Droit et Sécurité

De wikilivois
Sauter à la navigation Sauter à la recherche

Sommaire

Lois françaises

L’intrusion informatique

Les précautions à prendre - Code Civil et Code pénal 226-17

Article 1383 du Code civil.

Chacun est responsable du dommage qu’il a causé non seulement par son fait,
mais encore par sa négligence ou son imprudence.

Article 226-17 (Ordonnance n°2000-916 du 19 septembre 2000 art.3 du Journal Officiel du 22 septembre 2000, en vigueur le 1er janvier 2002)

Le fait de procéder ou de faire procéder à un traitement automatisé d’informations
nominatives sans prendre toutes les précautions utiles pour préserver la sécurité
de ces informations et notamment empêcher qu’elles ne soient déformées,
endommagées ou communiquées à des tiers non autorisés est puni
de cinq ans d’emprisonnement et de 300 000 euros d’amende.

La loi Godfrain

5 janvier 1988

Le code pénal, articles 323-1 à 7

Accès et maintient dans un système (323-1)

« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d'emprisonnement et de 100 000F d’amende. 
Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la  peine est de deux ans d’emprisonnement et de 200 000F d’amende. »

La notion de système Les tribunaux en ont aujourd’hui une conception assez large :

  • le réseau France Telecom
  • le réseau carte bancaire (Trib cor Paris, 25/02/00)
  • un disque dur (Cour d’appel de Douai, 7/10/92)
  • un radiotéléphone (Cour d’appel de Paris, 18/10/02)
  • un ordinateur isolé
  • un réseau …

Exigence d’un dispositif de sécurité Si le système existe et si son objet est bien le traitement automatisé de données, la jurisprudence ne retient pas l’existence d’un dispositif de sécurité comme un condition préalable à la réalisation de l’infraction. Autrement dit, un système peut parfaitement faire l’objet d’un accès frauduleux quand bien même il ne disposerai d’aucun mécanisme de sécurité.

La notion d’accès frauduleux

On considère qu’il y a bien un accès au sens juridique, accès frauduleux s’il est réalisé sans la permission du maître du système. L’accès ou le maintien doivent être frauduleux. L’élément moral propre à chaque infraction demande que :

  • l’acte doit être volontaire et ne pas résulter d’une simple erreur
  • l’auteur de l’accès ou du maintien doit avoir conscience de l’irrégularité de son acte. La cour d’appel de Paris l’a rappelé le 5 avril 1994, précisant que l’accès et le maintien « doivent être faits sans droit et en connaissance de cause »

Exemples : intrusions, utilisation de sniffer, décodage de signaux magnétiques, wardriving

Remarque : la deuxième partie de l’article sanctionne les atteintes portées involontairement au système, à la différence des articles 323-2 et 323-3

Atteinte volontaire au fonctionnement d’un système (323-2)

« Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 300 000F d’amende »

Exemples : DoS, changement de mot de passe, web defacement

Jurisprudence

Cour d’appel de Paris (1994)

Un directeur technique avait bloqué la totalité du système informatique en refusant de communiquer les codes d’accès correspondants. En l’espèce la personne en question avait préalablement modifié les codes dans le but de bloquer le système d’information de l’entreprise.

Atteinte volontaire aux données (323-3)

« Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de trois ans d’emprisonnement et de 300 000F d’amende. »

Exemples : introduction de backdoor, web defacement, action néfastes de virus volontaires

La jurisprudence aujourd’hui ne semble pas faire la distinction programme / données.

L’association de cyber malfaiteurs (323-4)

« La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3 est punie des peines prévues pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. »

La notion d’entente

L’entente ou le groupement (à partir de 2 personnes physiques ou morales) doit se concrétiser par un fait matériel : échange de mots de passe subtilisés, confection d’un virus destiné à frapper un système donnée …

Jurisprudence

Cour d’appel d’Aix du 2 juin 1993

L’entente a été retenue alors qu’une personne avait remis des cartes bancaires à un contrefacteur pour qu’il procède à leur ré-encodage. La participation au groupement ou à l’entente doit être volontaire et le prévenu doit avoir eu conscience de l’activité réelle de l’association.

La tentative (323-7)

« La tentative des délits prévus par les articles 323-1 à 323-4 est punie des mêmes peines »

Jurisprudence

Cet article n’a, à priori, donné lieu à aucune jurisprudence.

Jurisprudence

Bibliographie

La loi « Godfrain » à l’épreuve du temps - MISC

Liberté de l’information

Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés

http://www.cnil.fr/index.php?id=301#Article9

6 janvier 78 , modifiée par les lois 88-227, 92-1336, 94-548, 99-641, 2000-321, 2002-303.

La loi est divisée en 9 chapitres :

  • I. Principes et définitions (Articles 1-5)
  • II. La Commission nationale de l’informatique et des libertés (6-13)
  • III. Formalités préalables à la mise en œuvre des traitements automatisés (14-24)
  • IV. Collecte, enregistrement et conservation des informations nominatives (25-33)
  • V. Exercice du droit d’accès (34-40)
  • Vb. Traitements automatisés des données nominatives ayant pour fin la recherche dans le domaine de la santé (40.1-40.10)
  • Vc. Traitement des données personnelles de santé à des fins d’évaluation ou d’analyse des activités de soins et de prévention (40.11-40.15)
  • VI. Dispositions pénales (41-44)
  • VII. Dispositions diverses (45-48)

Principe & définition

Toute personne a le droit de connaître et de contester les informations 
et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés. (Article 3)


Sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, 
l’identification des personnes physiques auxquelles elles s’appliquent, 
que le traitement soit effectué par une personne physique ou par une personne morale. (Article 4)


Est dénommé traitement automatisé d’informations nominatives au sens de la présente loi
-  tout ensemble d’opérations réalisées par les moyens automatiques, relatif à 
la collecte, l’enregistrement, l’élaboration, la modification, la conservation  et la destruction d’informations nominatives ainsi que
-  tout ensemble d’opérations de même nature se rapportant à l’exploitation de fichiers ou bases de données 
et notamment les interconnexions ou  rapprochements, consultations ou communications d’informations nominatives. (Article 5)

Formalités préalables à la mise en œuvre de traitement automatisés

Obligation de déclaration

Les traitements automatisés d’informations nominatives […] doivent […] faire l’objet d’une déclaration 
auprès de la Commission nationale de l’informatique et des libertés 
Cette déclaration comporte l’engagement que le traitement satisfait aux exigences de la loi.
Dès qu’il a reçu récépissé délivré sans délai par la commission, le demandeur peut mettre en œuvre le traitement. […](Article 16)

On peut envoyer une déclaration simplifiée (cf article 17), si la déclaration est conforme à une norme simplifiée en vigueur, c’est à dire [A REDIGER]

Collecte, enregistrement et conservation des informations nominatives

La collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite. (Article 25)

Obligation d’information

Les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées :
du caractère obligatoire ou facultatif des réponses
des conséquences à leur égard d’un défaut de réponse
des personnes physiques ou morales destinataires des informations
de l’existence d’un droit d’accès et de modification
Lorsque de telles informations sont recueillies par voie de questionnaires, ceux-ci doivent porter mention de ces prescriptions.
Ces dispositions ne s’appliquent pas à la collecte des informations nécessaires à la constatation des infractions. (Article 27)

Des formulaires exemples sont proposés à l’adresse http://www.cnil.fr/declarer/modeles.htm

Les archives

Les informations ne peuvent être conservées plus longtemps que le temps déclaré à la CNIL qu’en vue de leur traitement à des fins historiques, statistiques ou scientifiques. (cf Article 28)

Tout fonctionnaire ou ayant chargé de la collecte ou de la conservation d’archives en application des dispositions de la présente loi 
est tenu au secret professionnel en ce qui concerne tout document qui ne peut être légalement mis à la disposition du public.  (Article 2 de la loi 79-18)

Obligation de sécurité

Toute personne ordonnant ou effectuant un traitement d’informations nominatives s’engage de ce fait, vis à vis des personnes concernées, 
à prendre toutes les précautions utiles afin de préserver la sécurité des informations 
et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. (Article 29)

Les informations discriminatoires

Il est interdit de mettre ou conserver en mémoire informatique, sauf accord exprès de l’intéressé, 
des données nominatives qui, directement ou indirectement, 
font apparaître les origines sociales ou les opinions politiques, philosophiques ou religieuses 
ou les appartenances syndicales « ou les mœurs » des personnes. (Extrait de l’article 31) 

Exercice du droit d’accès

La correction automatique d’un fichier nominatif

Un fichier nominatif doit être complété ou corrigé même d’office lorsque l’organisme qui le tient 
acquiert connaissance de l’inexactitude ou du caractère incomplet d’une information nominative contenue dans ce fichier. (Article 37)


Si une information a été transmise à un tiers, sa rectification ou son annulation doit être notifiée à ce tiers, 
sauf dispense accordée par la commission. (Article 38)

Dispositions pénales

Les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal. (Article 41)
Est puni d’emprisonnement et de 100 000F d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés :
soit en s’opposant à l’exercice de vérifications sur place ;
soit en refusant de communiquer à ses membres, à ses agents ou aux magistrats mis à sa disposition, 
les renseignements et documents utiles à la mission qui leur est confiée par la commission 
ou en dissimulant lesdits documents ou renseignements, ou encoure en les faisant disparaîtres ;
soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements 
au moment où la demande a été formulée ou qui ne le présentent  pas sous une forme directement intelligible. (Article 43)

Loi n°86-1067 relative à la liberté de communication « Loi Léotard »

30 septembre 86 -

Directive 95/46/CE du parlement européen et du conseil

24 octobre 95 - Relative à la protection des personnes à l’égard du traitement des données à caractère personnel et à la libre circulation des données.

Le code pénal, articles 226-16 à 24

« Sanctions pénales de la loi « informatique et libertés »

Le fait (L n° 92-1336), y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d’informations nominatives 
sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévue par la loi 
est puni de 3 ans d’emprisonnement et de 45 000€ d’amende. (Article 226-16)


Le fait de procéder ou de faire procéder à un traitement automatisé d’informations nominatives 
sans prendre toutes les précautions utiles pour préserver la  sécurité de ces informations 
et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés 
est puni de 5 ans  d’emprisonnement et de 300 000€ d’amende. (Article 226-17)


Le fait de collecter des données par un moyen frauduleux, déloyal ou illicite, 
ou de procéder à un traitement d’informations nominatives concernant une personne physique malgré l’opposition de cette personne, 
lorsque cette opposition est fondée sur des raisons légitimes, est puni de 5 ans d’emprisonnement et de 300 000€ d’amende. 
(L n°94-548)[…](Article 226-18)


Le fait, hors des cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, 
sans l’accord exprès de l’intéressé, des données nominatives qui, directement ou indirectement, 
font apparaître les origines sociales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales 
ou les mœurs des personnes est puni de 5 ans d’emprisonnement et de 300 000€ d’amende.
Est puni des mêmes peines, le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée 
des informations nominatives concernant des infractions, des condamnations ou des mesures de sûreté. (Article 226-19)


I. Le fait de conserver des informations sous une forme nominative 
au-delà de la durée prévue par la demande d’avis ou la déclaration préalable à la mise en œuvre du traitement automatisé 
est puni de 3 ans d’emprisonnement et de 45 000€ d’amende, 
sauf si cette conservation est effectuée à des fins historiques,  statistiques ou scientifiques dans les conditions prévues par la loi.
II. Le fait de traiter des informations nominatives conservées au delà de la durée mentionnée au I 
à des fins autres qu’ historiques, statistiques ou scientifiques est puni des mêmes peines, 
sauf si ce traitement a été autorisé dans les conditions prévues par la loi. (Article 226-20)


Le fait, par toute personne détentrice d’informations nominatives à l’occasion 
de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, 
de détourner ces informations de leur finalité 
telle que définie par la disposition législative 
ou l’acte réglementaire autorisant le traitement automatisé, (L n°95-116) 
ou par la décision de la CNIL autorisant un traitement automatisé ayant pour fin la recherche dans le domaine de la santé, 
ou par les déclarations préalables à la mise en œuvre de ce traitement, 
est puni de 5 ans d’emprisonnement et de 300 000€ d’amende. (Article 226-21)


Le fait, par toute personne qui a recueilli 
à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, 
des informations nominatives dont la divulgation aurait pour effet de porter atteinte 
à la considération de l’ intéressé ou à l’intimité de sa vie privée, 
de porter, sans autorisation de l’intéressé, ces informations à la connaissance d’un tiers qui n’a pas qualité pour les recevoir, 
est puni d’un an  d’emprisonnement et de 15 000€ d’amende. 
La divulgation prévue à l’alinéa précédent est punie de 7 5000€ d’amende lorsqu’elle a été commise par imprudence ou négligence. 
Dans les cas prévus aux 2 alinéas précédents, la poursuite ne peut être exercée 
que sur la plainte de la victime, de son représentant légal ou de ses ayants droits. (Article 226-22)


Les dispositions des articles 226-17 à 226-19 sont applicables aux fichiers non automatisés ou mécanographiques 
dont l’usage ne relève pas exclusivement de l’exercice du droit à la vie privée.(Article 226-23)


Les personnes morales peuvent être déclarées responsables pénalement, 
dans les conditions prévues par l’article 121-2, 
des infractions définies aux articles  226-16 à 226-21 et 226-23 ainsi qu’au premier alinéa de l’article 226-22. 
Les peines encourues par les personnes morales sont :
1° L’amende, suivant les modalités prévues par l’article 131-38 ;
2° Les peines mentionnées aux 2°,3°,4°,5°,7°,8° et 9° de l’article 131-39 porte sur 
l’activité dans l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a été commise. […]
(Article 226-24).

La cybersurveillance

Principes généraux

L’information préalable, condition de la transparence

L’obligation d’information préalable fait partie du code du travail (L 121-8)

Aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée 
par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ou du candidat à l’emploi.

Nul moyen de preuve ne peut être opposé par l’employeur aux salariés si le dispositif de contrôle a été mis en œuvre à leur insu.

L’obligation de transparence inspire la loi du 6 janvier 1978 qui soumet tout traitement automatisé d’informations nominatives à déclaration préalable auprès de la CNIL, interdit que les données soient collectées par un moyen frauduleux, déloyal ou illicite et impose une obligation d’information des personnes concernées notamment sur les destinataires des données et le lieu où s’exerce le droit d’accès et de rectification.

La discussion collective

Le comité d’entreprise est informé et consulté préalablement à tout projet important d’introduction de nouvelles technologies , 
lorsque celles-ci sont susceptibles d’avoir des conséquences sur les conditions de travail du personnel. (code du travail L432-2)

Le comité d’entreprise doit être

Informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, 
sur les moyens ou les techniques permettant un contrôle de l’activité des salariés. (code du travail L432-1).

La proportionnalité

Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions 
qui ne seraient pas proportionnées au but recherché (code du travail L120-2)

Article 9 du code civil

Le contrôle des connexions Internet

(Cf fiche de la CNIL)

Les conditions d’usage d’Internet peuvent être fixées par l’employeur et ne constituent pas, en soi, des atteintes à la vie privée des salariés ou agents publics.

Les dispositifs de filtrage de sites non autorisés peuvent constituer une mesure de prévention dont il y a lieu d’informer les salariés ou agents publics.

L’article 227-23 sur la protection des mineurs :

Le fait, en vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur 
lorsque cette image ou cette représentation présente un caractère pornographique, 
le fait de diffuser une telle image ou une représentation, par quelque moyen que ce soit, 
de l’importer ou de l’exporter, de la faire importer ou de la faire exporter…

OU LE METTRE ?

Un contrôle à posteriori des données de connexion à Internet, de façon globale, par service ou par utilisateur, ou un contrôle statistique des sites les plus visités devrait dans la plupart des cas être suffisants sans qu’il soit nécessaire de procéder à contrôle nominatif individualisé des sites accédés. Les modalités d’un tel contrôle de l’usage d’Internet doivent, conformément à l’article L432-2-1 du code du travail, faire l’objet d’une consultation du comité d’entreprise et d’une information des utilisateurs, y compris lorsque le contrôle est dépourvu d’un caractère directement nominatif.

Le contrôle de l’usage de la messagerie.

(Cf fiche de la CNIL)

Messages personnels

L’utilisation de la messagerie électronique professionnelle pou envoyer ou recevoir, dans des proportions raisonnables, un message à caractère personnel correspond à un usage généralement et socialement admis. Compte tenu des termes de l’arrêt de la Chambre sociale de la cour de cassation en date du 2 octobre 2001, une interdiction ne permettrait pas à l’employeur de prendre connaissance dans des conditions régulières du contenu des correspondances qui relèveraient de la vie privée des personnes. Il doit être généralement considéré qu’un message envoyé ou reçu depuis le poste de travail mis à disposition par l’entreprise ou l’administration revêt un caractère professionnel, sauf indication manifeste dans l’objet du message ou dans le nom du répertoire où il pourrait avoir été archivé par son destinataire qui lui conférerait alors le caractère et la nature d’une correspondance privée, protégée par le secret des correspondances. L’arrêt d’octobre 2001 de la cour de cassation fait jurisprudence :

Le salarié a droit, même au temps et au lieu de travail, au respect de sa vie privée ; 
celle-ci implique en particulier le secret de ses correspondances ; 
l’employeur ne peut dès lors, sans violation de cette liberté fondamentale, 
prendre connaissance des messages personnels émis par le salarié ou reçu par lui 
grâce à un outil informatique mis à sa disposition pour son travail, 
et ceci même au cas ou l’employeur aurai interdit une utilisation non professionnelle de l’ordinateur ».

Les outils de contrôle

L’emploi d’outils de contrôle ou de sauvegarde doit être porté à la connaissance des salariés ainsi que la durée de conservation du message sauvegardé. La CNIL estime que les modalités de contrôles de l’usage d’une messagerie d’entreprise ne relèvent pas, en tant que telles, des dispositions de la loi du 6 janvier 1978, dès lors qu’il ne s’agit pas d’un contrôle individuel poste par poste. Elles doivent en revanche être soumises aux instances représentatives du personnel et faire l’objet, une fois l’avis de ces instances recueilli, d’une information auprès des utilisateurs.

L’article 226-15 limite les actes de surveillance qui pourraient être engagés pour garantir la sécurité du réseau informatique :

Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner 
des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, 
est puni d’un an d’emprisonnement et de 45 000 euros d’amende. 
Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, 
d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications 
ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions. 

Une adresse info@ ou service_X@ peut être ouverte par plusieurs personnes mais une adresse prenon.nom@ doit seulement être accessible par son possesseur. Si ce dernier n’est pas en activité (congés, maladie, départ), il faudrait une procuration avant de pouvoir accéder aux messages. Le fait d’avoir signé une charte ou un avenant au contrat ne constitue en rien une autorisation d’interception.

Interceptions techniques

Loi de 1991 sur les interceptions techniques. Celles-ci ne sont autorisées que sur commission rogatoire dans le cadre d’une instruction judiciaire ou dans le cadre des interceptions de sécurité.

Journaux d’activité – fichiers de journalisation

(cf fiche CNIL)

Les fichiers de journalisation des connexions permettent d’identifier et d’enregistrer toutes les connexions ou tentatives de connexions à un système automatisé d’informations. Ils n’ont pas pour vocation première le contrôle des utilisateurs, ils ont pour finalité de garantir une utilisation normale des ressources des systèmes d’information mais ils peuvent être associés à des traitement d’information qui revêtent un caractère sensible pour l’entreprise ou l’administration concernée. Ils constituent une mesure de sécurité généralement préconisés par la CNIL.

Les utilisateurs doivent être informés de la mise en place des systèmes de journalisation et de la durée pendant laquelle les données de connexion permettent d’identifier le poste ou l’utilisateur sont conservées. Cette information réalise l’obligation légale à laquelle est tenu le responsable du traitement, est de nature à prévenir tout risque et participe de l’exigence de loyauté dans l’entreprise ou l’administration. Une durée de conservation de l’ordre de 6 mois ne paraît pas excessive au regard de la finalité des fichiers de journalisation.

Aucune disposition de la loi du 6 janvier 1978 ne prive le responsable de l’entreprise de la possibilité d’opposer les informations enregistrées dans les fichiers de journalisation à un traitement automatisé d’information nominatives à un salarié ou un agent public qui n’en aurait pas respecté les conditions d’accès ou d’usage. (Cour de cassation – chambre sociale n°98-43.485 du 18 juillet 2000).

En tant que tels, lorsqu’ils sont associés à un traitement automatisé d’information nominative, ces fichiers de journalisation (proxies, firewall, …) n’ont PAS à faire l’objet de déclaration auprès de la CNIL. La mise en œuvre d’un logiciel d’analyse des différents journaux (applicatifs et systèmes) permettant de collecter des informations individuelles poste par poste destiné à contrôler l’activité des utilisateurs, en revanche, doit être déclaré à la CNIL. Pour que les journaux d’activité soient recevables, il faut que leur contenu et leur existence soient légales. Tout système de traitement automatisé de données doit faire l’objet d’une déclaration soit spécifique, soit dans le cadre d’un régime global de déclaration quand il permet un traitement nominatif. Même le journal de sécurité d’un IDS ou d’un firewall doit faire l’objet d’une attention si les adresses IP permettent de remonter jusqu’à l’individu (MISC9).

Sauvegarde

La sauvegarde des données est licite, elle est même recommandée (disponibilité des données dans une démarche SSI), voire réglementaire (Art 226-17 du CP sur l’obligation de préservation de la disponibilité et de l’intégrité des données nominatives). En revanche, la sauvegarde ou la copie d’un message spécifique, même sans accéder à son contenu sont répréhensibles.

Le rôle des administrateurs réseaux

Les administrateurs qui doivent veiller à assurer le fonctionnement normal et la sécurité des réseaux et systèmes sont conduits par leur fonctions même à avoir accès à l’ensemble des informations relatives aux utilisateurs y compris celles qui sont enregistrées sur le poste de travail. Un tel accès n’est contraire à aucune disposition de la loi du 6 janvier 1978.

L’utilisation encadrée de logiciels de télémaintenance qui permettent de détecter et réparer les pannes à distance ou à prendre le contrôle, à distance, du poste de travail d’un salarié ne soulève aucune difficulté particulière au regard de la loi du 6 janvier 1978 à condition que les mesures de sécurité nécessaires à la protection des données soient mises en œuvre.

Tenus au secret professionnel, les administrateurs de réseaux et systèmes ne doivent pas divulguer des informations qu’ils auraient été amenés à connaître dans le cadre de leurs fonctions, et en particulier lorsque celles-ci sont couvertes par le secret des correspondances ou relèvent de la vie privée des utilisateurs et ne mettent en cause ni le bon fonctionnement technique des applications, ni leur sécurité, ni l’intérêt de l’entreprise. Ils ne sauraient non plus être contrains à le faire, sauf disposition législative particulière en ce sens.

Le cryptage des information

Loi 90-1170 sur la réglementation des télécommunications

29 décembre 1990

Décret du 17 mars 1999

Propriété Intellectuelle

Le code de la propriété intellectuelle

Loi n° 94-361 portant mise en œuvre de la directive CEE n°91-250

10 mai 1994 - Concernant la protection juridique des programmes d’ordinateur et modifiant le code de la propriété intellectuelle.

Le reverse engineering

MISC 9

Projets de Loi

Pour la confiance dans l’économie numérique - LCEN

http://www.assemblee-nationale.fr/12/dossiers/economie_numerique.asp

http://www.odebi.org (association hostile au projet)

Son but est de transposer dans le droit national la directive européenne 2000/31/CE sur le commerce électronique adoptée par les députés européens le 8 juin 2000. Le texte devait se voir théoriquement retranscrit dans la loi de chaque pays membre au plus tard le 17 janvier 2002.

Responsabilité des hébergeurs

La LCEN affirme que les hébergeurs ne peuvent avoir leur responsabilité pénale ou civile engagée pour un contenu illégal sur leurs serveurs sans qu’ils le sache, ils ont l’obligation de le retirer dès qu’ils ont en pris connaissance ou lorsqu’ils en ont été informés par un tiers. La loi prévoit une peine d’un an de prison et de 15 000 euro d’amende pour quiconque tentera de présenter comme illégal un site n’ayant rien à se reprocher dans le but de nuire à son auteur.

Les sociétés d’hébergement doivent mettre en œuvre « les moyens conformes à l’état de l’art » pour empêcher la diffusion d’informations à caractère révisionniste, pédo-pornographique ou incitant à la haine raciale.

Fournisseurs d’accès

Les fournisseurs d’accès ont pour obligation sur simple réquisition judiciaire de filtrer les contenus illicites s’ils ne sont pas en mesure de les supprimer.

Outils de sécurisation

Le texte prévoit que la détention dans son ordinateur ou chez soi d’outils de sécurisation informatique sera interdite. Leur usage sera réservé, par dérogation, aux seuls experts connus et répertoriés.

CNIL

http://www.cnil.fr/

Rapport 2002

Rapport 2003

Rapport 2004

Rapport 2005

http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/DP_CNIL_6_avril_2006.pdf

http://www.ladocumentationfrancaise.fr/rapports-publics/064000317/index.shtml

Questions

Réception d’un mail nocif ou désagréable pour la société

Peut-on donner la liste des utilisateurs qui ont reçu le mail ?

Peut-on supprimer un courrier des boîtes aux lettre des utilisateurs, en utilisant un outil automatique (pas de visualisation des mails. Suppression en fonction de l’expéditeur et du sujet par exemple) ?

Copyright

© 2006 Christophe de Livois

Tête de GNU Vous avez l'autorisation de copier, distribuer et/ou modifier ce document suivant les termes de la GNU Free Documentation License, Version 1.2 ou n'importe quelle version ultérieure publiée par la Free Software Foundation; sans section invariante, sans page de garde, sans entête et sans page finale. Pour plus d'informations consulter le site de l'APRIL.