background preloader

Veille Juridique

Facebook Twitter

Affaire Snowden : comment contrôler les droits d'administration. Edward Snowden, auteur des révélations faites sur les programmes d'espionnage de la NSA, avait pu accéder simplement aux informations critiques de l'agence grâce à ses droits administrateurs. Si les administrateurs des systèmes d'informations se doivent de posséder un accès étendu aux machines, leurs droits d'entrée doivent être impérativement contrôlés et régulés.

Une leçon mise en évidence par l'affaire Snowden. L'affaire Snowden est pleine de leçons pour les responsables de la sécurité des systèmes d'information. 20% des organisations ne connaissent pas le nombre de compte administrateurs ouverts La firme a ainsi approché 340 participants de la conférence FOCUS 13 de McAfee pour en apprendre un peu plus sur la question. Bonne nouvelle, on apprend que les déboires de la NSA ont fait réfléchir plus de la moitié des chargés de sécurité.

La solution réside donc peut-être dans une approche repensée de l'attribution des droits étendus. La protection juridique des bases de données illustrée par les dernières jurisprudences. Les bases de données sont protégées juridiquement et sauf exception, l’extraction de contenus, même librement accessibles, sur Internet par exemple, n’est pas autorisée et peut coûter très cher... Les bases de données bénéficient de deux régimes de protection juridique indépendants l'un de l'autre : la protection par le droit d'auteur et la protection par le droit des producteurs (ou droit sui generis).

La protection n'est cependant pas acquise automatiquement, comme nous allons le rappeler ci-après. Quatre décisions rendues entre décembre 2009 et avril 2010 viennent illustrer l'application de ces règles par les tribunaux. L'importance des condamnations (de 90 000 à 3,8 millions d'euros de dommages et intérêts) démontre l'importance accordée par les juges à la réparation de l'atteinte aux ayants droit. 1. 1.1 La protection par le droit d'auteur Pour prétendre à la protection par le droit d'auteur, la base de données doit cependant constituer une véritable création intellectuelle originale. Cybersécurité: une majorité craint pour sa vie privée, selon un sondage. Les Français et les Allemands sont beaucoup moins enclins que les Indiens ou les Japonais à livrer certaines informations personnelles pour pouvoir surfer plus facilement sur l'internet. En tout, 15 000 consommateurs ont été interrogés dans quinze pays. C'est en Allemagne que les sondés sont les moins prêts (71%) à «échanger une part de vie privée pour plus de facilité et de commodité» lorsqu'ils utilisent l'internet, par exemple parce que les annonceurs ont accès à leurs goûts et préférences et peuvent donc fournir des réponses plus appropriées à leurs recherches.

La France arrive en deuxième position, avec 63% de sondés qui ne sont pas prêts à sacrifier ou partager certaines données personnelles, tandis que cette catégorie d'internautes représente 56% aux États-Unis, 52% aux Pays-Bas et baisse jusqu'à 40% en Inde, 39% au Mexique et 35% au Japon. Ec.europa.eu/justice/data-protection/document/review2012/brochure/dp_brochure_fr. Outils de veille. Cahier d'un administrateur réseaux. GESTION DES DONNEES PERSONNELLES. Le cabinet Forrester pense que la délégation de gestion des données personnelles sera un marché prometteur. Deux tendances fortes s'opposent depuis des années. D'un côté, les consommateurs ne veulent plus être harcelés par des propositions commerciales incessantes et donc ne plus transmettre d'informations sur eux permettant de les solliciter.

Mais, de l'autre côté, ils désirent obtenir des services personnalisés qui impliquent qu'une telle transmission d'informations personnelles ait eu lieu. Toute la question est de définir qui a droit à disposer de quelles informations et pour quels motifs. En France, cette question du partage de données et de l'habilitation à y accéder (et de qui habilite) a été au coeur de projets comme le DMP (dossier médical personnel) ou Mon.service-public.fr. Le cabinet Forrester vient de publier une étude baptisée « Personal Identity Management ». Mutualiser les systèmes d'identification Partage mais contrôle des accès. La Commission européenne légifère sur la protection des données personnelles. Cyberguerre et cybercriminalité : Internet, champ de bataille des temps modernes ?

Cyberguerre et cybercriminalité : Internet, champ de bataille des temps modernes ? Emmanuel Le Bohec, Regional Manager chez Corero Network Security 1ère partie : Quelques attaques récentes… DDoS en série en représailles contre Sony Fin mars 2011, Sony engage une action en justice contre des développeurs ayant modifié le logiciel de sa console PlayStation 3. Pour protester, le collectif Anonymous lance une attaque DDoS qui paralyse les sites PlayStationNetwork.com. Le 20 avril, Sony déconnecte les services PlayStation Network et Qriocity, après avoir détecté une intrusion sur les serveurs du réseau, hébergés dans un data center. Mais ce n‘est que la partie émergée de l’iceberg ! Selon Sony, l’attaque était très sophistiquée. Piratage de MySQL, l’envers de la manipulation Lundi 26 septembre 2011, des pirates compromettent MySQL.com, le site officiel de la base de données open source du même nom. RSA et les dessous du vol de données Espionnage de Lockheed-Martin Une guérilla de mercenaires.

Protection des données personnelles des consommateurs. Cybersurveillance - La méconnaissance de la Charte informatique constitue une faute grave (Cass soc 5 juillet 2011 n°10-14.685) Bref rappel : l’employeur a la faculté de mettre en place une Charte d'utilisation du matériel informatique.

L’intérêt de rédiger une telle charte est en effet de permettre de fixer des règles d'utilisation de l’outil informatique (opérations interdites, règles de confidentialité etc..), d’informer le salarié concernant la mise en place éventuelle de moyens de surveillance de leur activité professionnelle, de prévenir des pratiques illégales voire illicites etc.. Si le défaut de mise en garde sur l'utilisation répréhensible des outils informatiques dans le Règlement Intérieur ou la Charte informatique n'interdit pas de retenir en cas de licenciement la faute grave (Cass. soc., 16 mai 2007, no 05-43.455, Eve c/ Sté Info Mag), a contrario l’existence d’une telle Charte permet à l’employeur de la caractériser plus aisément.

Or l’enjeu est de taille. C’est l’illustration de l’arrêt commenté. Les données personnelles et la protection de la vie privée à l'heure des nouvelles technologies (Dossier de mai 2012. Introduction Si la notion de données personnelles d'un individu englobe une quantité non-négligeable et importante d'informations plus ou moins nominatives (nom, prénom, âge, sexe, lieu de résidence, loisirs préférés, pseudo, n°client, etc.), force est de constater que bon nombre de personnes ignorent précisément de quoi il s'agit, mais aussi par qui et dans quel but des fichiers sont créés. S'il est aisé d'imaginer que nous sommes tous fichés par l'Etat et les organismes qui lui sont rattachés (sécurité sociale, fisc, police à travers la carte nationale d'identité, la préfecture lors de l'établissement de la carte grise, le Pôle emploi, le médecin, etc.), par son employeur, par des associations indépendantes (club de sport, association à laquelle on fait un don, forum de discussion ou chat, etc.) ou encore par des sociétés commerciales (banque, assureurs, téléphonie, fichiers clients des commerces, etc.), on imagine moins être fichés par des sociétés que l'on ne connaît pas.

Actualite informatique, actualite des entreprises, information economique. Identité numérique (Internet) Un article de Wikipédia, l'encyclopédie libre. L'identité numérique ou IID (pour Internet Identity en anglais) peut être définie comme un lien technologique entre une entité réelle (personne, organisme ou entreprise) et des entités virtuelles (sa ou ses représentation(s) numériques). Le développement et l’évolution des moyens de communication, au travers notamment de la multiplication des blogs et des réseaux sociaux, changent le rapport de l’individu à autrui.

Ainsi, l’identité numérique permet l’identification de l’individu en ligne et la mise en relation de celui-ci avec cet ensemble de communautés virtuelles qu’est Internet. Dès lors, l’identité numérique peut être divisée en trois catégories: Le décalage ou du moins les divergences qui peuvent subsister entre l’identité déclarative et l’identité agissante soulèvent une question majeure. La schématisation du concept de l’identité numérique a été abordée par plusieurs auteurs comme Fred Cavazza ou encore Leafar[2].

Le droit à l’oubli numérique : un vide juridique ? Par Jean-Christophe Duton et Virginie Becht, Avocats. Le rapport d’information du Sénat relatif au respect de la vie privée à l’heure des mémoires numériques a invité récemment le Sénat à réfléchir à la création d’un droit à l’oubli. Le caractère relativement perpétuel des données mises à disposition sur Internet, que ce soit volontairement par l’individu concerné ou par des tiers, ou involontairement, sous forme de traces laissées par la navigation comme les cookies, participe à une hypermnésie collective. Cette dernière devient de plus en plus préjudiciable à mesure que les technologies et les usages évoluent et que la diffusion et l’accès à ces données s’accroissent (plus grande exposition sur les réseaux sociaux notamment et, parallèlement, consultation des données par les recruteurs, assureurs ou organismes sociaux).

L’inquiétude d’être « fiché » coïncide avec la divulgation très libérale d’informations parfois intimes. 1.1 La loi informatique et libertés 1.2 La LCEN et la loi HADOPI II 1.3 L’article 9 du Code civil. BREVES  | Infogérance et pertes de données : pas d’indemnisation sans preuve du préjudice  

Internet: La protection de l'e-réputation, un marché en pleine expansion - News High-Tech: Web. Internet Être calomnié ou insulté sur la Toile est de plus en plus courant. Ces attaques virtuelles laissent souvent les victimes démunies, mais la défense s'organise. Des sociétés spécialisées dans la protection de l'e-réputation fleurissent en Suisse. La diffamation sur les réseaux sociaux est de plus en plus courante.Image: Keystone Liens Partager & Commenter Votre email a été envoyé. Taper son nom dans un moteur de recherches et se retrouver associé aux mots «escroc» ou «pute» est une mésaventure qui arrive régulièrement à des internautes ou même à des sociétés.

Même s'il est toujours compliqué de protéger sa réputation sur la Toile, il existe en Suisse un arsenal juridique en la matière qui, lui, n'a rien de virtuel. «Les grandes plateformes ont une politique claire en la matière. Les lacunes du droit suisse Là où les choses se compliquent, c'est lorsque le serveur est à l'étranger.

La mémoire perpétuelle d'internet pose un troisième problème. Un nouveau marché L'envers de la médaille. Une charte de l'administrateur de système et de réseau. Complexité en expansion, risques multipliés La multiplication de questions de plus en plus complexes liées à la sécurité des systèmes et des réseaux, l’imbrication de plus en plus intime des aspects techniques et juridiques de ces questions et le risque accru de conséquences judiciaires en cas d’erreur incitent à la rédaction, au sein de chaque entreprise ou organisation, d’une charte de l’administrateur de système et de réseau qui rappelle les devoirs, les pouvoirs et les droits des ingénieurs et des techniciens qui administrent la sécurité des réseaux, des ordinateurs et en fin de compte du système d’information.

Cette activité d’administration de la passerelle de messagerie de l’entreprise lui permet de détecter les usages contraires à la loi qui pourraient en être faits par des employés indélicats, dont les exemples les plus courants sont, non limitativement : Règles de conduite Secret professionnel Mots de passe « - Non ! Proposition de charte Préambule Définitions Surveillance et audit. Saga Bluetouff : qu’est-ce qu’un délit d’entrave à un SI ? Par Claudia Weber et Arthur Duchesne, Avocats.

Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Articles divers Par Claudia Weber et Arthur Duchesne, Avocats. - lundi 21 juillet 2014 La saga relative aux démêlés judiciaires d’un internaute ayant téléchargé des données confidentielles laissées en libre accès sur internet oblige aujourd’hui les juges à rechercher un équilibre entre l’insécurité juridique dans laquelle peuvent être placés les internautes lors de leur navigation et l’obligation forte qui pèse sur les entreprises et organismes en matière de sécurisation de leurs SI [1]. En l’espèce, un particulier connu sous le pseudonyme Bluetouff effectuait des recherches sur le moteur de recherches « Google » lorsqu’il a été orienté vers une page extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (« ANSES »).

Par un premier jugement du 23 avril 2013 , le TGI de Créteil a prononcé la relaxe de Bluetouff, au motif que : Notes : Faille de sécurité et responsabilité de l'entreprise. On voit mal comment une entreprise peut aujourd’hui travailler sans faire appel à l’informatique. Or dans l’univers informatique les données peuvent être endommagées, détruites, perdues. C’est pourquoi tout professionnel doit procéder a minima à des mesures de sauvegarde et de sécurité de ses données. Il s’agit de mesures de gestion saine et d’anticipation des risques auxquelles tout dirigeant se doit de se conformer. C’est pourquoi la sauvegarde et la sécurité des données est un acte de gestion essentiel dans la vie d’une entreprise.

Cette obligation est d’autant plus vraie que c’est l’entreprise qui met à la disposition de ses employés des moyens d’accès à des données à caractère personnel qui sont ensuite, via des outils informatiques, partagés en réseaux internes ou parfois via internet. C’est les cas par exemple des données sur les téléphones mobiles, les plateformes intranet, les bases de données clients partagées en réseaux entre les services / filiales. Informatique et libertés : l'accès aux messages personnels des salariés très encadré.

Le respect de la vie privé : un droit supérieur à protéger Les problématiques liées à l’utilisation de l’outil informatique au bureau – par nature, un outil professionnel -, à des fins personnelles, ont pris de nombreuses configurations. Dénigrement des supérieurs par e-mail, consultation de site internet sans rapport avec l’activité professionnelle, utilisation d’une boîte mail professionnelle à des fins personnelles, entre autres, la liste est longue et va certainement encore s’allonger.

Les juges ont, de manière générale, considéré que les fichiers ou les documents détenus sur un ordinateur sont présumés avoir un caractère professionnel, sauf s’ils ont été clairement identifiés comme « personnels ». Si ce n’est pas le cas, ils sont considérés comme ayant un caractère professionnel, de sorte que l’employeur peut y avoir accès en dehors de la présence du salarié (Cass. Soc., 18 octobre 2006, n° 04-48.025 ; Cass.

Soc., 17 mai 2005, n° 03-40.017). L'affaire Bluetouff ou : NON, on ne peut pas être condamné pour utiliser Gogleu. Le titre de ce billet peut paraître surprenant, mais il répond en fait à un titre d’article qu’un journal en ligne de la presse spécialisée, au demeurant excellent sur son secteur, a employé pour relater la présente affaire. Comme quoi la communauté geek sait avoir les mêmes réflexes corporatistes que n’importe quel autre groupe social ayant des intérêts communs assez forts. Heureusement, outre son goût pour les pizzas froides et la Guinness, ce qui la caractérise avant tout est le goût de comprendre, et je l’entends qui piaffe aux portes de ce blog.

Faites entrer les fauves, on va faire du droit. Au-delà des aspects techniques de cette affaire, que nous allons aborder, on se retrouve dans une problématique récurrente lorsqu’on doit juger des délits commis dans un contexte technique complexe : que ce soit la finance, la médecine, la pharmacologie, ou la technologie : les prévenus regardent les juges comme des ignares car ils n’ont pas leurs connaissances, ni même parfois les bases. Messagerie électronique au bureau : ne pas confondre « perso » et « personnel » L’usurpation d’identité numérique : nouveau délit 2011... Identité personnelle et identité numérique. [MàJ] Bluetouff décide de se pourvoir en Cassation. Le droit à l’oubli numérique : un vide juridique ? Par Jean-Christophe Duton et Virginie Becht, Avocats.

Introduction au contrôle de la qualité de service QOS et SLA. Sécurité entreprise données fonctions personnalités. LE MUR de la VEILLE JURIDIQUE 2014-2016. L'information juridique de référence pour les avocats. Administrateurs réseau : quels sont vos droits en matière de cybersurveillance ? 10 conseils pour la sécurité de votre système d’information. Avec « Project Zero », Google veut sécuriser davantage Internet. Une nouvelle directive européenne pour la sécurité des données personnelles.

Commet un délit l'auteur de la mise à disposition sur internet d'informations relatives à des failles de sécurité | Net-iris 2009. Introduction au contrôle de la qualité de service QOS et SLA. NOUVEAU THEME DE VEILLE pour 2015 et 2016. Swisslife renforce la gestion des comptes à privilège. Orange sanctionné pour défaut de sécurité sur les données de plus d'un million de clients.

Cadre juridique des administrateurs réseaux. Les 10 technologies que les responsables de sécurité IT doivent connaître - La Revue du Digital. La culture informationnelle » Le concept de veille informationnelle. L’intrusion dans un système informatique et ses conséquences juridiques. Document sans nom. L'obligation de l'employeur d'assurer la sécurité des données. Failles de sécurité et fautes informatiques — Droit des technologies avancées.

Faille de sécurité : avertissement public de la Cnil. La société ORANGE sanctionnée pour défaut de sécurité des données dans le cadre de campagnes marketing. Présentation du serious game "Keep an eye" - CIGREF - Daesign. L’administrateur réseau a le pouvoir de lire les messages personnels. Cour de cassation. 4 conseils pour éviter une affaire Snowden dans votre entreprise - Les Echos. Keylogger : des dispositifs de cybersurveillance particulièrement intrusifs. Guide de bonnes pratiques pour les Administrateurs Systèmes et Réseaux.

Données à caractère personnel, identité numérique, e-réputation, droit à l'oubli... E-réputation & Identité numérique, protection des données confidentielles et personnelles - Web Escape Agents. Loi du 29 août 2002 d'orientation et de programmation pour la sécurité intérieure. La CNIL met en garde contre la politique de confidentialité de Google.

Jeunes - Jeunes - CNIL - Commission nationale de l'informatique et des libertés. L'identité à l'ère numérique. Données personnelles sur Internet : réseaux sociaux, moteurs de recherche... Un hébergeur doit se plier aux demandes concernant les données perso. Identité numérique (Internet)