Upload
internet
View
107
Download
1
Embed Size (px)
Citation preview
Le vol d’informations n’existe pasQuelle protection pour l’information ?
Marie Barel – Orange Consulting
SSTIC’09 – Marie Barel, Orange Consulting
Non, le droit ne reconnaît pas le vol d’informations
Une idée reçue … en conflit avec la réalité économique
2
Le vol : article 311-1 du Code pénal
Position unanime de la doctrine classique (J. Devèze, J. Pradel, J. Huet, …)
Principaux obstacles : dans la rédaction et l’esprit du code pénal, les faits de vol nécessitent …
– la « soustraction » frauduleuse : une vision matérielle
› Arrêt Beaudet (1937) > il faut « prendre, enlever, ravir »› Nécessité d’un support : CA Grenoble, 4 mai 2000 › Critère du déplacement de la chose volée (// UK, Theft Act
1916: « takes and carries »)
– de la « chose » d’autrui : l’information, un objet susceptible d’appropriation ?
› Droit comparé (UK, Suisse, Finlande, Espagne, Inde, …) : chose matérielle, biens mobiliers et corporels
› De l’immatérialité de l’information : // création prétorienne du vol d’électricité (Crim., 3.8.1912 > art. 311-2 CP) ; Crim., 2 septembre 2008
3SSTIC’09 – Marie Barel, Orange Consulting
Jurisprudence : de l’audace mais pas de consécration De l’appropriation (corpus) à la dépossession (animus) : l’usurpation ou la soustraction juridique de la chose
– Précédents : affaires Logabax (1979) et Antoniolli (1989) – Attendu de principe : « attendu que la détention matérielle d’une
chose, non accompagnée de la remise de la possession, n’est pas exclusive de l’appréhension qui constitue l’un des éléments constitutifs du vol. »
Dissociation du support et de son « contenu informationnel » : premier pas vers une reconnaissance du vol d’informations ?
– Arrêt de référence : affaire Bourquin - Crim., 12 janvier 1989 ; voir aussi, CA Limoges, 8.9.1998
SSTIC’09 – Marie Barel, Orange Consulting 4
Bilan du droit positif et perspectives
Les juges conduits à une « extension considérable » des textes dans le souci de ne pas laisser impunies des infractions qui sont en pleine expansion
– Une adaptation des éléments traditionnels du vol contraire au principe de légalité : nécessité d’une intervention législative
Si le droit ne protège pas contre l’appréhension (vol) de l’information, il permet généralement de protéger celle-ci contre sa divulgation ou son détournement
SSTIC’09 – Marie Barel, Orange Consulting 5
Et pourtant, une réalité économique !
Besoin de se prémunir … Intelligence économique « défensive » et protection des intérêts
fondamentaux de la Nation (FIC 2009) : secrets industriels ou militaires, ICS*, …
(*) Informations commercialement sensibles
SSTIC’09 – Marie Barel, Orange Consulting 6
Piratage informatique et « marché noir » des informations à caractère personnel (CB, n°SS, …)
Menace externe ou étrangère
Des moyens de réponse spécifiques
Face à cette menace, si le droit français ne protège pas tant contre l’appréhension de l’information (sous réserve des articles 323-1 et suivants du Code Pénal), elle la protège plus efficacement contre sa divulgation :
Livraison d’informations à une puissance étrangère (art. 411-6 à 411-8 du Code pénal) : vise les « données informatisées ou fichiers »
Protection par le secret :
– secret de la défense nationale (art. 413-9 à 413-12 C.Pén. ; IGI n° 1300 et 900)
– secret professionnel (articles 226-13 et 226-14 du Code pénal)
– secrets de fabrique et espionnage industriel : cas Dassault Aviation (2002)
Protection des informations dans le cadre de procédures administratives ou judiciaires (type E-discovery) : loi n°68-678 du 26 juillet 1968
7
Guide des bonnes pratiques en matière d’intelligence économique - Publié en février 2009 par le SCIE :
http://www.ie.bercy.gouv.fr/
1 chiffreAutre constat : la menace interne
59% des employés américains ayant quitté leur société en 2008 admettent dérober des données confidentielles appartenant à l’entreprise qu’ils quittent
Source : enquête conjointe menée par le Ponemon Institue et Symantec (février 2009) – https://www4.symantec.com/Vrt/offer?a_id=78695
SSTIC’09 – Marie Barel, Orange Consulting
« Barbie hacker » by Mattel
8
Faux sentiment
de propriété
Méconnaissance des obligations
nées du contrat de travail ou de prestation de
service
Contrôle de l’application des
règles d’utilisation du SI
Déficit de sensibilisation ou complexité de la
politique de protection et de classification de
l’information
« Vol d’informations
»par un
Utilisateur(insiders/ex-employees)
Menace interne : pistes d’explication possible
Quelle est la portée et le contenu de
l’obligation de loyauté ? Quelles sont les clauses importantes des
contrats d’externalisation
? …
Comment la Charte peut-elle protéger
l’entreprise ? Quelles sont les dispositions à prévoir ? …
SSTIC’09 – Marie Barel, Orange Consulting
Principes d’efficacité
issus de Retex ? Quel
périmètre pour la politique de protection de l’information ?
…
Quel est le statut juridique de l’information ? Toutes les informations présentes sur le
SI sont-elles protégées ? Quels sont les titulaires des droits qui s’appliquent ? …
9
Statut juridique de l’information
Propositions diverses pour la reconnaissance des « biens informationnels » : Zenati, Catala, Bourgeois et d’autres
D’une propriété auto proclamée à une propriété énoncée par le droit ou la jurisprudence
– Rappel des principes de propriété intellectuelle : › brevets, marques, D&M (déposant)› bases de données (investisseur)› logiciels (employeur)› productions intellectuelles (auteur)
– Le produit de l’activité du salarié, propriété de l’employeur : CA Grenoble, 15 février 1995
Difficulté d’un statut global des informations, qui possèdent des formes et des contenus hétérogènes
SSTIC’09 – Marie Barel, Orange Consulting 10
1
2
3
Voies de protection de l’information
Contrat de travail
Normes internes
Autres dispositions légales
SSTIC’09 – Marie Barel, Orange Consulting 11
Contrat de travail
L’obligation de loyauté : art. 1135 C. civil / art. 1222-1 C. Travail
– Contenu général : ne pas nuire à la réputation et au bon fonctionnement de l’organisme employeur
– Comprend aussi :› Le devoir de réserve : discrétion applicable
aux informations dont le salarié a connaissance de par ses fonctions
› L’utilisation non autorisée de la propriété de l’employeur dans des buts privés notamment
– Sanction : licenciement légitimé par la perte de confiance
SSTIC’09 – Marie Barel, Orange Consulting 12
Politiques et normes internes (1)
Politique de classification et de gestion de l’information : facteurs clés de succès
– Axiomes : simplicité, réalisme
– Dimension humaine et organisationnelle prépondérante
– Outillage : chiffrement, techniques de « data loss prevention », labellisation électronique, …
SSTIC’09 – Marie Barel, Orange Consulting
La protection de l’information : enjeux, gouvernance et bonnes pratiques – Publications Cigref 2008 :
http://cigref.typepad.fr/cigref_publications/2008/10/2008---protection.html
13
Politiques et normes internes (2)
Charte « Utilisateurs »
– Vecteur le plus fréquent pour l’éducation des comportements
– Un mode de déploiement privilégié : l’insertion au RI
– Facteurs d’appropriation : une campagne de sensibilisation adaptée– Des messages ciblés– Se concentrer moins sur les règles (liste
d’interdits) que sur la compréhension de ces règles : expliquer
SSTIC’09 – Marie Barel, Orange Consulting 14
Politiques et normes internes (3)
Politique de gestion des tiers et contractualisation :
– Engagement de confidentialité (NDA)– Respect des règles et procédures de sécurité
définies par l’Entreprise › Règles spécifiques d’accès et d’habilitation au SI
– Clauses de qualité : niveau de services (SLA), engagement sur la documentation, organisation d’un transfert de compétences, …
– Exigences de transparence et de reporting : suivi de la prestation réalisée par le tiers, clauses d’audit, …
SSTIC’09 – Marie Barel, Orange Consulting 15
Sanction du détournement d’informations
Applicabilité du parasitisme et de la concurrence déloyale même en l’absence de droit privatif
Poursuites pour abus de confiance (art. 314-1 C. Pénal)
Ex. affaire Valeo (2005>2007) ; Crim. 14 novembre 2000 Applicabilité du recel : une brèche dans l’alinéa 2
de l’art. 321-1 du code pénal ?
› Vise le fait de bénéficier, par tout moyen, du « produit » d’un crime ou d’un délit
› Des décisions divergentes : - Affaire Calvet, Crim. 3 avril 1995 : recel d’informations (non)- TGI Paris, 1er juin 2007 : recel de fichiers informatiques
(oui)SSTIC’09 – Marie Barel, Orange Consulting 16
Responsabilisation
Conclusion La politique de protection de l’information a besoin de tous pour s’appliquer ; il faut replacer le facteur humain au cœur des politiques de sécurité des Systèmes d’Information.
On ne peut pas faire l’économie de campagnes d’information et de sensibilisation auprès des différents acteurs. La maîtrise de l’information passe par la connaissance des règles.
La confiance n’exclut pas le contrôle.
SSTIC’09 – Marie Barel, Orange Consulting 17
Communication
Contrôle
Merci pour votre attention