Le vol d’informations n’existe pasQuelle protection pour l’information ?

Marie Barel – Orange Consulting

SSTIC’09 – Marie Barel, Orange Consulting

Non, le droit ne reconnaît pas le vol d’informations

Une idée reçue … en conflit avec la réalité économique

2

Le vol : article 311-1 du Code pénal

Position unanime de la doctrine classique (J. Devèze, J. Pradel, J. Huet, …)

Principaux obstacles : dans la rédaction et l’esprit du code pénal, les faits de vol nécessitent …

– la « soustraction » frauduleuse : une vision matérielle

› Arrêt Beaudet (1937) > il faut « prendre, enlever, ravir »› Nécessité d’un support : CA Grenoble, 4 mai 2000 › Critère du déplacement de la chose volée (// UK, Theft Act

1916: « takes and carries »)

– de la « chose » d’autrui : l’information, un objet susceptible d’appropriation ?

› Droit comparé (UK, Suisse, Finlande, Espagne, Inde, …) : chose matérielle, biens mobiliers et corporels

› De l’immatérialité de l’information : // création prétorienne du vol d’électricité (Crim., 3.8.1912 > art. 311-2 CP) ; Crim., 2 septembre 2008

3SSTIC’09 – Marie Barel, Orange Consulting

Jurisprudence : de l’audace mais pas de consécration De l’appropriation (corpus) à la dépossession (animus) : l’usurpation ou la soustraction juridique de la chose

– Précédents : affaires Logabax (1979) et Antoniolli (1989) – Attendu de principe : « attendu que la détention matérielle d’une

chose, non accompagnée de la remise de la possession, n’est pas exclusive de l’appréhension qui constitue l’un des éléments constitutifs du vol. »

Dissociation du support et de son « contenu informationnel » : premier pas vers une reconnaissance du vol d’informations ?

– Arrêt de référence : affaire Bourquin - Crim., 12 janvier 1989 ; voir aussi, CA Limoges, 8.9.1998

SSTIC’09 – Marie Barel, Orange Consulting 4

Bilan du droit positif et perspectives

Les juges conduits à une « extension considérable » des textes dans le souci de ne pas laisser impunies des infractions qui sont en pleine expansion

– Une adaptation des éléments traditionnels du vol contraire au principe de légalité : nécessité d’une intervention législative

Si le droit ne protège pas contre l’appréhension (vol) de l’information, il permet généralement de protéger celle-ci contre sa divulgation ou son détournement

SSTIC’09 – Marie Barel, Orange Consulting 5

Et pourtant, une réalité économique !

Besoin de se prémunir … Intelligence économique « défensive » et protection des intérêts

fondamentaux de la Nation (FIC 2009) : secrets industriels ou militaires, ICS*, …

(*) Informations commercialement sensibles

SSTIC’09 – Marie Barel, Orange Consulting 6

Piratage informatique et « marché noir » des informations à caractère personnel (CB, n°SS, …)

Menace externe ou étrangère

Des moyens de réponse spécifiques

Face à cette menace, si le droit français ne protège pas tant contre l’appréhension de l’information (sous réserve des articles 323-1 et suivants du Code Pénal), elle la protège plus efficacement contre sa divulgation :

Livraison d’informations à une puissance étrangère (art. 411-6 à 411-8 du Code pénal) : vise les « données informatisées ou fichiers »

Protection par le secret :

– secret de la défense nationale (art. 413-9 à 413-12 C.Pén. ; IGI n° 1300 et 900)

– secret professionnel (articles 226-13 et 226-14 du Code pénal)

– secrets de fabrique et espionnage industriel : cas Dassault Aviation (2002)

Protection des informations dans le cadre de procédures administratives ou judiciaires (type E-discovery) : loi n°68-678 du 26 juillet 1968

7

Guide des bonnes pratiques en matière d’intelligence économique - Publié en février 2009 par le SCIE :

http://www.ie.bercy.gouv.fr/

1 chiffreAutre constat : la menace interne

59% des employés américains ayant quitté leur société en 2008 admettent dérober des données confidentielles appartenant à l’entreprise qu’ils quittent

Source : enquête conjointe menée par le Ponemon Institue et Symantec (février 2009) – https://www4.symantec.com/Vrt/offer?a_id=78695

SSTIC’09 – Marie Barel, Orange Consulting

« Barbie hacker » by Mattel

8

Faux sentiment

de propriété

Méconnaissance des obligations

nées du contrat de travail ou de prestation de

service

Contrôle de l’application des

règles d’utilisation du SI

Déficit de sensibilisation ou complexité de la

politique de protection et de classification de

l’information

« Vol d’informations 

»par un

Utilisateur(insiders/ex-employees)

Menace interne : pistes d’explication possible

Quelle est la portée et le contenu de

l’obligation de loyauté ? Quelles sont les clauses importantes des

contrats d’externalisation

? …

Comment la Charte peut-elle protéger

l’entreprise ? Quelles sont les dispositions à prévoir ? …

SSTIC’09 – Marie Barel, Orange Consulting

Principes d’efficacité

issus de Retex ? Quel

périmètre pour la politique de protection de l’information ?

…

Quel est le statut juridique de l’information ? Toutes les informations présentes sur le

SI sont-elles protégées ? Quels sont les titulaires des droits qui s’appliquent ? …

9

Statut juridique de l’information

Propositions diverses pour la reconnaissance des « biens informationnels » : Zenati, Catala, Bourgeois et d’autres

D’une propriété auto proclamée à une propriété énoncée par le droit ou la jurisprudence

– Rappel des principes de propriété intellectuelle : › brevets, marques, D&M (déposant)› bases de données (investisseur)› logiciels (employeur)› productions intellectuelles (auteur)

– Le produit de l’activité du salarié, propriété de l’employeur : CA Grenoble, 15 février 1995

Difficulté d’un statut global des informations, qui possèdent des formes et des contenus hétérogènes

SSTIC’09 – Marie Barel, Orange Consulting 10

1

2

3

Voies de protection de l’information

Contrat de travail

Normes internes

Autres dispositions légales

SSTIC’09 – Marie Barel, Orange Consulting 11

Contrat de travail

L’obligation de loyauté : art. 1135 C. civil / art. 1222-1 C. Travail

– Contenu général : ne pas nuire à la réputation et au bon fonctionnement de l’organisme employeur

– Comprend aussi :› Le devoir de réserve : discrétion applicable

aux informations dont le salarié a connaissance de par ses fonctions

› L’utilisation non autorisée de la propriété de l’employeur dans des buts privés notamment

– Sanction : licenciement légitimé par la perte de confiance

SSTIC’09 – Marie Barel, Orange Consulting 12

Politiques et normes internes (1)

Politique de classification et de gestion de l’information : facteurs clés de succès

– Axiomes : simplicité, réalisme

– Dimension humaine et organisationnelle prépondérante

– Outillage : chiffrement, techniques de « data loss prevention », labellisation électronique, …

SSTIC’09 – Marie Barel, Orange Consulting

La protection de l’information : enjeux, gouvernance et bonnes pratiques – Publications Cigref 2008 :

http://cigref.typepad.fr/cigref_publications/2008/10/2008---protection.html

13

Politiques et normes internes (2)

Charte « Utilisateurs »

– Vecteur le plus fréquent pour l’éducation des comportements

– Un mode de déploiement privilégié : l’insertion au RI

– Facteurs d’appropriation : une campagne de sensibilisation adaptée– Des messages ciblés– Se concentrer moins sur les règles (liste

d’interdits) que sur la compréhension de ces règles : expliquer

SSTIC’09 – Marie Barel, Orange Consulting 14

Politiques et normes internes (3)

Politique de gestion des tiers et contractualisation :

– Engagement de confidentialité (NDA)– Respect des règles et procédures de sécurité

définies par l’Entreprise › Règles spécifiques d’accès et d’habilitation au SI

– Clauses de qualité : niveau de services (SLA), engagement sur la documentation, organisation d’un transfert de compétences, …

– Exigences de transparence et de reporting : suivi de la prestation réalisée par le tiers, clauses d’audit, …

SSTIC’09 – Marie Barel, Orange Consulting 15

Sanction du détournement d’informations

Applicabilité du parasitisme et de la concurrence déloyale même en l’absence de droit privatif

Poursuites pour abus de confiance (art. 314-1 C. Pénal)

Ex. affaire Valeo (2005>2007) ; Crim. 14 novembre 2000 Applicabilité du recel : une brèche dans l’alinéa 2

de l’art. 321-1 du code pénal ?

› Vise le fait de bénéficier, par tout moyen, du « produit » d’un crime ou d’un délit

› Des décisions divergentes : - Affaire Calvet, Crim. 3 avril 1995 : recel d’informations (non)- TGI Paris, 1er juin 2007 : recel de fichiers informatiques

(oui)SSTIC’09 – Marie Barel, Orange Consulting 16

Responsabilisation

Conclusion La politique de protection de l’information a besoin de tous pour s’appliquer ; il faut replacer le facteur humain au cœur des politiques de sécurité des Systèmes d’Information.

On ne peut pas faire l’économie de campagnes d’information et de sensibilisation auprès des différents acteurs. La maîtrise de l’information passe par la connaissance des règles.

La confiance n’exclut pas le contrôle.

SSTIC’09 – Marie Barel, Orange Consulting 17

Communication

Contrôle

Merci pour votre attention