e-securIT - La sécurité des systèmes d'information

ligne

e-securIT - Menu principal
What's new ?!?
Ressources
Le coin des bricoleurs !
Glossaire sécurité
Liens -Mailing lists - Forums
Forums
A propos du site e-securIT !

[Quelques aspects législatifs]

Cette page présente quelques éléments essentiels en matière de droits liés à l'usage de l'informatique et de l'Internet. Les points suivants y sont abordés :

- Protection des informations nominatives.
- Aspects juridiques liés à la sécurité des systèmes d'information.

Ligne

[Protection des informations nominatives]

[Définition]

On considère comme information nominative, toute donnée à caractère personnel permettant "directement ou non, d'identifier la personne physique à laquelle elle se rattache".
A titre d'exemple :
- Un numéro de téléphone (ou toute donnée produite par un autocommutateur téléphonique sur un lieu de travail), un numéro d'INSEE ou bien la profession, les données médicales sont des informations nominatives.
- Une adresse IP peut constituer également une information nominative indirecte si elle permet d’identifier un utilisateur.

[Traitement]

[Obligation de déclaration]

A partir du moment où de telles informations nominatives sont l'objet de traitements informatiques (bases de données, fichiers de logs ou d'archivage), une déclaration préalable du traitement et des fichiers auprès de la CNIL est obligatoire pour les établissements ou personnes privés.
La CNIL a élaboré un certain nombre de procédures simplifiées pour les traitements jugés courants et sans danger. Citons notamment :
- Gestion des personnels.
- Autocommutateurs téléphoniques.
- Clients, fournisseurs.
- Listes d'adresses.
- Statistiques.
Référence : le tableau descriptif des normes simplifiées est disponible sur le site de la CNIL : http://www.cnil.fr/textes/text073.htm.

[Obligation de sécurité]

Un certain nombre de recommandations ont été élaborées par la CNIL afin d'assurer la protection des informations nominatives traitées (et au-delà des personnes concernées) ainsi que les diverses précautions à prendre afin de prévenir toute atteinte volontaire ou non à ces informations.
On peut citer notamment les obligations suivantes :
- "Prises de mesures nécessaires pour empêcher la déformation, l'endommagement ou la communication à des tiers non autorisés d'informations nominatives".
- Un certain nombre d'informations sensibles font l'objet d'une protection renforcée et leur traitement est interdit sous réserve de l'accord express de l'intéressé : origine raciale, appartenances syndicales, opinions politiques, philosophiques ou religieuses…
Référence : recommandation de la CNIL en date du 21 juillet 1981 relative aux mesures générales de sécurité des systèmes informatiques : http://www.cnil.fr/textes/recomand/d810941a.htm.

[Obligation d'information]

L'article 27 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, précise que la collecte des données doit être loyale, et que la personne fichée doit recevoir un certain nombre d'informations.
En outre, toute personne fichée doit également pouvoir disposer d'un accès aux informations nominatives la concernant et éventuellement d'un droit de rectification. Ainsi, un système de traitement des données (courantes ou archivées) doit permettre l'extraction d'informations relatives à chaque personne traitée.
En outre, aucune information nominative ne doit être conservée au-delà de la durée prévue lors de la déclaration à la CNIL.
Référence : loi du 06/01/1978 chapitre IV "Collecte, enregistrement et conservation des informations nominatives" Article 27 et 28 : http://www.cnil.fr/textes/text02.htm#Article27.

[Sanctions pénales]

On peut citer les dispositions législatives du code pénal relatives à la loi "informatique et libertés" (articles 226-16 à 226-24).

[Article 226-16]
Le fait "de procéder ou de faire procéder", y compris par négligence, "à des traitements automatisés d'informations nominatives sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de trois ans d'emprisonnement et de 300 000 F d'amende" (Loi n° 92-1336 du 16 déc. 1992).

[Article 226-17]
"Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d'emprisonnement et de 2 000 000 F d'amende".

[Article 226-20]
"Le fait, sans l'accord de la Commission nationale de l'informatique et des libertés, de conserver des informations sous une forme nominative au-delà de la durée prévue à la demande d'avis ou à la déclaration préalable à la mise en œuvre du traitement informatisé est puni de trois ans d'emprisonnement et de 300 000 F d'amende".

[Article 226-22]
"Le fait, par toute personne qui a recueilli à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des informations nominatives dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou a l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces informations à la connaissance d'un tiers qui n'a pas qualité pour les recevoir, est puni d'un an d'emprisonnement et de 100 000 F d'amende. La divulgation prévue à l'alinéa précédent est punie de 50 000 F d'amende lorsqu'elle a été commise par imprudence ou négligence. Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit".

[CNIL]

La Commission Nationale de l'Informatique et des Libertés est responsable de l'application de la loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
La commission peut-être contactée par différents moyens :
Commission Nationale de l’Informatique et des Libertés 
21, rue Saint Guillaume 
75340 PARIS Cedex 07 
Tél. : 01.45.44.40.65 
Fax. : 01.45.49.04.55 
Site Internet : http://www.cnil.fr
Minitel : 3515 CNIL

Ligne

[Aspects juridiques de la sécurité des systèmes d'information]

[Répression des atteintes aux systèmes de traitement automatisé des données]

La loi du 5 janvier 1988 (dite loi Godfrain) réprime "l'accès ou le maintien frauduleux dans un système informatique, l'entrave[1] au fonctionnement de celui-ci, la modification ou la suppression de données contenues dans le système de même que l'introduction frauduleuse de nouvelles données".
A noter que la simple tentative de ces actions est également réprimée.

[Réactions sur atteinte]

Lorsqu'une entreprise est victime d'une fraude informatique, elle dispose d'un certain nombre de recours judiciaires afin de faire valoir ses droits.

[Organismes d'état]

En cas de fraude constatée, la première démarche consiste à porter plainte auprès de l'antenne locale de la police judiciaire.
Cependant, deux services particuliers de la police judiciaire sont dédiées à ce type de traitement.

[BCRCI]
La Brigade Centrale de Répression de la Criminalité Informatique assure la gestion du bureau central national d'INTERPOL. Il s'agit d'une antenne nationale.
La brigade peut-être contactée aux coordonnées suivantes :
Brigade Centrale de Répression de la Criminalité Informatique 
101, rue des Trois Fontanot 
92000 NANTERRE 
Tél. : 01.40.97.87.72 et 01.40.97.83.12 
Fax. : 01.47.21.00.42

[SEFTI]
Le Service d'Enquêtes sur les Fraudes aux Technologies de l'Information dépend de la police judiciaire de la Préfecture de Police de Paris. A ce titre, il est habilité à recevoir les plaintes en provenance de son secteur d'intervention. Il est en particulier spécialisée dans le domaine de la fraude télématique (cartes à puces).
Le SEFTI peut être joint aux coordonnées suivantes :
Service d’Enquêtes sur les Fraudes aux Technologies de l’Information 
163, avenue d’Italie 
75013 PARIS 
Tél. : 01.40.79.67.50 
Fax. : 01.40.79.77.21

[SCSSI]
Le Service Central de la Sécurité des Systèmes d'Information dépend du Premier Ministre et s'occupe des problématiques de sécurité informatique (définition de niveaux de sécurité, tests et validations d'outils de sécurité, algorithmes de chiffrement …)
Le SCSSI peut être joint aux coordonnées suivantes :
Service Central de la Sécurité des Systèmes d’Information 
18, rue du Docteur Zamenhof 
92131 ISSY-LES-MOULINEAUX 
Tél. : 01.41.46.37.20 
Fax. : 01.41.46.37.01 
Site Internet : http://www.scssi.fr.

[DST]
Citons enfin la Direction de la Sécurité du Territoire, service spécialisé dans l'étude et le conseil (sensibilisation) en matière de risque informatique.
Les coordonnées de la DST sont :
Direction de la Sécurité du Territoire 
Tél. : 01.40.57.66.34 et 01.40.57.91.71 et 01.40.57.56.25 
Fax. : 01.40.57.54.88

[Cabinets spécialisés]
Quelques cabinets d'avocats sont spécialisés dans les problématiques de fraudes informatiques.
Citons notamment :
- Cabinet Alain Ben Soussan – http://www.alain-bensoussan.tm.fr.
- Cabinet Iteanu – http://www.iteanu.fr.

Ligne

[Compléments législatifs]

[Natures juridiques des services électroniques]

[Internet]

Internet a été qualifié expressément de "service de communication audiovisuelle". Ceci correspond à "toute mise à disposition du public ou catégories de public, par un procédé de télécommunication, de signes, de signaux, d'écrits, d'images, de sons ou de messages de toute nature qui n'ont pas le caractère d'une correspondance privée".
Cependant, Internet peut être utilisé alternativement à des fins publiques ou privées selon les circonstances. Pour différencier les deux types d'utilisation, une circulaire datée du 17/02/1988 précise qu' "il y a correspondance privée lorsque le message est exclusivement destiné à une (ou plusieurs) personne physique ou morale, déterminée ou individualisée".

[Message électronique]

Un message électronique entre dans le cadre de la correspondance privée "lorsque le message est exclusivement destiné à une (ou plusieurs) personne physique ou morale, déterminée ou individualisée" (circulaire du 17 février 1988 relative aux services télématiques).
Un message électronique peut cependant être qualifié de communication audiovisuelle si, par exemple, il est envoyé "au hasard à de nombreuses personnes" ou qu'il est destiné à être lu "par des personnes non déterminées au moment de son émission".

[Liste de diffusion]

Une liste de diffusion entre dans le cadre définissant la correspondance privée. Au même titre que la messagerie électronique, une liste de diffusion sera considérée comme privée "si chaque message diffusé émane de l'un des membres pour n'être lu que par les autres membres, sous réserve de connaître la manière dont ces membres participent à la liste".
Par contre, "si les messages sont archivés sur un serveur, accessible aux non-inscrits sur la liste en question, alors la communication ainsi réalisée doit être considérée comme étant publique".

[Respect de la correspondance privée]

Au même titre qu'un usage privé du téléphone professionnel est toléré, la messagerie électronique peut également être utilisée dans le cadre de correspondances privées (à partir du moment où l'utilisation n'est pas abusive).
Par conséquent, cet usage de la messagerie est protégé par un certain nombre de textes[2] relatifs au secret des correspondances émises par voies de télécommunications.
Ainsi, le deuxième alinéa de l'article 226-15 du nouveau Code Pénal réprime le fait "d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour le faire".
Dans le cas ou un contrôle des correspondances émises est réellement effectué, il convient donc d’obtenir le consentement préalable de l’utilisateur en lui précisant :
- Quel type de contrôle et de traitement sont effectués et quelles personnes sont habilitées à le réaliser.
- Quel niveau d’accès il dispose sur les informations nominatives le concernant.

A titre d’application, on peut citer le cas de la messagerie électronique.
Dans la plupart des logiciels de messagerie, les messages présentant des anomalies sont re-routés vers le compte du postmaster. Celui-ci doit ensuite traiter manuellement le message, ce qui inclut la possibilité éventuelle d’accès au contenu du message. Il est donc nécessaire :
- D’imposer un engagement de confidentialité à toutes les personnes intervenant au titre de postmaster.
- D’informer les utilisateurs de la messagerie de l’éventualité d’une intervention d’un postmaster sur les messages transmis.

[Responsabilités]

Il convient de déterminer, en cas d'infraction ou de litige, qui des différents protagonistes est responsable.

[Cadre générale de la responsabilité civile]

Sur ce point, la législation est claire et s'appuie sur l'article 121-1 du Nouveau Code pénal en matière de responsabilité civile : "Nul n'est responsable pénalement que de son propre fait".
Ainsi dans le cadre civil, la responsabilité contractuelle est engagée, globalement, "en cas d'inexécution des obligations contractées", tandis qu'en cas de délit ou quasi-délit, nous sommes "responsables des dommages causés par notre propre fait, négligence ou imprudence, mais aussi de ceux causés par les personnes dont on doit répondre ou les choses que l'on a sous sa garde" (articles 1382 à 1384 du Code Civil).
Dans certains cas, une responsabilité "en cascade" est prévue. La loi sur la liberté de la presse prévoit "l'incrimination comme auteur principal, en cas d'infraction pénale, des directeurs de publication ou des éditeurs, à défaut, des auteurs, à défaut, des imprimeurs, et, à défaut, des vendeurs, distributeurs et afficheurs" (loi du 29 juillet 1881, article 42).

[Application à Internet]

Les principes de responsabilité civile évoqués ci-dessus s'appliquent dans le cadre d'Internet. Cependant, la structure d'Internet ne correspond pas nécessairement au cadre de la loi rédigée avant son apparition. Ainsi, à titre d'exemple, la responsabilité de chacun des acteurs sur Internet est mal définie. En outre, la disparition des frontières pose également un nouveau problème.
Pour faire face au caractère nouveau et exceptionnel d'Internet, un projet de loi a été discuté en modification de la loi 86-1067 relative à la liberté de communication . Adopté en première lecture à l'Assemblée Nationale le 27 mai 1999 , il entraîne deux modifications :
- Une déresponsabilisation expresse des "personnes physiques ou morales qui assurent, directement ou indirectement, à titre gratuit ou onéreux, l'accès à des services en ligne autres que de correspondance privée ou le stockage pour mise à disposition du public de signaux, d'écrits, d'images, de sons ou de messages de toute nature, accessibles par ces services".
Ces personnes ne peuvent être déclarées responsables d'atteintes "aux droits des tiers résultant du contenu de ces services" que si elles ont contribué elles-mêmes à la "création ou à la production de ce contenu" ou si elles n'ont pas agi rapidement pour empêcher l'accès au contenu litigieux lorsqu'elles en assurent directement le stockage et qu'elles ont été saisies par l'autorité judiciaire (exemple de l'affaire Estelle Halliday/Valentin Lacambre).
- Une abrogation officielle de l'obligation de déclaration des sites Internet au Procureur de la République, telle qu'y sont soumis en général les services de communication audiovisuelle (article 1B, abrogeant le 1° de l'article 43 le la loi de 1986).

Cependant, ce projet, n'ayant pas encore été adopté par le Sénat, n'a pas force de loi.
Par conséquent, la majorité des affaires s'appuient sur la jurisprudence et font références pour les litiges à venir.

Références :
- Rapport de Patrick BLOCHE au Premier ministre :
http://www.internet.gouv.fr/francais/textesref/rapbloche98/Ibaccess.html
- Loi de déréglementation des télécommunications en France :
http://www.telecom.gouv.fr/francais/activ/telecom/reglemen.htm.

[Chartes]

Une solution intéressante à la responsabilisation des utilisateurs de systèmes ou ressources informatiques consiste à établir une charte de bon usage et de déontologie signée par chacun. Il est également possible de faire référence dans les contrats de travail des employés, ou dans le règlement intérieur, à des clauses d’engagement de responsabilité en cas de malveillance.
En outre, cela permet également d'informer les utilisateurs du contrôle effectué sur leurs télécommunications et de leurs droits en matière d'informations nominatives.

[A propos de l’utilisation de la messagerie]

Selon l’utilisation faite de la messagerie électronique, la responsabilité de l’employeur ou de l’utilisateur intervient.

[Correspondance privée]
Dans le cadre de correspondances purement privées et hors du contexte professionnel, l’utilisateur est seul responsable, de fait, des messages qu’il émet.
Par conséquent, l’insertion de mention dite "légale" déclinant toute responsabilité de l’entreprise dans le contenu du message est inutile.
Cependant, dans le cas où il serait impossible d’identifier l’émetteur d’un message de manière exacte (non répudiation), mais seulement le nom de domaine (donc la société) ayant émis le message, alors la responsabilité de l’entreprise peut éventuellement être engagée s’il peut être prouvé qu’aucun contrôle n’est effectué pour empêcher certains abus (ou que les délais de réaction ne sont pas suffisamment rapides). Cela revient alors à la problématique de responsabilité en cascade évoquée précédemment.

[Correspondance professionnelle]
Lorsqu’un utilisateur émet des messages dans le cadre de son activité professionnelle (à destination de clients ou fournisseurs, ou de mailings listes / forums de discussions techniques relatives à son domaine de travail), il engage directement son entreprise.
Là aussi, l’insertion de mention dite "légale" serait inutile puisque de fait, il s’agit d’une correspondance professionnelle.

[Responsabilité de l'entreprise]
L'entreprise étant civilement responsable des actes de ses employés, sa responsabilité peut être engagée vis à vis d'un client, d'un fournisseur ou d'un partenaire si un message électronique diffamatoire ou nuisible est envoyé par l'un de ses employés la représentant (dans le cadre de son activité professionnelle).
Ceci correspond à la théorie du "mandat apparent". L'entreprise est donc responsable des messages électroniques émis en interne.
Par conséquent, il est nécessaire d’adopter des mesures de sécurisation de la messagerie électronique :
- Sensibilisation des utilisateurs aux risques de la messagerie électronique.
- Mises en place de procédures, de systèmes de contrôle et de sanctions éventuelles. Information auprès des utilisateurs et des représentants du personnel.
- Mise en place de solution pour l'archivage et le traçage des messages émis assurant l'intégrité imposée par la loi (il faut pouvoir prouver qu'au cours du temps les messages n'ont pas été modifiés). 
A ce sujet, l'AFNOR propose l'utilisation de disques optiques non réinscriptibles de type WORM (Write One Read Many).

Ligne

[1] Les attaques visant à nuire à la disponibilité d'un service sont ici concernées. On peut citer notamment l'envoi automatique de messages (spam) ainsi que les attaques par déni de services de type flooding (programmes simulant des connexions multiples à des serveurs). [Retour]
[2] Convention de sauvegarde des droits de l'homme et des libertés fondamentales (article 8 – droit à son respect), Déclaration universelle des droits de l'Homme (article 12 – prohibition des immixtions arbitraires), loi du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications. [Retour]

ligne
 securIT@free.fr - Plein accès