digitel consult
Accueil
Services
Blog
Contact
digitel consult
Accueil
Services
Blog
Contact
Plus
  • Accueil
  • Services
  • Blog
  • Contact
  • Connectez-vous
  • Créer un compte
  • Réservations
  • Mon compte

  • Connecté en tant que :

  • filler@godaddy.com

  • Réservations
  • Mon compte

  • Se déconnecter

Connecté en tant que :

filler@godaddy.com

  • Accueil
  • Services
  • Blog
  • Contact

Compte

  • Réservations
  • Mon compte

  • Se déconnecter

  • Connectez-vous
  • Réservations
  • Mon compte

Politique de confidentialité

Atteintes à un système d’information


La loi n° 2012-410 du 27 mars 2012 relative à la protection de l’identité a encadré l’intégration dans les pièces d’identité et les passeports d’un composant électronique sécurisé comprenant les données à caractère personnel du détenteur du document. Pour dissuader les attaques contre ce composant, cette loi a créé une nouvelle circonstance aggravante des infractions d’atteintes aux systèmes de traitement automatisé de données étudiées ci-après, lorsque ces infractions « ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État ».


  1. Accès et maintien dans un système d’information

L’article 323-1 alinéa 1er du Code pénal sanctionne de deux ans d’emprisonnement et de 60 000 euros d’amende le fait « d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ».

L’article 323-1 alinéa 2 précise que « lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100 000 euros d’amende ».


L’article 323-1 alinéa 3 dispose que « lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à cinq ans d’emprisonnement et à 150 000 euros d’amende » (loi du 27 mars 2012).

L’accès et le maintien frauduleux sont donc sanctionnés plus lourdement lorsqu’ils ont eu pour conséquence, involontaire, de porter atteinte au système d’information ou aux données qu’il contient.


La loi n° 2015-912 du 24 juillet 2015 relative au renseignement a par ailleurs rehaussé les plafonds financiers applicables à ces infractions.

Les pratiques visées sont, par exemple, le contournement ou la violation d’un dispositif de sécurité, l’insertion d’un fichier espion (cookie, cheval de Troie, ver), ou encore l’accès sans habilitation.

Un accès peut être régulier, mais le maintien condamnable, car dépassant les limites posées à l’accès (habilitation, durée...). Par ailleurs, l’accès par erreur pourra ne pas être condamnable, mais le maintien, oui.

Pour constituer ces infractions, il faut encore que soient réunies trois conditions :


  • La présence d’un système de traitement automatisé de données.
  • Une réalisation effective (élément matériel).
  • Une intention frauduleuse de la réaliser (élément moral).


  1. Élément matériel


Les travaux préparatoires à l’adoption de la loi Godfrain contiennent une définition du STAD, évoquée supra : « tout ensemble composé d’une ou plusieurs unités de traitement, de mémoires, de logiciels, de données, d’organes d’entrées-sorties et de liaisons, qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs déterminés » (Doc. AN n° 1009, 1987-1988, et plus particulièrement, Rapp. Thyraud : Doc. Sénat n° 3, 1987-1988, p. 51 à 53).


(V. J.-P. Buffelan, La répression de la fraude informatique : Expertises févr. 1988, p. 55. - H. Croze, L’apport du droit pénal à la théorie générale du droit de l’informatique (à propos de la loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique) : JCP G 1988, I, 3333, spéc. N° 7. - J. Devèze, Commentaire de la loi n° 88-19

du 5 janvier 1988 relative à la fraude informatique : Lamy Droit de l’informatique, 1987, mise à jour J, févr. 1988, p. 3, spéc. n° 53).


La cour d’appel de Paris, dans un arrêt en date du 30 octobre 2002, a jugé que « les parties de site, qui ne font, par définition, l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, doivent être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès » (CA Paris, 30 oct. 2002, Kitetoa c/ Sté Tati : Comm. com. électr. 2003, comm. 5 ; D. 2003, p. 2827, note C. Le Stanc ; LPA 2003, n° 104, p. 12, note E. Bourgeois).


b. Élément moral


La cour d’appel de Paris a considéré que ce texte vise tous les modes de pénétration irréguliers d’un système de traitement automatisé de données (CA Paris, 5 avr. 1994 : JCP E 1995, I, 461, obs. F. Vivant et C. Le Stanc ; LPA 1995, n° 80, p. 13, chron. Droit de la communication, note V. Alvarez).

L’accès peut résulter d’une manipulation, en elle-même irrégulière, par exemple l’insertion d’un cheval de Troie dans un système (T. corr. Limoges, 14 mars 1994 : Expertises févr. 1994, p. 238, obs. Teboul). Il peut aussi résulter de la composition d’un code d’accès obtenu irrégulièrement, par exemple l’utilisation du numéro de carte d’autrui (T. corr. Paris, 26 juin 1995, 12e ch. : LPA 1996, n° 87, p. 4, chron. Droit de la communication, note V. Alvarez).

Le Code pénal précise dans l’article 121-7 qu’est également complice la personne qui, par don, promesse, menace, ordre, abus d’autorité ou de pouvoir, aura provoqué à une infraction ou donné des instructions pour la commettre.


  1. Atteinte au fonctionnement d’un système d’information


L’article 323-2 du Code pénal sanctionne de cinq ans d’emprisonnement et de 150 000 euros d’amende « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données ».

Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à sept ans d’emprisonnement et à 300 000 euros d’amende (loi sur le renseignement du 24 juillet 2015).


Deux types d’atteintes sont ici prévus :


  • Entraver le fonctionnement du système.
  • Fausser le fonctionnement du système.


D’un côté, la finalité est de bloquer purement et simplement le système, de l’autre, il s’agit de faire fonctionner le système de façon erronée.

Il est à noter que l’article 323-2 du Code pénal ne contient pas le terme « frauduleusement », contrairement aux articles 323-1 et 323-3.


La cour d’appel a précisé les éléments qui auraient pu établir l’existence d’une entrave :


  • Le principe du préjudice et son importance.
  • L’état et l’évolution de la charge du serveur et de son temps de travail lors de la période dénoncée.
  • Les capacités informatiques du serveur abritant le site par rapport au nombre et à la durée des connexions du mis en cause.
  • La cause de la perturbation du site invoquée par la plaignante
  • Les moyens mis en œuvre afin d’y remédier.


  1. Atteinte aux données d’un système d’information


L’article 323-3 du Code pénal incrimine « le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient ».

Cette infraction est punie de cinq ans d’emprisonnement et de 150 000 d’amende.

Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à sept ans d’emprisonnement et à 300 000 euros d’amende (loi sur le renseignement du 24 juillet 2015).


  1. Diffusion d’un logiciel d’intrusion


L’article 323-3-1 du Code pénal, créé par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) et modifié par la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale punit « le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 ».


La sanction sera celle prévue pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.


La détention d’un virus ou d’un programme permettant de s’introduire dans un système d’information est donc en principe condamnable sauf exception.

Par exception, cet article prévoit la détention de ce type de logiciels pour des motifs légitimes et propose deux exemples : la recherche ou la sécurité informatique.

Par exception, cet article prévoit la détention de ce type de logiciels pour des motifs légitimes et propose deux exemples : la recherche ou la sécurité informatique.

C’est la loi de programmation militaire du 18 décembre 2013 qui a apporté ces exemples de motifs légitimes.


L’article 323-3-1 du Code pénal, dans sa rédaction actuelle, permet donc aux spécialistes de l’anti-intrusion d’analyser, de créer et d’éprouver ces dispositifs à des fins de sécurisation des systèmes d’information, sous réserve de prendre certaines précautions évoquées dans le présent chapitre.


Atteintes aux traitements de données à caractère personnel


  1. Notion de données à caractère personnel


Tout traitement de données à caractère personnel doit être réalisé dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (dite "loi Informatique et Libertés") modifiée.


Ayant pour objectif l’harmonisation des textes nationaux européens applicables aux traitements de données à caractère personnel et issus notamment d’une directive européenne de 1995, un règlement européen 2016/679 a été adopté le 27 avril 2016.

Ce règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « Règlement général sur la protection des données » ou « RGPD »), applicable depuis le 25 mai 2018, est d’application directe dans les différents pays européens.


La notion de donnée à caractère personnel est définie à l’article 2 de la loi Informatique et Libertés et à l’article 4 du RGPD.


Elle vise toute information se rapportant à une personne physique identifiée ou identifiable.


Une personne physique identifiable est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.


Il peut s’agir par exemple du nom, de l’adresse postale, de l’adresse e-mail, du numéro de téléphone, de la date de naissance, etc.


La CNIL classe les données à caractère personnel en plusieurs catégories :


  • État civil, identité, données d’identification
  • Vie personnelle (habitudes de vie, situation familiale, etc.).
  • Vie professionnelle (CV, scolarité, formation professionnelle, distinctions, etc.).
  • Informations d’ordre économique et financier (revenus, situation financière, situation fiscale, etc.).
  • Données de connexion (adresse IP, identifiants de connexion, etc.).
  • Données de localisation (déplacements, données GPS, GSM, etc.).


  1. Collecte illicite de données à caractère personnel


L’article 226-18 du Code pénal, créé par la loi Informatique et Libertés, sanctionne de cinq ans d’emprisonnement et de 300 000 euros d’amende le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite.


         2. Divulgation illicite de données à caractère personnel


Cette infraction, prévue à l’article 226-22 du Code pénal, suppose que la divulgation des données à caractère personnel a pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée.


          3. Sanctions administratives (CNIL)


Lors de l’entrée en vigueur de la loi pour une République numérique du 7 octobre 2016, les sanctions administratives pouvant être prononcées par la CNIL sont les suivantes :


  • Mise en demeure publique.
  • Avertissement public.
  • Sanction pécuniaire (3 000 000 euros).
  • Interruption du traitement.


Cependant, depuis le 25 mai 2018, le RGPD a augmenté notablement les plafonds des sanctions pécuniaires : de 2 % à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent ou de 10 à 20 millions d’euros.


  1. Obligation de sécurité du responsable de traitement


Les 10 conseils de la CNIL (disponibles sur le site www.cnil.fr) pour assurer la sécurité du système d’information sont les suivants :


  • Adopter une politique de mot de passe rigoureuse.
  • Concevoir une procédure de création et de suppression des comptes utilisateurs.
  • Sécuriser les postes de travail.
  • Identifier précisément qui peut avoir accès aux fichiers.
  • Veiller à la confidentialité des données vis-à-vis des prestataires.
  • Sécuriser le réseau local.
  • Sécuriser l’accès physique aux locaux.
  • Anticiper le risque de perte ou de divulgation des données.
  • Anticiper et formaliser une politique de sécurité du système d’information.
  • Sensibiliser les utilisateurs aux "risques informatiques" et à la loi Informatique et Libertés.


. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a publié en janvier 2013 et mis à jour en janvier 2017 un « guide d’hygiène informatique » à destination du RSSI (responsable de la sécurité des systèmes d’information) regroupant 42 règles de base :

I Sensibiliser et former


  1. Former les équipes opérationnelles à la sécurité des systèmes d’information.
  2. Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique.
  3. Maîtriser les risques de l’infogérance.


II Connaître le système d’information


4. Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau.


5. Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour.


6. Organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs.


7. Autoriser les connexions au réseau de l’entité aux seuls équipements maîtrisés.


III Authentifier et contrôler les accès


8. Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur.


9. Attribuer les bons droits sur les ressources sensibles du système d’information.


10. Définir et vérifier des règles de choix et de dimensionnement des mots de passe.


11. Protéger les mots de passe stockés sur les systèmes.


12. Changer les éléments d’authentification par défaut sur les équipements et services.


13. Privilégier, lorsque c’est possible, une authentification forte.


IV Sécuriser les postes


14. Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique.


15. Se protéger des menaces relatives à l’utilisation de supports amovibles.


16. Utiliser un outil de gestion centralisée afin d’homogénéiser les politiques de sécurité.


17. Activer et configurer le pare-feu local des postes de travail.


18. Chiffrer les données sensibles transmises par voie Internet.


19. Segmenter le réseau et mettre en place un cloisonnement entre ces zones.


V Sécuriser le réseau


20. S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages.


21. Utiliser des protocoles réseau sécurisés dès qu’ils existent.


22. Mettre en place une passerelle d’accès sécurisé à Internet.


23. Cloisonner les services visibles depuis Internet du reste du système d’information.


24. Protéger sa messagerie professionnelle.


25. Sécuriser les interconnexions réseau dédiées avec les partenaires.


26. Contrôler et protéger l’accès aux salles serveurs et aux locaux techniques.


VI Sécuriser l’administration


27. Interdire l’accès à Internet depuis les postes ou serveurs utilisés pour l’administration du système d’information.


28. Utiliser un réseau dédié et cloisonné pour l’administration du système d’information.


29. Limiter au strict besoin opérationnel les droits d’administration sur les postes de travail.


VII Gérer le nomadisme


30. Prendre des mesures de sécurisation physique des terminaux nomades.


31. Chiffrer les données sensibles en particulier sur le matériel potentiellement perdable. 


32. Sécuriser la connexion réseau des postes utilisés en situation de nomadisme.


33. Adopter des politiques de sécurité dédiées aux terminaux mobiles.

VIII Maintenir à jour le système d’information.


34 Définir une politique de mise à jour des composants du système d’information.


35 Anticiper la fin de la maintenance des logiciels et limiter les adhérences logicielles.


IX Superviser, auditer, réagir


36. Activer et configurer les journaux les plus importants.


37. Définir et appliquer une politique de sauvegarde des composants critiques.


38. Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées.


39. Désigner un référent en sécurité des systèmes d’information et le faire connaître auprès du personnel.


40. Définir une procédure de gestion des incidents de sécurité.


L’article 6 de la loi du 27 mars 2012 prévoit notamment que « sont seuls autorisés, dans le cadre de cette justification de l’identité, à accéder aux données (…) les agents chargés des missions de recherche et de contrôle de l’identité des personnes, de vérification de la validité et de l’authenticité des passeports et des cartes nationales d’identité électroniques »

  1. Obligation de notification des failles de sécurité

Cette directive a été transposée en France par l’ordonnance n° 2011-1012 du 24 août 2011 (les mesures d’application de cette ordonnance ont été précisées par le décret n° 2012-436 du 30 mars 2012)


Elle se fait par lettre remise contre signature et contient les éléments suivants :


  • Nature et conséquences de la violation.
  • Mesures déjà prises ou proposées pour remédier à la violation.
  • Personnes auprès desquelles des informations supplémentaires peuvent être obtenues.
  • Si possible, estimation du nombre de personnes susceptibles d’être concernées.

Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé.


Conformément aux dispositions des articles 33 et 34 du RGPD, tous les responsables de traitements doivent également, depuis le 25 mai 2018, notifier à la CNIL les violations de données à caractère personnel, c’est-à-dire les failles de sécurité techniques impactant des traitements de données à caractère personnel.


  1. Contrôles en ligne de la CNIL


Depuis l’entrée en vigueur de la loi n° 2014-344 du 17 mars 2014 relative à la consommation (dite « loi Hamon »), la CNIL peut procéder à des contrôles en ligne, en plus des autres moyens d’enquête déjà existants : contrôles sur place au sein des organismes, auditions sur convocation à la CNIL et contrôles sur pièces.


Les constatations peuvent désormais être effectuées depuis les locaux de la CNIL sans la présence du responsable de traitement, qui n’en sera informé qu’une fois les vérifications effectuées.


Ces contrôles peuvent viser les thèmes suivants :


  • La pertinence des données collectées (article 5 du RGPD).
  • Les mentions d’information à destination du public (articles 13 et 14).
  • La sécurité des données collectées et traitées (article 32).
  • Le nombre et la nature des cookies déposés sur le poste informatique de l’internaute.
  • Les modalités d’information à destination du public en matière de cookies.
  • La qualité et la pertinence de l’information.
  • Les modalités de recueil du consentement de l’internaute.


  1. Obligation de conservation des données de connexion


Cette déclaration d’invalidité prend effet à la date de l’entrée en vigueur de la directive, soit en avril 2006, et rend également inapplicables les lois de transposition (France : loi du 12 juin 2009, art. L34-1 du CPCE).


À la suite de cette décision, la France doit vérifier la conformité de sa législation et notamment le décret n° 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques.


  1. 10. Obligation de conservation des données relatives aux contenus


L’article 6 II de la LCEN du 21 juin 2004 dispose que les FAI et hébergeurs doivent détenir et conserver les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont ils sont prestataires.

Le décret n° 2011-219 du 25 février 2011 liste les données à conserver :


  • Pour les FAI à chaque connexion :
  • Identifiant de connexion et d’abonné.
  • Terminal.
  • Date et heure de début et fin de chaque connexion.
  • Caractéristiques de la ligne de l’abonné.
  • Pour les hébergeurs à chaque création :
  • Identifiant de connexion et de contenu.
  • Protocole de connexion.
  • Nature de l’opération.
  • Date et heure de l’opération.
  • Identifiant éventuel de l’auteur.
  • Pour les FAI et hébergeurs au moment de la souscription d’un contrat ou de la création d’un compte :
  • Identifiant de connexion.
  • Identité complète de la personne physique ou morale.
  • Pseudonyme.
  • E-mail.
  • Numéro de téléphone.
  • Mot de passe et question secrète.
  • Pour les FAI et hébergeurs au moment du paiement :
  • Type de paiement.
  • Référence du paiement.
  • Montant.
  • Date et heure de la transaction.


  1. 11. Accès administratif aux données de connexion


Avant la loi de programmation militaire du 18 décembre 2013, la loi du 23 janvier 2006 de lutte antiterroriste permettait l’accès aux factures détaillées des opérateurs par les Renseignements.


L’article L.244-2 du Code de la sécurité intérieure permettait l’accès aux données techniques des opérateurs et FAI par les Renseignements pour préparer une interception de sécurité.


L’article 20 de la loi de programmation militaire du 18 décembre 2013 élargit les bénéficiaires des données : services de renseignement des ministères de la Défense, de l’Intérieur, de l’Économie et du ministère en charge du budget.


La loi relative au renseignement du 24 juillet 2015 a créé un nouvel article L811-3 dans le Code de la sécurité intérieure qui résume les finalités des opérations de renseignement :

1. l’indépendance nationale, l’intégrité du territoire et la défense nationale ;

2. les intérêts majeurs de la politique étrangère, l’exécution des engagements européens et internationaux de la France et la prévention de toute forme d’ingérence étrangère ;

3. les intérêts économiques, industriels et scientifiques majeurs de la France ;

4. la prévention du terrorisme ;

5. la prévention :

a) des atteintes à la forme républicaine des institutions ;

b) des actions tendant au maintien ou à la reconstitution de groupements dissous en application de l’article L. 212-1 ;

c) des violences collectives de nature à porter gravement atteinte à la paix publique ;

6. la prévention de la criminalité et de la délinquance organisées ;

7. la prévention de la prolifération des armes de destruction massive.

  1. 12.Les autres obligations spécifiques des FAI et hébergeurs

Les FAI doivent notamment :

  • informer leurs abonnés sur les filtres existants et les moyens de sécurisation de l’accès (art. 6 LCEN et lois HADOPI) ;
  • bloquer les sites figurant sur des listes noires fournies par les magistrats (LOPPSI 2, 14 mars 2011).

Les hébergeurs, de leur côté, ne sont pas soumis à une obligation générale de surveillance du contenu (art. 6 LCEN), mais peuvent engager leur responsabilité pour le contenu hébergé s’ils n’agissent pas promptement après signalement d’un contenu manifestement illicite.

La loi « renforçant les dispositions relatives à la lutte contre le terrorisme » du 13 novembre 2014 crée un nouvel article 421-2-5 au Code pénal réprimant le fait de provoquer directement à des actes de terrorisme ou de faire publiquement l’apologie de ces actes de peines de cinq ans d’emprisonnement et de 75 000 euros d’amende (sept ans et 100 000 euros lorsque les faits ont été connus sur Internet).

Le nouvel article 706-23 du Code de procédure pénale dispose que l’arrêt d’un service de communication au public en ligne peut être prononcé par le juge des référés pour les faits prévus à l’article 421-2-5 du Code pénal lorsqu’ils constituent un trouble manifestement illicite, à la demande du ministère public ou de toute personne physique ou morale ayant intérêt à agir.

Copyright © 2024 digitel consult - Tous droits réservés.

  • Politique de confidentialité

Ce site Web utilise les cookies.

Nous utilisons des cookies pour analyser le trafic du site Web et optimiser votre expérience du site. Lorsque vous acceptez notre utilisation des cookies, vos données seront agrégées avec toutes les autres données utilisateur.

RefuserAccepter