CASES.LU

Glossary

  1. ▹ Antivirus
  2. ▹ Actifs
  3. ▹ Authentification
  4. ▹ Disponibilité
  5. ▹ Critères de base pour l'analyse des risques
  6. ▹ Attaque informatique
  7. ▹ Confidentialité
  8. ▹ Control
  9. ▹ Cryptographie
  10. ▹ Cybercriminalité
  11. ▹ Cybercriminel
  12. ▹ DRP – Disaster Recovery Plan
  13. ▹ Sauvegarde de données
  14. ▹ Perte de données
  15. ▹ Défiguration
  16. ▹ Désinfectez la machine avec un live CD
  17. ▹ Mise au rebut
  18. ▹ Email
  19. ▹ Firewall
  20. ▹ Erreurs humaines
  21. ▹ IDS/IPS
  22. ▹ Droit à l'image
  23. ▹ Impact
  24. ▹ Intégrité
  25. ▹ Internet et droits d'auteurs
  26. ▹ Aspects légaux
  27. ▹ LuxTrust
  28. ▹ Logiciels malveillants
  29. ▹ Sites Web malicieux
  30. ▹ Segmentation réseau
  31. ▹ Password
  32. ▹ Correctifs - patch
  33. ▹ Phishing
  34. ▹ Pannes physiques
  35. ▹ Sécurité physique
  36. ▹ Vol Physique
  37. ▹ Recommandations pour sécuriser un serveur de fichiers
  38. ▹ Recommandations pour sécuriser un serveur connecté à Internet
  39. ▹ Recommandations pour sécuriser un serveur Web
  40. ▹ Supports amovibles
  41. ▹ Gestion des risques
  42. ▹ Spam - les courriers indésirables
  43. ▹ SSL/TLS - les technologies de chiffrement sur la toile
  44. ▹ Mettre à jour les logiciels sur son ordinateur à l'aide de Secunia PISA
  45. ▹ Charte de sécurité
  46. ▹ Ingénierie sociale
  47. ▹ Menaces
  48. ▹ VPN : Les réseaux privés virtuels
  49. ▹ Vulnérabilités
  50. ▹ Web of Trust - WOT
  51. ▹ Filtre web - Proxy
  52. ▹ Pourquoi est-il important de protéger son ordinateur?

Aspects légaux

En quelques mots

Le non-respect de la législation dans le domaine des technologies des informations peut mettre l’organisation dans une situation délicate vis-à-vis de la loi, de ses clients (image de marque) mais aussi avoir des conséquences financières (amendes) ou pénales (responsabilité des personnes).

Les aspects légaux et les responsabilités et obligations des entreprises en matière de protection des données personnelles ont été présentés lors de l’Internet Security Day 2007 par Maître Cyril Pierre-Beausse sur la criminalité informatique : Répression et risques juridiques pour les entreprises liés aux données personnelles.

Ainsi, la loi punit plus sévèrement encore les organisations qui se font voler des informations que les voleurs eux-mêmes sous le prétexte d’un manquement dans l’obligation de protection des données personnelles et/ou sensibles.

La justice reconnaît et punit :

  • la responsabilité de l’auteur de l’attaque;
  • la responsabilité de l’intermédiaire de l’attaque;
  • la responsabilité de la victime de l’attaque. La conséquence légale d’un manquement à l’obligation de sécurité en relation avec un traitement de données personnelles est punissable de 8 jours à 1 an de prison et de 251 à 125.000 euros d’amende.

De fait, toute organisation doit mettre implémenter un niveau de sécurité en fonction :

  • du risque d’atteinte à la vie privée;

  • de l’état de l’art (ce qui implique une obligation de mise à jour et de se tenir informé);

  • des coûts liés à la mise en oeuvre.

Rédigez et faites respecter une politique sectorielle liée à la conformité.

Propriété intellectuelle

Le respect des droits d’auteurs sur les œuvres littéraires et artistiques originales auxquelles sont assimilés les bases de données et les programmes d’ordinateur, comme défini dans la loi modifiée du 18 avril 2001 s’impose. On peut citer par exemple le respect des principes de base suivants :

  • toute reproduction, communication au public ou distribution au public doit être autorisée par l’auteur; ceci s’applique aussi à la diffusion par Internet sauf exceptions légales;

  • les logiciels sont également protégés par le droit d’auteur lequel doit être respecté. Il incombe au(x) seul(s) titulaires respectifs desdits droits de décider quels utilisations des programmes respectifs sont autorisées ou non, voire soumis à licences gratuites ou onéreuses. La question du respect des droits d’auteurs ne se limite donc pas à la seule acquisition des licences de logiciels ;

  • il faut respecter les brevets;

  • il faut respecter les marques, dessins et modèles;

Pour toute autre question veuillez vous adresser à l’Office de la propriété intellectuelle.

Protection des données à caractère personnel

Toute création de fichier ou de base de données doit être faite dans le respect de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel. Il en est de même pour les traitements appliqués à ces données et pour les données déjà existantes.

Afin de travailler dans le respect de cette loi, le responsable informatique et le responsable juridique, après avoir obtenu les textes applicables auprès de la Commission Nationale pour la Protection des Données doit s’assurer de l’adéquation de la structure, notamment au niveau :

  • de la déclaration des données et traitements auprès de la CNPD;
  • de l’obtention d’une autorisation auprès de la Commission quand elle est nécessaire;
  • de la qualité des données et de la légitimité des traitements;
  • des droits d’information et d’opposition des personnes concernées;
  • des données potentiellement discriminatoires (raciales, ethniques, politiques, religieuses, philosophiques, syndicales) ou relatives à la santé.

De plus, il est important de garder en mémoire les 10 principes de la protection des données personnelles:

1. Principe de légitimité

Le traitement des données personnelles n’est possible que s’il existe une raison suffisamment légitime pour le justifier.

2. Principe de finalité

L’utilisation des données personnelles doit être limitée à une fin explicitement déterminée au préalable et limitée à ce qui est nécessaire pour atteindre les buts expressément définis par l’organisation qui demande des données personnelles.

3. Principe de nécessité et de proportionnalité

Le traitement doit se limiter aux données pour lesquelles il existe un rapport direct avec la finalité initiale du traitement.

4. Principe d’exactitude des données

Sur la base que des informations inexactes ou incomplètes peuvent nuire à la personne à laquelle elles se rapportent, tous les efforts doivent être faits pour que les données traitées soient correctes et actuelles, laissant le choix de les rectifier ou de les effacer.

5. Principe de loyauté

La collecte, l’enregistrement, l’utilisation et la transmission des données personnelles doivent se faire de bonne foi et non pas à l’insu des personnes.

6. Principe de sécurité et de confidentialité

Les données personnelles doivent être stockées à des endroits et sur du matériel sécurisés.

7. Principe de transparence

La loi autorise à demander la consultation des données personnelles et des finalités de traitement et de s’y opposer si le traitement n’est pas conforme à la loi. L’enregistrement de toutes les bases de données auprès de la Commission Nationale pour la Protection des Données contribue au principe de transparence.

8. Certaines données particulièrement sensibles sont soumises à une protection encore renforcée

Le traitement d’informations faisant apparaître des opinions ou convictions qui sont en rapport avec l’état de santé et la vie sexuelle, y compris les données génétiques, est interdit, hormis quelques exceptions énumérées de façons limitatives par la loi

9. La surveillance (audio, vidéo, données) de personnes identifiables est strictement limitée par la loi

Une autorisation de la Commission Nationale pour la Protection des Données est nécessaire avant de pouvoir recourir à des moyens techniques pour surveiller les personnes. Le traitement des données personnelles ainsi recueillies n’est possible que dans des cas de figure bien précis énumérés par la loi.

10. L’utilisation des données à des fins de publicité ou de démarchage commercial est soumise à une autorisation expresse

À tout moment il est possible d’interdire l’utilisation de ses données personnelles à des fins commerciales. Le marketing direct à l’aide des moyens de communication modernes (SMS, e-mail…) est en principe interdit si vous n’y avez pas marqué votre accord.

Le détournement d’un ou plusieurs de ces principes est puni par la loi.

De plus, la collecte d’informations personnelles doit être clairement connue des personnes impliquées et leur autorisation préalable à toute collecte et tout traitement d’informations personnelles collectées sur eux, doit être donné.

Droit à l’image

Le droit à la protection de la vie privée, principe de base en matière de droit à l’image, est consacré par plusieurs textes, notamment :

  1. l’article 8 de la Convention européenne des droits de l’homme ;
  2. l’article 14.(1) de la loi du 8 juin 2004 sur la liberté d’expression dans les médias, telle que modifiée, qui dispose que chacun a droit au respect de sa vie privée ;
  3. la loi du 11 août 1982 concernant la protection de la vie privée, qui interdit toute atteinte volontaire à l’intimité de la vie privée d’autrui, « en fixant ou en faisant fixer, par un appareil quelconque, les images d’une personne se trouvant dans un lieu non accessible au public, sans le consentement de celle-ci ». Ce texte interdit également la publication de telles images.

Il découle de ces textes que toute personne a le droit de s’opposer à la prise mais aussi à la publication de son image : accepter d’être photographié ne veut pas dire autoriser la diffusion de la photographie dans n’importe quel cadre.

Il est fortement conseillé d’obtenir le consentement d’une personne avant sa prise en photo et (surtout) la publication des photographies. Pour les mineurs, le consentement des représentants légaux tels que les parents doit être obtenu, ainsi que celui des mineurs ayant atteint l’âge de raison.