Une nouvelle directive européenne pour la sécurité des données personnelles. La Commission européenne prépare une série de propositions pour renforcer la protection des données numériques assorties de sanctions allant jusqu'à un million d'euros ou 5% du chiffre d'affaires d'une entreprise, selon des documents que l'AFP s'est procurés mardi.
Le projet comportant une directive et un règlement amenés à remplacer une directive de 1995 et préparé par les services de la commissaire européenne à la Justice, Viviane Reding, devrait être présenté le 25 janvier. Il vise à permettre aux utilisateurs de l'internet d'avoir un meilleur contrôle sur leurs données personnelles. Il est notamment prévu que les citoyens puissent faire valoir un "droit à l'oubli numérique", ce qui obligera notamment les réseaux sociaux à supprimer les données personnelles (photos ou autres) des utilisateurs qui le demanderont.
En cas d'infraction à ces règles, des amendes pourront aller jusqu'à un million d'euros pour les personnes et 5% du chiffre d'affaires mondial pour les entreprises. Charte informatique. L'obligation de l'employeur d'assurer la sécurité des données. Bien souvent, les entreprises associent – et à tort limitent – leurs obligations résultant de la Loi du janvier 1978 à des obligations déclaratives.
Le fait est que la protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données. Il appartient également – et de manière tout aussi importante – au responsable d’un traitement de données à caractère personnel de prendre les mesures nécessaires pour sécuriser ses données. L’article 34 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction actuelle, dispose en effet : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » Une charte de l'administrateur de système et de réseau.
Complexité en expansion, risques multipliés.
Administrateurs réseau : quels sont vos droits en matière de cybersurveillance ? Si les réseaux sont des instruments formidables d´échanges de données au sein de l´entreprise comme à l´extérieur, ils en sont également le talon d´achille.
L´explosion d´internet et sa propagation fulgurante nécessitent que l´entreprise se protège et protège ses données de toute intrusion interne comme externe. Dans ce contexte, l´administrateur réseau est devenu un acteur incontournable de la sécurité de l´entreprise, et parfois même son garant. Mais son rôle est difficile.
Il est au centre d´intérêts divergents et parfois contradictoires. L'information juridique de référence pour les avocats. Cadre juridique des administrateurs réseaux. Les administrateurs réseaux assurent le fonctionnement normal et la sécurité du système informatique de leur employeur.
Ils sont susceptibles d’avoir accès, dans l’exercice de cette mission, à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.). L’accès par les administrateurs aux données enregistrées par les salariés dans le système d’information est justifié par le bon fonctionnement dudit système, dès lors qu’aucun autre moyen moins intrusif ne peut être mis en place. Administrateurs de réseaux : entre sécurité informatique et protection des salariés par Me Sylvain Staub et Stéphane Marletti. L'administrateur de réseaux a en charge la mise en place, la maintenance et la sécurité des systèmes d'information de l'entreprise.
Il cherche notamment à éviter les risques d'intrusions ou de virus, à prévenir les fuites de savoir-faire ou de fichiers clients, et à s'assurer d'une utilisation normale par les salariés des systèmes informatiques de l'entreprise. Lorsqu'il ne prend pas les mesures nécessaires à cette mission, il risque de manquer aux obligations définies dans son contrat de travail et d'engager sa responsabilité civile et pénale, tout comme celle de l'entreprise.
Pour assurer cette sécurité, il est tenu de surveiller l'usage que font les salariés de la messagerie et de l'accès à internet mis à disposition par l'entreprise. Or, cette surveillance, autrement appelée "cybersurveillance", peut également dans certains cas engager sa responsabilité. Cour de cassation.
Demandeur(s) : la société Sanofi chimie Défendeur(s) : M.
J… X… ; M. J… Y…. LA COUR DE CASSATION, CHAMBRE SOCIALE, a rendu l’arrêt suivant : Statuant sur le pourvoi formé par la société Sanofi chimie, société anonyme, Jurisprudences Cour de cassation, Chambre commerciale, arrêt du 2 février 2016 mardi 2 février 2016 LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l’arrêt suivant : Sur le moyen unique : Attendu, selon l’arrêt attaqué (Douai, 13 février 2014), que la société Les Vents du Nord, créée au mois (...)
Tribunal de commerce de Paris, 15ème chambre, jugement du 15 février 2016 lundi 15 février 2016 LES FAITS : La Sas Destock Meubles exploite depuis 2004 un site internet dédié à la vente de mobilier en ligne accessible à l’adresse www.destockmeubles.com. Failles de sécurité et fautes informatiques — Droit des technologies avancées. L’actualité en 2011 a fait l’objet de très nombreuses illustrations de failles de sécurité et de piratages informatique.
Les derniers en date concernent le vol des données personnelles de plus d'un million de comptes clients du groupe de jeux Sega et du géant de l'électronique Sony en exploitant des failles de sécurité pour s'introduire dans les serveurs de leur site internet. Les attaques visent non seulement les systèmes d’information des entreprises mais également ceux de l’État. Les pirates n’hésitent pas à s’attaquer aux systèmes d’information des plus hautes instances comme l'Elysée, le Quai d'Orsay ou le ministère de l’Économie, des Finances et de l’Industrie, victimes de tentatives de piratage et d’intrusions.
Les attaques se multiplient partout dans le monde jusqu’à viser des établissements stratégiques ; le FMI, la Banque mondiale ou encore la bourse électronique américaine Nasdaq se sont ajoutés à la liste des institutions victimes de cyberattaques. L’intrusion dans un système informatique et ses conséquences juridiques. Il existe différents types de pirates informatiques : du hacker classique, qui s’introduit dans les systèmes par des moyens illégaux sans détruire les données ni utiliser les informations données, mais dans le seul but de faire savoir qu’il existe des failles de sécurité au cracher (casseur), appellation qui désigne le pirate le plus dangereux qui détruit dans un but précis ou pour le plaisir.
Or, aux yeux de la loi, chacun d’entre eux peut être poursuivi au regard des dispositions du Code pénal en matière de fraude informatique. L’intrusion peut s’effectuer par le biais d’un programme qui se cache lui-même dans un programme « net » (par exemple reçu dans la boite aux lettres ou téléchargé). L’un des plus connus est le Back Office qui permet d’administrer l’ordinateur à distance. En outre, le piratage peut avoir comme cible les mots de passe du système. I. Faille de sécurité et responsabilité de l'entreprise. On voit mal comment une entreprise peut aujourd’hui travailler sans faire appel à l’informatique. Or dans l’univers informatique les données peuvent être endommagées, détruites, perdues. L’administrateur réseau a le pouvoir de lire les messages personnels. La Cour de Cassation, dans un arrêt du 17 juin 2009 rappelle qu’un administrateur de réseau, qui est tenu par une clause de confidentialité, a la possibilité d’accéder aux messages personnels des salariés dans le cadre de sa mission de sécurité du réseau informatique.
La jurisprudence a eu l’occasion de rappeler à plusieurs reprises que la protection de la vie privée des salariés interdit aux employeurs d’ouvrir les messages qualifiés de personnel sauf risque ou événement particulier (Cf. Cass. Soc. 2 oct. 2001, Bull. civ. Un administrateur condamné pour abus de privilèges AVRIL 2014. Depuis un arrêt célèbre (Arrêt Nikon du 2 octobre 2001) les tribunaux reconnaissent au salarié un droit d’usage personnel de l’outil informatique mis à sa disposition par son employeur. Ce droit est encadré de différentes manières et peut schématiquement se résumer ainsi : Tous les messages adressés ou reçus par le salarié dans sa boite aux lettres électronique sont présumés professionnels, sauf s’ils sont identifiés comme personnels.
L’employeur ne peut pas avoir accès aux messages personnels, mais le salarié ne doit pas abuser du droit qui lui est reconnu, notamment en apposant systématiquement la mention « personnel » sur tous les messages qu’il émet. L’administrateur du système (c’est-à-dire l’informaticien chargé d’assurer son bon fonctionnement), peut prendre connaissance librement de tous les messages, mais ne peut en révéler le contenu à l’employeur, lorsqu’ils présentent un caractère personnel. La Cour de Paris confirme ce jugement. Son analyse mérite d’être soulignée. Commet un délit l'auteur de la mise à disposition sur internet d'informations relatives à des failles de sécurité. Faille de sécurité : avertissement public de la Cnil. Faille de sécurité. La société DHL Express France vient de faire l’objet d’un avertissement public prononcé par la formation restreinte de la Cnil, le 12 juin dernier, sur deux manquements importants à la loi Informatique, fichiers et libertés.
Orange sanctionné pour défaut de sécurité sur les données de plus d'un million de clients. "Avertissement public" à l'encontre d'Orange.