolution Rome (-753/+476) Phénicien (-700/-200) Grèce (-1500/-146) Baylone (-4000/-539) Antiquité (-5000/+476) papier imprimerie électronique

ex: Babylone

cest quoi le droit ?

le droit …comme approche

le droit …comme outil 1.Contrat 2.Loi 3.Procédures et politiques

-1- contrat et techno

outil dune immense souplesse

ORALPAPIER ELECTRONQUE BAS téléphone nappe fax courriel MEDIUM vente entre 2 professionnels contrat signé courriel avec accusé de réception HAUT code Hammurabi contrat de mariage vente immobilière Saxon ( 100 A J.C.) contrat notarial contrat avec PKI contrat avec une tierce partie communication securité

normalement … offre + acceptation

AB normalement …

1386 CCQ. L'échange de consentement se réalise par la manifestation, expresse ou tacite, de la volonté d'une personne d'accepter l'offre de contracter que lui fait une autre personne.

cest aussi... information + sanction

mais aussi… communication + sécurité

Contrat électronique Contrat papier

consentement électronique = 1)communication 2) acceptation 1 2

1399 CCQ « Le consentement doit être libre et éclairé. » 1

lisibilité contrat = information 1

mais.. Pour le moins 10 pratiques contractuelles pathologiques 1

1 - lisibilité 1

2 - dynamique 7. Privacy; Monitoring the Services We are under no obligation to monitor the services, but we may do so from time to time and we may disclose information regarding Users use of the Services for any reason and at our sole discretion in order to satisfy applicable laws, regulations, governmental requests, or in order to operate and deliver the Services in an effective manner, or to otherwise protect us and our Users. We agree to comply with the terms of our Privacy Policy as set forth on our FAQ website, as it may be amended from time to time. 1

3 - longueur 1

information = oxygène 1

Feldman v. GoogleFeldman v. Google (avril 2007) « AdWords Agreement gave reasonable notice of its terms. In order to activate an AdWords account, the user had to visit a webpage which displayed the Agreement in a scrollable text box. (…) the text of the AdWords Agreement was immediately visible to the user, as was a prominent admonition in boldface to read the terms and conditions carefully, and with instruction to indicate assent if the user agreed to the terms. That the user would have to scroll through the text box of the Agreement to read it in its 14 entirety does not defeat notice because there was sufficient notice of the Agreement itself and clicking Yes constituted assent to all of the terms. The preamble, which was immediately visible, also made clear that assent to the terms was binding. The Agreement was presented in readable 12-point font. It was only seven paragraphs long – not so long so as to render scrolling down to view all of the terms inconvenient or impossible. A printer-friendly, full-screen version was made readily available. The user had ample time to review the document. »

4 - hyperliens linéarité versus hypertextualité 1

5 – où est le e-contrat ? 1

6 – documents légaux multiples Copyright Privacy Cookies Terms and Conditions of Sale Terms of Use Limited Warranty Service Contracts Hardware Technical Support Policy Etc. 1

7 - terminologies juridiques THE SERVICES PROVIDED BY US ARE PROVIDED "AS IS." WE MAKE NO WARRANTY OF ANY KIND, EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO ANY WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE OR NON-INFRINGEMENT, OR ANY WARRANTY REGARDING THE RELIABILITY OR SUITABILITY FOR A PARTICULAR PURPOSE OF ITS SERVICES. USER UNDERSTANDS AND ACKNOWLEDGES THAT WE EXERCISE NO CONTROL OVER THE NATURE, CONTENT OR RELIABILITY OF THE INFORMATION AND/OR DATA PASSING THROUGH OUR NETWORK. NO ORAL OR WRITTEN INFORMATION OR ADVICE GIVEN BY US, ITS DEALERS, AGENTS OR EMPLOYEES SHALL CREATE A WARRANTY AND USER MAY NOT RELY ON ANY SUCH INFORMATION OR ADVICE. WE MAKES NO WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, REGARDING THE QUALITY, ACCURACY OR VALIDITY OF THE INFORMATION AND/OR DATA RESIDING ON OR PASSING THROUGH ANY NETWORK. USE OF ANY INFORMATION AND/OR DATA OBTAINED FROM OR THROUGH SERVICES PROVIDED BY US WILL BE AT USERS OWN RISK. USER ACKNOWLEDGES THAT WE ARE NOT LIABLE FOR ANY ERRORS OR INTERRUPTION IN THE INSTALLATION PROCESS OR IN PROVIDING THE SERVICES, WHETHER WITHIN OR OUTSIDE THE CONTROL OF US. UNDER NO CIRCUMSTANCES SHALL THE USER HOLD US OR ANY OF OUR AGENTS, CONTRACTORS OR REPRESENTATIVES RESPONSIBLE FOR ANY FORM OF DAMAGES OR LOSSES (INCLUDING WITHOUT LIMITATION ANY DIRECT, INDIRECT, CONSEQUENTIAL OR INCIDENTAL DAMAGES OR LOSSES) SUFFERED FROM, BUT NOT LIMITED TO ERRORS, DELAYS, LOSS OF INFORMATION, DELAYS IN THE INSTALLATION OR PROVISIONING PROCESS, OR INTERRUPTIONS IN THE SERVICES CAUSED BY THE USER, US OR A THIRD PARTYS NEGLIGENCE, FAULT, MISCONDUCT OR FAILURE TO PERFORM. USER UNDERSTANDS THAT TELECOMMUNICATION AND/OR NETWORK ACCESS SERVICES MAY BE TEMPORARILY UNAVAILABLE FOR SCHEDULED OR UNSCHEDULED MAINTENANCE AND FOR OTHER REASONS WITHIN AND OUTSIDE OF THE DIRECT CONTROL OF US. UNDER NO CIRCUMSTANCES DO ANY SUCH ERRORS, DELAYS, INTERRUPTIONS IN SERVICES OR LOSS OF INFORMATION NULLIFY OR MODIFY THESE TERMS AND CONDITIONS. WE RESERVE THE RIGHT TO REFUSE OR TERMINATE SERVICES TO A USER AT ANY TIME WITHOUT CAUSE. THE INTERNET CONTAINS UNEDITED MATERIALS, WHICH MAY BE SEXUALLY EXPLICIT, OR MAY BE OFFENSIVE TO YOU OR OTHERS ACCESSING THE SERVICES. WE HAVE NO CONTROL OVER SUCH MATERIALS AND ACCEPT NO RESPONSIBILITY FOR SUCH MATERIALS. 1

7 – terminologies 1

8 – titres non juridiques consumer contract terms of Services conditions of Use conditions of Sale notice legal waiver licence etc. Privacy « contract » privacy confidentiality FAQ security legal waiver licence notice etc. 1

9 –clauses abusives 1

10 –clauses stupides DELL (INCLUDING DELLS PARENTS, AFFILIATES, OFFICERS, DIRECTORS, EMPLOYEES OR AGENTS) DOES NOT ACCEPT LIABILITY BEYOND THE REMEDIES SET FORTH HEREIN, INCLUDING ANY LIABILITY FOR PRODUCTS NOT BEING AVAILABLE FOR USE, LOST OR CORRUPTED DATA OR SOFTWARE, PRODUCTS SOLD THROUGH DELLS SOFTWARE AND PERIPHERALS DIVISION, OR THE PROVISION OF SERVICES OR SUPPORT. DELL WILL NOT HAVE ANY LIABILITY FOR ANY DAMAGES ARISING FROM THE USE OF THE PRODUCTS IN ANY HIGH RISK ACTIVITY, INCLUDING, BUT NOT LIMITED TO, THE OPERATION OF NUCLEAR FACILITIES, AIRCRAFT NAVIGATION OR COMMUNICATION SYSTEMS, AIR TRAFFIC CONTROL, MEDICAL SYSTEMS, LIFE SUPPORT OR WEAPONS SYSTEMS. DELL WILL NOT BE LIABLE FOR LOST PROFITS, LOSS OF BUSINESS, OR OTHER INCIDENTAL, INDIRECT, CONSEQUENTIAL, SPECIAL OR PUNITIVE DAMAGES, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGES, OR FOR ANY CLAIM BY ANY THIRD PARTY EXCEPT AS EXPRESSLY PROVIDED HEREIN.

10 –clauses stupides « Do not use the ING DIRECT Web Site to communicate to others, to post on the ING DIRECT Web Site, or otherwise transmit to the ING DIRECT Web Site, any materials, information, or communication that either causes any harm to any person or that is illegal or otherwise unlawful, including without limitation any hateful, harassing, pornographic, obscene, profane, defamatory, libellous, threatening materials which constitutes or may encourage conduct that would be considered, a criminal offence, give rise to civil liability, promote the excessive, irresponsible or underage consumption of alcohol, or otherwise violate any law or regulation. »

10 –clauses stupides « The limited warranty set forth below is given by Canon U.S.A., Inc. (Canon U.S.A.) in the United States or Canon Canada Inc., (Canon Canada) in Canada with respect to the Canon-brand PowerShot Digital Camera purchased with this limited warranty, when purchased and used in the United States or Canada. »

solutions simples court langage accessible humanité lent visuel 1

1399 CCQ « Le consentement doit être libre et éclairé. » 2

A. Shrink wrap B. Click wrap C. Browse wrap 2

1 - shrink wrap 2.A ProCD ProCD (US ) King (Canada )

2 - Click wrap – Dell Dell Computer c. Union des consommateurs - Cours suprême du Canada (13 juillet 2007)Dell Computer c. Union des consommateurs 2 questions principales –Clause arbitrale et consommation –Validité du eContract –Lire aussi « Dell a gagné »Dell a gagné 2.B

Click 1

Click 2

Click 3

Click 4

3 - Browse wrap 2.C

consentement papier = Cest la même chose

ex: contrat de travail et employé Clause de confidentialité Clause de sécurité

-2- loi et techno

démystifions ensemble

neutralité technologique

pub

Loi concernant le cadre juridique des technologies de linformation ( Québec) (LCCJTI)Loi concernant le cadre juridique des technologies de linformation Loi sur la protection des renseignements personnels dans le secteur privé ( Québec) (LPRPSP)Loi sur la protection des renseignements personnels dans le secteur privé Loi sur la protection des renseignements personnels et les documents électroniques ( Canada) (PIPEDA)Loi sur la protection des renseignements personnels et les documents électroniques Sarbanes Oxley Act (2002 – US) (SOX)

1 – lccjti 34. Lorsque la loi déclare confidentiels des renseignements que comporte un document, leur confidentialité doit être protégée par un moyen approprié au mode de transmission, y compris sur des réseaux de communication.

2 - lprpsp 10. Toute personne qui exploite une entreprise et recueille, détient, utilise ou communique des renseignements personnels sur autrui doit prendre et appliquer des mesures de sécurité propres à assurer le caractère confidentiel des renseignements.

3 – pipeda 7. Mesures de sécurité (annexe 1) « Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. »

4 – sox plus de responsabilités

lois utiles ? Oui mais pas trop –Projet de Loi dapplication de la Loi concernant le cadre juridique des technologies de linformation –Compréhensible par le juriste moyen Oui si délégation –Art. 63 de la LCCJTI Oui si référence aux procédures

-3- procédures et techno

substance versus procédure (les revoila!)

1 – lccjti transmission documents confidentiels conservation transfert améliorer preuve

Afin dy voir clair Guide relatif à la gestion des documents technologiques (11/2005) Guide relatif à la gestion des documents technologiques Afin dy voir clair Guide relatif à la gestion des documents technologiques

2 – pipeda 1. Responsabilité (annexe 1) « Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront sassurer du respect des principes énoncés ci-dessous. » « Les organisations doivent assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris : a) la mise en oeuvre des procédures pour protéger les renseignements personnels ; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite ; c) la formation du personnel et la transmission au personnel de linformation relative aux politiques et pratiques de lorganisation ; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures.

3 – laprpsp décret sur lanalyse de risques (2007) Décret sur la diffusion de linformation et sur la protection des renseignements personnels

4 – sox section 404: Management Assessment of Internal Controls « Rules Required. The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 to contain an internal control report, which shall: state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting ».

attention au 404 «404 File Not Found » (en français, « fichier non trouvé ») est un code d'erreur dans le protocole HTTP. Ce code est renvoyé par un serveur HTTP pour indiquer que la ressource demandée (généralement une page Web) n'existe pas. Le premier 4 indique une erreur dans la requête, ici une mauvaise URL, venant d'une page obsolète ou d'une erreur de saisie d'adresse Web de la part du visiteur. Le dernier 4 indique le problème causé par cette erreur : la ressource est introuvable.françaisfichiercodeprotocoleHTTPserveur HTTP page WebURLadresse Web Les numéros d'erreur sont définis dans les spécifications du protocole de communication HTTP.»spécifications wikipedia

Sox Canada Niveau règlementaire Niveau intermédiaire Niveau applicatif ACVM Instruction ACVM ACVM ACVM COCO COSO Turnbull Tendance «contrôle qualité» ITIL ISO 9000 NQI Tendance « sécurité » ISO GAISP Octave Méhari Tendance «contrôle interne» COBIT OECD CICA

inflation réglementaire Final Rule: Management's Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports Réfèrant à plusieurs «standards» Référant à des «Reports»

critiques inhérentes Atteintes à la délégation (favorise lesprit de dépanneur) Atteinte à linnovation (indiquer tous les changements) Coûts prohibitifs (très différents des estimations de la SEC) même si frise la fantaisie Conséquences de lultra-responsabilisation des dirigeants (plus de suivi – coûts de gestion en hausse) « Hyper-oxygénation informationnelle » Prise de pouvoir des «technos»

conclusion documentation inhérente à la preuve électronique dialogue inter-professionnel

droit + sécurité + techno = ? vincent gautrais professeur agrégé – avocat faculté de droit – UDM titulaire de la chaire UDM en droit de la sécurité et des affaires électroniques