lundi 1 juillet 2013

Le droit de la sécurité des systèmes d’informations (SSI) n’existe pas...



En tout cas, il n’existe pas en tant que tel, il n’est notamment pas encore codifié.
Actuellement, il est seulement possible de dire que le droit de la SSI vit au travers des autres droits. Il est composé de l’agrégation de plusieurs droits, il est formé des parties spécifiques des droits plus « classiques » tels que le droit pénal, le droit de la défense ou encore le droit des postes et des télécommunications électroniques.
Il en résulte qu’il est difficile d’exposer un panorama exhaustif de tous les aspects juridiques de la SSI ; toutefois, il est au moins possible de circonscrire son périmètre.

Le droit de la SSI concerne, d’une part et de façon stricte, la protection des réseaux et des systèmes matériels et, d’autre part et plus largement, la protection des informations en tant que telles et leurs qualités intrinsèques qui circulent sur les réseaux précités.  .

Ainsi, le droit de la SSI est marqué par la relation spécifique du contenant avec le contenu.

L’intrusion frauduleuse dans le contenant à savoir dans un système de traitement automatisé de données (STAD)[1] est punie par le code pénal. Ces infractions ont été créés par la loi Godfrain du 5 janvier 1988[2] sur la fraude informatique modifiée par la loi de 2004 sur la confiance dans l’économie numérique[3] (LCEN) qui a principalement augmenté les peines. 
Les quatre principaux comportements punis lors d’une intrusion frauduleuse dans un STAD sont les suivants :
-          Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un STAD est puni d'un an d'emprisonnement et de 15 000 euros d'amende[4] à savoir, par exemple, l’installation de programmes espions (sniffer)ou l’administration à distance frauduleuse du poste.
-          Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 45 000 euros d'amende[5] à savoir, par exemple, fausser le fonctionnement d’une messagerie électronique.
-          Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de trois ans d'emprisonnement et de 45 000 euros d'amende[6] à savoir, par exemple, modifier les données d’une offre commerciale publiée sur Internet.
-          La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3 est punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée[7] à savoir, par exemple, posséder un logiciel malveillant.

L’intrusion frauduleuse dans un système d’informations est punie car cette intrusion porte préjudice au contenu informationnel du système.
En effet, certaines informations sont précieuses car ce sont des données à caractère personnel, des informations relevant du secret de la défense nationale, des informations stratégiques d’un point de vue économique, etc. Il est donc important que la protection de ces informations intègre les mesures de sécurité relatives aux systèmes traitant, stockant et diffusant ces informations.
Prenons, par exemple, des données de santé à caractère personnel hébergées par un organisme distinct du professionnel ou de l’établissement de santé qui soigne le malade, c’est à dire chez un hébergeur de données. La loi relative aux droits des malades et à la qualité du système de santé[8] a instauré une procédure d’agrément des hébergeurs qui vise à garantir la sécurité de ces données. Selon l’article L.1111-8 du code de la santé publique, ils doivent respecter des règles de sécurité et de confidentialité très précises sous les conditions et sous les peines définies par l’article 226-13 du code pénal[9]

L’interpénétration de la protection du réseau avec la protection des informations particulières qui y circulent élargit considérablement le champ d’application du droit de la SSI. Ce large périmètre est d’autant plus diffus que de nombreux dispositifs particuliers fleurissent pour la protection de catégories particulières d’informations (dispositifs CNIL, HADOPI, opérateurs d’importance vitale (OIV), etc.).

Afin de rationaliser et de capitaliser le droit de la SSI, une réflexion sur la possibilité d’établir un code du droit de la SSI semble devoir s’imposer. Ces travaux permettraient de mettre à plat les différents aspects du droit de la SSI et de trouver un dénominateur commun formant le socle intangible du droit de la SSI. Un droit de la SSI qui se déclinerait ensuite en fonction des spécificités identifiées.


[1] La notion de STAD n’est pas définie dans la loi mais la jurisprudence l’assimile à un système d’information.
[2] Loi n°88-19 du 5 janvier 1988 sur la fraude informatique
[3] Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.
[4] Article 323-1 du code pénal. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d'emprisonnement et de 30 000 euros d'amende.
[5] Article 323-2 du code pénal
[6] Article 323-3 du code pénal
[7] Article 323-4 du code pénal
[8] Loi n°2002-303 du 4mars 2002 relative aux droits des malades et à la qualité du système de santé.
[9] Article 226-13 : « La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15000 euros d'amende ».