Aspects légaux

En quelques mots

Le non-respect de la législation dans le domaine des technologies des informations peut mettre l’organisation dans une situation délicate vis-à-vis de la loi, de ses clients (image de marque) mais aussi avoir des conséquences financières (amendes) ou pénales (responsabilité des personnes).

Les aspects légaux et les responsabilités et obligations des entreprises en matière de protection des données personnelles ont été présentés lors de l’Internet Security Day 2007 par Maître Cyril Pierre-Beausse sur la criminalité informatique : Répression et risques juridiques pour les entreprises liés aux données personnelles.

Ainsi, la loi punit plus sévèrement encore les organisations qui se font voler des informations que les voleurs eux-mêmes sous le prétexte d’un manquement dans l’obligation de protection des données personnelles et/ou sensibles.

La justice reconnaît et punit :

la responsabilité de l’auteur de l’attaque;
la responsabilité de l’intermédiaire de l’attaque;
la responsabilité de la victime de l’attaque. La conséquence légale d’un manquement à l’obligation de sécurité en relation avec un traitement de données personnelles est punissable de 8 jours à 1 an de prison et de 251 à 125.000 euros d’amende.

De fait, toute organisation doit mettre implémenter un niveau de sécurité en fonction :

du risque d’atteinte à la vie privée;
de l’état de l’art (ce qui implique une obligation de mise à jour et de se tenir informé);
des coûts liés à la mise en oeuvre.

Rédigez et faites respecter une politique sectorielle liée à la conformité.

Propriété intellectuelle

Le respect des droits d’auteurs sur les œuvres littéraires et artistiques originales auxquelles sont assimilés les bases de données et les programmes d’ordinateur, comme défini dans la loi modifiée du 18 avril 2001 s’impose. On peut citer par exemple le respect des principes de base suivants :

toute reproduction, communication au public ou distribution au public doit être autorisée par l’auteur; ceci s’applique aussi à la diffusion par Internet sauf exceptions légales;
les logiciels sont également protégés par le droit d’auteur lequel doit être respecté. Il incombe au(x) seul(s) titulaires respectifs desdits droits de décider quels utilisations des programmes respectifs sont autorisées ou non, voire soumis à licences gratuites ou onéreuses. La question du respect des droits d’auteurs ne se limite donc pas à la seule acquisition des licences de logiciels ;
il faut respecter les brevets;
il faut respecter les marques, dessins et modèles;

Pour toute autre question veuillez vous adresser à l’Office de la propriété intellectuelle.

Protection des données à caractère personnel

Toute création de fichier ou de base de données doit être faite dans le respect de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel. Il en est de même pour les traitements appliqués à ces données et pour les données déjà existantes.

Afin de travailler dans le respect de cette loi, le responsable informatique et le responsable juridique, après avoir obtenu les textes applicables auprès de la Commission Nationale pour la Protection des Données doit s’assurer de l’adéquation de la structure, notamment au niveau :

de la déclaration des données et traitements auprès de la CNPD;
de l’obtention d’une autorisation auprès de la Commission quand elle est nécessaire;
de la qualité des données et de la légitimité des traitements;
des droits d’information et d’opposition des personnes concernées;
des données potentiellement discriminatoires (raciales, ethniques, politiques, religieuses, philosophiques, syndicales) ou relatives à la santé.

De plus, il est important de garder en mémoire les 10 principes de la protection des données personnelles:

1. Principe de légitimité

Le traitement des données personnelles n’est possible que s’il existe une raison suffisamment légitime pour le justifier.

2. Principe de finalité

L’utilisation des données personnelles doit être limitée à une fin explicitement déterminée au préalable et limitée à ce qui est nécessaire pour atteindre les buts expressément définis par l’organisation qui demande des données personnelles.

3. Principe de nécessité et de proportionnalité

Le traitement doit se limiter aux données pour lesquelles il existe un rapport direct avec la finalité initiale du traitement.

4. Principe d’exactitude des données

Sur la base que des informations inexactes ou incomplètes peuvent nuire à la personne à laquelle elles se rapportent, tous les efforts doivent être faits pour que les données traitées soient correctes et actuelles, laissant le choix de les rectifier ou de les effacer.

5. Principe de loyauté

La collecte, l’enregistrement, l’utilisation et la transmission des données personnelles doivent se faire de bonne foi et non pas à l’insu des personnes.

6. Principe de sécurité et de confidentialité

Les données personnelles doivent être stockées à des endroits et sur du matériel sécurisés.

7. Principe de transparence

La loi autorise à demander la consultation des données personnelles et des finalités de traitement et de s’y opposer si le traitement n’est pas conforme à la loi. L’enregistrement de toutes les bases de données auprès de la Commission Nationale pour la Protection des Données contribue au principe de transparence.

8. Certaines données particulièrement sensibles sont soumises à une protection encore renforcée

Le traitement d’informations faisant apparaître des opinions ou convictions qui sont en rapport avec l’état de santé et la vie sexuelle, y compris les données génétiques, est interdit, hormis quelques exceptions énumérées de façons limitatives par la loi

9. La surveillance (audio, vidéo, données) de personnes identifiables est strictement limitée par la loi

Une autorisation de la Commission Nationale pour la Protection des Données est nécessaire avant de pouvoir recourir à des moyens techniques pour surveiller les personnes. Le traitement des données personnelles ainsi recueillies n’est possible que dans des cas de figure bien précis énumérés par la loi.

10. L’utilisation des données à des fins de publicité ou de démarchage commercial est soumise à une autorisation expresse

À tout moment il est possible d’interdire l’utilisation de ses données personnelles à des fins commerciales. Le marketing direct à l’aide des moyens de communication modernes (SMS, e-mail…) est en principe interdit si vous n’y avez pas marqué votre accord.

Le détournement d’un ou plusieurs de ces principes est puni par la loi.

De plus, la collecte d’informations personnelles doit être clairement connue des personnes impliquées et leur autorisation préalable à toute collecte et tout traitement d’informations personnelles collectées sur eux, doit être donné.

Droit à l’image

Le droit à la protection de la vie privée, principe de base en matière de droit à l’image, est consacré par plusieurs textes, notamment :

l’article 8 de la Convention européenne des droits de l’homme ;
l’article 14.(1) de la loi du 8 juin 2004 sur la liberté d’expression dans les médias, telle que modifiée, qui dispose que chacun a droit au respect de sa vie privée ;
la loi du 11 août 1982 concernant la protection de la vie privée, qui interdit toute atteinte volontaire à l’intimité de la vie privée d’autrui, « en fixant ou en faisant fixer, par un appareil quelconque, les images d’une personne se trouvant dans un lieu non accessible au public, sans le consentement de celle-ci ». Ce texte interdit également la publication de telles images.

Il découle de ces textes que toute personne a le droit de s’opposer à la prise mais aussi à la publication de son image : accepter d’être photographié ne veut pas dire autoriser la diffusion de la photographie dans n’importe quel cadre.

Il est fortement conseillé d’obtenir le consentement d’une personne avant sa prise en photo et (surtout) la publication des photographies. Pour les mineurs, le consentement des représentants légaux tels que les parents doit être obtenu, ainsi que celui des mineurs ayant atteint l’âge de raison.

Glossary

▹ Antivirus

▹ Actifs

▹ Authentification

▹ Disponibilité

▹ Critères de base pour l'analyse des risques

▹ Attaque informatique

▹ Confidentialité

▹ Control

▹ Cryptographie

▹ Cybercriminalité

▹ Cybercriminel

▹ DRP – Disaster Recovery Plan

▹ Sauvegarde de données

▹ Perte de données

▹ Défiguration

▹ Désinfectez la machine avec un live CD

▹ Mise au rebut

▹ Email

▹ Firewall

▹ Erreurs humaines

▹ IDS/IPS

▹ Droit à l'image

▹ Impact

▹ Intégrité

▹ Internet et droits d'auteurs

▹ Aspects légaux

▹ LuxTrust

▹ Logiciels malveillants

▹ Sites Web malicieux

▹ Segmentation réseau

▹ Password

▹ Correctifs - patch

▹ Phishing

▹ Pannes physiques

▹ Sécurité physique

▹ Vol Physique

▹ Recommandations pour sécuriser un serveur de fichiers

▹ Recommandations pour sécuriser un serveur connecté à Internet

▹ Recommandations pour sécuriser un serveur Web

▹ Supports amovibles

▹ Gestion des risques

▹ Spam - les courriers indésirables

▹ SSL/TLS - les technologies de chiffrement sur la toile

▹ Mettre à jour les logiciels sur son ordinateur à l'aide de Secunia PISA

▹ Charte de sécurité

▹ Ingénierie sociale

▹ Menaces

▹ VPN : Les réseaux privés virtuels

▹ Vulnérabilités

▹ Web of Trust - WOT

▹ Filtre web - Proxy

▹ Pourquoi est-il important de protéger son ordinateur?