L’intrusion dans un système informatique et ses conséquences juridiques. Il existe différents types de pirates informatiques : du hacker classique, qui s’introduit dans les systèmes par des moyens illégaux sans détruire les données ni utiliser les informations données, mais dans le seul but de faire savoir qu’il existe des failles de sécurité au cracher (casseur), appellation qui désigne le pirate le plus dangereux qui détruit dans un but précis ou pour le plaisir. Or, aux yeux de la loi, chacun d’entre eux peut être poursuivi au regard des dispositions du Code pénal en matière de fraude informatique. L’intrusion peut s’effectuer par le biais d’un programme qui se cache lui-même dans un programme « net » (par exemple reçu dans la boite aux lettres ou téléchargé). L’un des plus connus est le Back Office qui permet d’administrer l’ordinateur à distance. En outre, le piratage peut avoir comme cible les mots de passe du système. I. a) La responsabilité pénale i. Accès frauduleux Quid, pourtant, si le système n’est pas protégé ? Le maintien frauduleux ii. iii. b.
La société ORANGE sanctionnée pour défaut de sécurité des données dans le cadre de campagnes marketing En avril 2014, la société ORANGE a notifié à la CNIL une violation de données personnelles, liée à une défaillance technique de l'un de ses prestataires, ayant concerné les données de près de 1,3 million de clients dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile. La CNIL a alors procédé à des contrôles auprès de la société et des sous-traitants intervenant dans le cadre de ses campagnes d'emailing promotionnel. La délégation de contrôle a constaté que les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés. Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction. Devant la formation restreinte, la société soutenait avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données.
L'obligation de l'employeur d'assurer la sécurité des données Bien souvent, les entreprises associent – et à tort limitent – leurs obligations résultant de la Loi du janvier 1978 à des obligations déclaratives. Le fait est que la protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données. Il appartient également – et de manière tout aussi importante – au responsable d’un traitement de données à caractère personnel de prendre les mesures nécessaires pour sécuriser ses données. L’article 34 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction actuelle, dispose en effet : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Informatique et libertés : l'accès aux messages personnels des salariés très encadré Le respect de la vie privé : un droit supérieur à protéger Les problématiques liées à l’utilisation de l’outil informatique au bureau – par nature, un outil professionnel -, à des fins personnelles, ont pris de nombreuses configurations. Dénigrement des supérieurs par e-mail, consultation de site internet sans rapport avec l’activité professionnelle, utilisation d’une boîte mail professionnelle à des fins personnelles, entre autres, la liste est longue et va certainement encore s’allonger. Les juges ont, de manière générale, considéré que les fichiers ou les documents détenus sur un ordinateur sont présumés avoir un caractère professionnel, sauf s’ils ont été clairement identifiés comme « personnels ». Si ce n’est pas le cas, ils sont considérés comme ayant un caractère professionnel, de sorte que l’employeur peut y avoir accès en dehors de la présence du salarié (Cass. Soc., 18 octobre 2006, n° 04-48.025 ; Cass. Les administrateurs de réseaux : la main informatique de l’employeur
Messagerie électronique au bureau : ne pas confondre « perso » et « personnel » Depuis un arrêt célèbre (Arrêt Nikon du 2 octobre 2001) les tribunaux reconnaissent au salarié un droit d’usage personnel de l’outil informatique mis à sa disposition par son employeur. Ce droit est encadré de différentes manières et peut schématiquement se résumer ainsi : Tous les messages adressés ou reçus par le salarié dans sa boite aux lettres électronique sont présumés professionnels, sauf s’ils sont identifiés comme personnels. L’employeur ne peut pas avoir accès aux messages personnels, mais le salarié ne doit pas abuser du droit qui lui est reconnu, notamment en apposant systématiquement la mention « personnel » sur tous les messages qu’il émet. La Cour de Paris confirme ce jugement. La Cour vient rappeler cette évidence, en faisant coïncider (une fois n’est pas coutume) le bon sens, la morale … et le droit.
Keylogger : des dispositifs de cybersurveillance particulièrement intrusifs Les " keyloggers " sont des dispositifs de surveillance, parfois téléchargeables gratuitement depuis le web, qui se lancent automatiquement à chaque démarrage de la session de l'utilisateur, à son insu. Une fois lancés, ils permettent, selon les versions, d'enregistrer toutes les actions effectuées par les salariés sur leur poste informatique sans que ceux-ci s'en aperçoivent. Toute frappe saisie sur le clavier ou tout écran consulté est enregistré avec un horodatage. Des alertes peuvent être automatiquement envoyées à la personne ayant installé le dispositif lorsque le salarié ainsi surveillé saisit sur son clavier un mot prédéterminé. Selon son paramétrage, le dispositif permet également de générer des rapports, récapitulant l'ensemble des actions faites à partir d'un poste informatique, qui sont directement envoyés sur le poste informatique de celui qui aura installé le logiciel espion.
Byod : les apps zombies hantent les terminaux mobiles 5,2 % des apps sur les terminaux iOS et 3,9 % sur Android sont « mortes ». (Crédit D.R.) Après les VM inutilisées sur les serveurs, les apps zombies encombrent les terminaux mobiles utilisés dans un cadre professionnel selon une étude de la société Appthority. Appthority, une entreprise spécialisée dans la sécurité des apps mobiles, a analysé trois millions d’apps présentes sur les smartphones des salariés de plusieurs entreprises. Selon son étude, 5,2 % d’apps iOS et 3,9 % d’apps Android sont « mortes » : soit elles ont été supprimées de leurs apps stores respectifs, soit elles ne bénéficient plus d’aucun support. Selon Domingo Guerra, président et fondateur de Appthority, ces logiciels zombies peuvent être nuisibles à différent titre. « Si ces apps ont été retirées des boutiques d’application, c’est qu’elles n’étaient peut-être pas suffisamment fiables ou parce qu’elles hébergeaient des logiciels malveillants », a-t-il déclaré. Les apps obsolètes se multiplient
Faille de sécurité : avertissement public de la Cnil Faille de sécurité. La société DHL Express France vient de faire l’objet d’un avertissement public prononcé par la formation restreinte de la Cnil, le 12 juin dernier, sur deux manquements importants à la loi Informatique, fichiers et libertés. D’une part, un manquement à l’obligation d’assurer la confidentialité et la sécurité des données (art. 34 de la loi informatique et libertés) et d’autre part, un manquement à l’obligation de définir une durée de conservation des données traitées, proportionnée à la finalité du traitement (art. 6-5° de la loi informatique et libertés). Dans cette affaire, la Cnil avait été alertée suite à une faille affectant directement la sécurité des données collectées par DHL et comportant les demandes de « relivraison » des colis. Laure Landes-Gronowski Pauline Binelli-WaintropLexing Droit Informatique et libertés
Etude : Les salariés trop confiants quant à la cybersécurité dans leur entreprise Le groupe Capgemini dévoile le 16 juin l'étude "Cybersécurité, Objets connectés et Systèmes industriels" réalisée par Opinion Way. Elle porte sur la cybersécurité vue par les collaborateurs. Il en ressort un écart significatif entre la perception de la cybersécurité dans l'entreprise par les salariés et la réalité effective des cyberattaques qu'elle subit. Ainsi, 85% des collaborateurs estiment que leur société est bien protégée, un chiffre qui monte à 90% pour les grandes entreprises et 93% pour les ETI. Bernard Barbier, responsable de la sécurité des systèmes d’Information (RSSI) du groupe Capgemini et directeur technique sur la business unit cybersécurité du groupe, explique ces chiffres par l'asymétrie du risque posé par la cybersécurité. Une évolution des menaces La perception de la gravité des menaces est l'un des autres points mis en avant par l'étude. Les données personnelles, qui ont désormais une valeur marchande, sont au coeur du problème. L'humain au coeur de l'équation