background preloader

Saga Bluetouff : qu’est-ce qu’un délit d’entrave à un SI ? Par Claudia Weber et Arthur Duchesne, Avocats.

Saga Bluetouff : qu’est-ce qu’un délit d’entrave à un SI ? Par Claudia Weber et Arthur Duchesne, Avocats.
Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Articles divers Par Claudia Weber et Arthur Duchesne, Avocats. - lundi 21 juillet 2014 La saga relative aux démêlés judiciaires d’un internaute ayant téléchargé des données confidentielles laissées en libre accès sur internet oblige aujourd’hui les juges à rechercher un équilibre entre l’insécurité juridique dans laquelle peuvent être placés les internautes lors de leur navigation et l’obligation forte qui pèse sur les entreprises et organismes en matière de sécurisation de leurs SI [1]. En l’espèce, un particulier connu sous le pseudonyme Bluetouff effectuait des recherches sur le moteur de recherches « Google » lorsqu’il a été orienté vers une page extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (« ANSES »). Par un premier jugement du 23 avril 2013 , le TGI de Créteil a prononcé la relaxe de Bluetouff, au motif que : Notes :

http://www.village-justice.com/articles/SAGA-BLUETOUFF-est-delit-entrave,17434.html

Related:  Administrateur système et réseauxResponsabilité de l'administrateur réseauVeilles Juridique (2014-2015)aorai71La responsabilité des ASR

Affaire Snowden : comment contrôler les droits d'administration Edward Snowden, auteur des révélations faites sur les programmes d'espionnage de la NSA, avait pu accéder simplement aux informations critiques de l'agence grâce à ses droits administrateurs. Si les administrateurs des systèmes d'informations se doivent de posséder un accès étendu aux machines, leurs droits d'entrée doivent être impérativement contrôlés et régulés. Une leçon mise en évidence par l'affaire Snowden.

Administrateurs réseau : quels sont vos droits en matière de cybersurveillance ? Si les réseaux sont des instruments formidables d´échanges de données au sein de l´entreprise comme à l´extérieur, ils en sont également le talon d´achille. L´explosion d´internet et sa propagation fulgurante nécessitent que l´entreprise se protège et protège ses données de toute intrusion interne comme externe. Dans ce contexte, l´administrateur réseau est devenu un acteur incontournable de la sécurité de l´entreprise, et parfois même son garant. Mais son rôle est difficile. Il est au centre d´intérêts divergents et parfois contradictoires.

Document sans nom Cybersurveillance sur les lieux de travail Guide pratique pour les employeurs Loi Informatique et libertés Signature électronique RSSI, préparez-vous à l’arrivée du responsable du risque numérique En 2015, un nouveau responsable va arriver dans l’entreprise, le responsable du risque numérique (Digital Risk Officer), annonce le cabinet d’analystes Gartner. Des défaillances des services Et d’ici 2017, un tiers des grandes entreprises auront un responsable du risque numérique lorsqu’elles ont des activités numériques. Cette gestion du risque numérique s’impose d’autant plus que selon Gartner, 60% des entreprises ayant des activités numériques souffriront en 2020 d’importantes défaillances de leurs services à cause de l’incapacité des équipes de la sécurité informatique à gérer les risques spécifiques au numérique, en particulier ceux issus de l’internet des objets. Le responsable du risque numérique devra posséder un mélange de perspicacité et de compréhension du business, et un minium suffisant de connaissance techniques pour évaluer et formuler des recommandations pour gérer les risques touchant les activités numériques de l’entreprise. Les RSSI tentés d’évoluer

L'affaire Bluetouff ou : NON, on ne peut pas être condamné pour utiliser Gogleu Le titre de ce billet peut paraître surprenant, mais il répond en fait à un titre d’article qu’un journal en ligne de la presse spécialisée, au demeurant excellent sur son secteur, a employé pour relater la présente affaire. Comme quoi la communauté geek sait avoir les mêmes réflexes corporatistes que n’importe quel autre groupe social ayant des intérêts communs assez forts. Heureusement, outre son goût pour les pizzas froides et la Guinness, ce qui la caractérise avant tout est le goût de comprendre, et je l’entends qui piaffe aux portes de ce blog. Faites entrer les fauves, on va faire du droit. Au-delà des aspects techniques de cette affaire, que nous allons aborder, on se retrouve dans une problématique récurrente lorsqu’on doit juger des délits commis dans un contexte technique complexe : que ce soit la finance, la médecine, la pharmacologie, ou la technologie : les prévenus regardent les juges comme des ignares car ils n’ont pas leurs connaissances, ni même parfois les bases.

L'obligation de l'employeur d'assurer la sécurité des données Bien souvent, les entreprises associent – et à tort limitent – leurs obligations résultant de la Loi du janvier 1978 à des obligations déclaratives. Le fait est que la protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données. Il appartient également – et de manière tout aussi importante – au responsable d’un traitement de données à caractère personnel de prendre les mesures nécessaires pour sécuriser ses données. L’article 34 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction actuelle, dispose en effet : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

L’intrusion dans un système informatique et ses conséquences juridiques. Il existe différents types de pirates informatiques : du hacker classique, qui s’introduit dans les systèmes par des moyens illégaux sans détruire les données ni utiliser les informations données, mais dans le seul but de faire savoir qu’il existe des failles de sécurité au cracher (casseur), appellation qui désigne le pirate le plus dangereux qui détruit dans un but précis ou pour le plaisir. Or, aux yeux de la loi, chacun d’entre eux peut être poursuivi au regard des dispositions du Code pénal en matière de fraude informatique. L’intrusion peut s’effectuer par le biais d’un programme qui se cache lui-même dans un programme « net » (par exemple reçu dans la boite aux lettres ou téléchargé). L’un des plus connus est le Back Office qui permet d’administrer l’ordinateur à distance. En outre, le piratage peut avoir comme cible les mots de passe du système. I.

Gestion des mails au travail : où est la frontière professionnel/privé ? Bien souvent, les salariés ont recours à la fonction "transfert" pour s'envoyer des documents vers leur boîte mail privée lorsqu'ils souhaitent en conserver une copie électronique. Si cette action semble a priori anodine, elle est dans les faits extrêmement encadrée et peut déboucher sur un licenciement pour faute, reconnu par les tribunaux. Règlement intérieur et clause de confidentialité. 4 conseils pour éviter une affaire Snowden dans votre entreprise - Les Echos Social Pénibilité : Manuel Valls prêt à tout changer Mardi un rapport sur la mise en œuvre du compte pénibilité est remis à Manuel Valls.

La société ORANGE sanctionnée pour défaut de sécurité des données dans le cadre de campagnes marketing En avril 2014, la société ORANGE a notifié à la CNIL une violation de données personnelles, liée à une défaillance technique de l'un de ses prestataires, ayant concerné les données de près de 1,3 million de clients dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile. La CNIL a alors procédé à des contrôles auprès de la société et des sous-traitants intervenant dans le cadre de ses campagnes d'emailing promotionnel. La délégation de contrôle a constaté que les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés. Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction. Devant la formation restreinte, la société soutenait avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données.

Les 10 technologies que les responsables de sécurité IT doivent connaître - La Revue du Digital La sécurité informatique de nouvelle génération passe par le Big Data, l’internet des objets, la virtualisation, le confinement, les passerelles Cloud, … Au total dix technologies qui ont de quoi donner des maux de tête à tout responsable de la sécurité IT. Mais ils n’auront pas le choix selon le cabinet Gartner. La sécurité informatique a toujours été complexe et c’est une nouvelle étape qui est en train d’être franchie avec le Cloud, les réseaux sociaux, les mobiles et l’internet des objets. Dix technologies à maîtriser L'Union européenne lève les obstacles à l'identification numérique Un règlement européen prévoit une validité européenne aux signatures électroniques et aménage singulièrement la réglementation sur le sujet de l'identification numérique. PublicitéLe règlement européen eIDAS (Electronic Identification And trust Services) a été adopté le 23 juillet 2014 par le Conseil de l'Union Européenne et publié le 28 août au journal officiel de l'Union Européenne sous la référence 910/2014, le faisant entrer en vigueur ces jours-ci. Il renouvelle la réglementation de 1999 sur la signature électronique et, au delà, l'identification numérique à l'échelle européenne. En tant que règlement et non directive, ce texte est d'application directe sans avoir avoir besoin d'être retranscrit en droit national dans chaque pays membre. Neutralité technologique pour le processus de signature

Related: