L’article suivant a pour objectif
de donner une première et rapide traduction des principaux articles de lois
relatifs au droit de la cybersécurité.
Puis-je agir librement sur mon serveur de messagerie ? Oui, mais…
Obligation de respect du secret des correspondances - article 226-15 du code pénal et article 432-9 alinéa 1 du code pénal
Sous peine de sanction pénale, il
est interdit d’agir[1] sur une
correspondance privée à destination d’un tiers.
Ainsi, dans le domaine
informatique, toute entité doit être prudente concernant la manipulation du serveur
de messagerie de ses salariés (audit, vérification des données qui transitent, mise
en place de mesures de filtrage, etc.).
Toutefois, l’administrateur du
réseau de l’entité peut accéder à la messagerie et à son contenu car il doit assurer
le fonctionnement normal et la sécurité du réseau mais il ne peut en aucun cas
divulguer le contenu des messages[2].
Cette règle est d’autant plus stricte que le salarié a le droit d’utiliser son
poste de travail professionnel à des fins privées, dans la mesure du
raisonnable[3].
Puis-je donner accès à l’intégralité des données contenues dans mon système d’information ? Oui, mais…
Obligation
de protection des données à caractère personnel - Loi n°78-17 du 6 janvier 1978
modifiée relative à l’informatique, aux fichiers et aux libertés et articles
226-16 à 226-24 du code pénal
L’entité doit faire attention aux
données qui sont contenues dans ses systèmes d’information.
En effet, les données à caractère
personnel[4]
sont explicitement protégées par la loi.
Cette protection se traduit par
les obligations suivantes. Sous peine de sanction pénale, il faut,
notamment :
- déclarer le traitement de données à caractère personnel par son entité ou en demander l’autorisation[5] ;
- mettre en place des mesures[6] protégeant les données à caractère personnel[7] ;
- obtenir le consentement de la personne pour collecter et traiter ses données à caractère personnel[8] ;
- obtenir le consentement de l’intéressé pour la conservation en mémoire automatisée de ses données à caractère personnel[9] ;
- conserver les données dans une durée prévue par la loi[10] ;
- ne pas détourner de la finalité du traitement [11] ;
- ne pas porter à la connaissance d’un tiers non autorisé les données personnelles d’une personne[12].
Pour aller plus loin, n'hésitez pas à consulter le site web de la CNIL qui s’illustre par son exhaustivité
et sa pédagogie : http://www.cnil.fr/
Obligation de respect du secret de la défense nationale – article 413-10
du code pénal
Si l’entité manipule sur ses
systèmes d’informations des données relatives au secret de la défense
nationale, elle doit les protéger sous peine de sanction pénale.
Puis-je faire
auditer le serveur hébergeant mon site web? Oui, mais…
Interdiction de toute atteinte au système d’information – loi n° 88-19 du
5 janvier 1988 relative aux atteintes aux systèmes de traitement automatisé de
données
Cette loi interdit, sous peine de sanction
pénale, par exemple :
- l’installation de programmes espions (sniffer) ou l’administration à distance frauduleuse du poste ;
- fausser le fonctionnement d’une messagerie électronique ;
- modifier les données d’une offre commerciale publiée sur Internet ;
- posséder un logiciel malveillant[13].
Que
dois-je faire si je découvre des éléments susceptibles de constituer une
infraction ?
Interdiction de la possession d’image à caractère pédopornographique –
article 227-23 du code pénal
Le fait de découvrir des images à
caractère pédopornographique sur son réseau est constitutif d’une infraction et
doit donc être révélé à la justice.
Puis-je
mettre en place une cybersurveillance de mes salariés ? Oui, mais…
Principes en matière de cybersurveillance
La cybersurveillance des salariés
est possible mais elle est encadrée par la loi.
En effet, les salariés doivent
être informés au préalable d’une telle mesure[14].
Les représentants des salariés doivent être consultés[15]
également. Enfin cette cybersurveillance doit
répondre à un but proportionné par rapport à son utilité[16].
Cette F.A.Q est loin d'être exhaustive, pour aller plus loin, n'hésitez pas à relire les anciens articles de ce blog!
Cette F.A.Q est loin d'être exhaustive, pour aller plus loin, n'hésitez pas à relire les anciens articles de ce blog!
[1] Par l’interdiction
d’agir sur la correspondance privée, il faut comprendre interdiction d’intercepter,
de détourner, d’utiliser ou de divulguer.
[2] Arrêt de
la CA de Paris 11ème chambre 17 décembre 2001.
[3] Arrêt
Nikon Cour de cassation du 2 octobre 2001.
[4] L’article
2 de la loi du 6 janvier 1978 définit la notion de données à caractère
personnel : « Constitue une donnée à caractère personnel toute
information relative à une personne physique identifiée ou qui peut être
identifiée, directement ou indirectement, par référence à un numéro
d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour
déterminer si une personne est identifiable, il convient de considérer
l'ensemble des moyens en vue de permettre son identification dont dispose ou
auxquels peut avoir accès le responsable du traitement ou toute autre personne».
[5] Article
226-16 du code pénal
[6] Les
mesures sont prescrites à l’article 34 de la loi du 6 janvier 1978 : « Le
responsable du traitement est tenu de prendre toutes précautions utiles, au
regard de la nature des données et des risques présentés par le traitement,
pour préserver la sécurité des données et, notamment, empêcher qu'elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès ».
[8] Article
226-18 du code pénal
[9] Article
226-19 du code pénal
[10] Article
226-20 du code pénal
[11] Article
226-21 du code pénal
[12] Article
226-22 du code pénal
[13] Pour
avoir plus de détails lire l’article du 1er juillet 2013 de ce blog « le
droit de la SSI n’existe pas »
[14] Article
L121-8 du code du travail
[15] Article
432-2 du code du travail
Aucun commentaire:
Enregistrer un commentaire