Вы находитесь на странице: 1из 51

Photographie Sabine Marcellin

Obligations en matire de Scurit


des Systmes dInformation
Avec la contribution de
Obligations en matire de scurit des systmes dinformation

Quelles sont les obligations qui contraignent les entreprises scuriser leurs
systmes dinformation ?

Face une matire juridique vaste et volutive, les entreprises doivent sinformer en
permanence. Le Forum des Comptences a souhait laborer un document de
synthse pour leur permettre de connatre plus aisment les diffrents textes
lgislatifs et rglementaires applicables aux systmes dinformation.

Le Forum des Comptences est une association dtablissements financiers qui


changent dans le domaine de la scurit des systmes dinformation (OSSI). Ce
groupe de rflexion et de recherche runit des banques, socits dassurance et
rgulateurs franais.

Le Forum des Comptences a confi un groupe de travail le soin de proposer des


lments de rponse, pour faciliter les recherches des entreprises. Le groupe,
associant juristes et spcialistes de la SSI de grands tablissements de la Place,
assist par le cabinet davocat Caprioli & Associs, a construit une synthse des
textes juridiques franais, imposant aux tablissements bancaires, mais plus
gnralement toute entreprise, diffrentes obligations de scurisation de leur
systme dinformation.
Ce document est conu pour apporter un clairage aux professionnels de la scurit
de linformation et aux juristes qui participent aux processus de gestion du risque
dans les entreprises. Il ne pourra cependant se substituer lavis des professionnels
du droit.

La prsente publication est constitue la fois de fiches prsentant les textes


majeurs (fiches A H) et les grands thmes de la SSI susceptibles dengendrer des
obligations en matire de SSI (fiches 1 5).

A Obligation de scurit issue de la loi Informatique et Liberts


B Obligations de scurit issues du Code montaire et financier
C Rglement n97-02
D Obligations de scurit issues du Rglement gnrale de lAutorit des
marchs financier
E Standard PCI-DSS
F Cryptographie
G Notification des violations de donnes caractre personnel
H Cloud computing
1 Externalisation
2 Gestion du risque des systmes dinformation (analyse des risques)
3 Contrle permanent de lexistant SI
4 HADOPI
5 Pratique des contrats

Liste des membres du groupe de travail

Xavier BOIDART Crdit Agricole SA


Franois COUPEZ Cabinet davocats Caprioli & Associs
Wilfrid GHIDALIA Forum des Comptences
Damien JULLEMIER LCL
Xavier LEMARTELEUR Socit Gnrale
Sabine MARCELLIN Crdit Agricole Corporate & Investment Bank

Forum des Comptences 2011

Proprit intellectuelle du Forum des Comptences

Tous droits de reproduction, dadaptation et de traduction rservs.

Dpt lgal chez LOGITAS juin 2011


Obligations en matire de scurit des systmes dinformation

Fiche n 1
A jour au 4-12-2010
Thme : Cloud computing

Principaux textes qui peuvent trouver


Problmatique et dfinitions
sappliquer (droit franais)

Dans leur recherche de solutions de Loi Informatique et Liberts, art. 34


mutualisation, voire dexternalisation de tout ou Le responsable du traitement est tenu de
partie de leurs infrastructures et services prendre toutes prcautions utiles, au regard de
informatiques, les entreprises se voient proposer la nature des donnes et des risques
depuis quelques annes des solutions dites de prsents par le traitement, pour prserver la
cloud computing . scurit des donnes et, notamment,
empcher qu'elles soient dformes,
Le cloud computing peut revtir nombre de
endommages, ou que des tiers non autoriss
ralits diffrentes car il consiste en une
y aient accs.[]
interconnexion et une coopration de ressources
informatiques, situes au sein dune mme entit
ou dans diverses structures internes [cloud Loi informatique et Liberts, art. 3 I.
interne], externes [cloud externe], ou mixtes. Et Le responsable d'un traitement de donnes
dont les modes daccs sont bass sur les caractre personnel est, sauf dsignation
protocoles et standards Internet (dfinition expresse par les dispositions lgislatives ou
donne par Syntec). Le cloud computing permet rglementaires relatives ce traitement, la
ladaptation des ressources la demande de personne, l'autorit publique, le service ou
lentreprise (Infrastructure, Platform ou Software l'organisme qui dtermine ses finalits et ses
as a Service - IaaS, PaaS ou SaaS). Les moyens.
utilisateurs peuvent ainsi accder de manire
volutive de nombreux services en ligne, en Rglement 97-02 modifi relatif au contrle
fonction de leurs besoins. Dans le cadre de cette interne des tablissements de crdit et des
fiche ne sera abord que le cas des clouds entreprises dinvestissement, art. 37-2
externes, considrs ici comme plus rvlateurs Chapitre II Conditions applicables en matire
des problmatiques juridiques existantes. dexternalisation
Les entreprises assujetties qui externalisent
En effet, dans le cas de solutions externes, les [], demeurent pleinement responsables du
entreprises clientes ne sont propritaires que des respect de toutes les obligations qui leur
donnes qui y sont hberges et non plus des incombent [].
applications ou de larchitecture indispensable
leur utilisation ou leur hbergement, quelles ne Loi informatique et Liberts, art. 35 al. 3
font que louer en fonction de leur usage. et 4
Le sous-traitant doit prsenter des garanties
Cette sous-traitance ncessite toutefois une suffisantes pour assurer la mise en uvre des
vigilance accrue plusieurs gards. mesures de scurit et de confidentialit
Les donnes envoyes dans le nuage mentionnes l'article 34. Cette exigence ne
relevant pour certaines de donnes caractre dcharge pas le responsable du traitement de
personnel, lentreprise responsable du traitement son obligation de veiller au respect de ces
qui utilise de telles solutions doit sassurer que mesures.
ses donnes bnficient dune garantie de Le contrat liant le sous-traitant au responsable
confidentialit et dune protection suffisante en du traitement comporte l'indication des
matire de scurit et de confidentialit (Cf. fiche obligations incombant au sous-traitant en
n XX : Obligation de scurit issue de la loi matire de protection de la scurit et de la
Informatique et Liberts ). confidentialit des donnes et prvoit que le
sous-traitant ne peut agir que sur instruction du
Par ailleurs, bien que les donnes appartiennent responsable du traitement.
une personne morale domicilie en France, tout
transfert de donnes caractre personnel dans Loi informatique et liberts, art. 68
un pays autre que les pays de lUnion europenne Le responsable d'un traitement ne peut
est rglement. Si la protection des donnes nest transfrer des donnes caractre personnel
pas suffisamment assure par le pays vers un tat n'appartenant pas la
importateur, le transfert nest pas possible, sauf Communaut europenne que si cet tat
ce que le responsable du traitement obtienne du assure un niveau de protection suffisant de la
Obligations en matire de scurit des systmes dinformation

sous-traitant importateur des garanties suffisantes vie prive et des liberts et droits
de scurit. Il faut donc veiller cette conformit fondamentaux des personnes l'gard du
lgale ainsi qu lencadrement de toute traitement dont ces donnes font l'objet ou
ventuelle sous-traitance par le prestataire dj peuvent faire l'objet.
lui-mme sous-traitant. Le caractre suffisant du niveau de protection
assur par un tat s'apprcie en fonction
La disponibilit des donnes est lautre lment notamment des dispositions en vigueur dans
dterminant du cloud computing, imposant de se cet tat, des mesures de scurit qui y sont
proccuper de la disponibilit aux personnes appliques, des caractristiques propres du
autorises par lentreprise, en fonction des traitement, telles que ses fins et sa dure, ainsi
niveaux de scurit, mais galement des que de la nature, de l'origine et de la
conditions de la rversibilit. destination des donnes traites.
Or, un certain nombre de solutions de cloud
computing sont encore proposes sous forme de
contrat dadhsion ne permettant parfois pas
dobtenir toute la visibilit ncessaire, que ce soit
en terme dengagements pris ou de prcisions sur
les lieux exacts de stockage.

Nous renvoyons par ailleurs le lecteur intress


par ces problmatiques aux travaux plus
spcifiques raliss par le Groupe de travail
Cloud computing du Forum des Comptences.

Explications

Le cloud computing doit garantir une continuit daccs et une scurisation adquate des donnes
et externalises par les seules personnes habilites par le client pendant toute la dure du contrat de
prestation.
Les donnes externalises doivent tre conserves en assurant leur intgrit et selon leurs niveaux
de scurit et leurs spcificits (art. 34 de la loi Informatique et Liberts pour les donnes
caractre personnel et/ou rglement n97-02 modifi pour le secteur bancaire par exemple).

En tout tat de cause, cest le responsable de traitement qui reste responsable de la scurit des
et donnes ainsi que plus gnralement du respect de la loi de 1978, quil ait fait le choix de recourir
solution de cloud computing ou quil ait laiss un de ses sous-traitants y recourir pour le
une
traitement de ses donnes.

Lhbergement des donnes peut tre effectu hors de France et doit alors rpondre aux rgles de
flux transfrontaliers des donnes ainsi qu la loi du pays dhbergement.
En pratique, en encadrement contractuel strict de ces obligations doit tre assur, suivi de la mise
en uvre effective daudits rguliers et impliquant la correction des points dinsatisfaction relevs.

Analyse
(mesures pratiques, nature des risques)

Mesures pratiques :

Dfinition dun primtre prcis de donnes confier au prestataire ;


Rdaction dune convention de niveaux de services et de pnalits affrentes ;
Mise en place de mesures permettant le traage des donnes ;
Mise en place de procdures dautorisations, dhabilitations et de contrle daccs pour le
personnel concern ;
Encadrement strict des pays ou des zones gographiques dans lesquels les donnes
seront traites
Clause contractuelle prcise relative aux conditions de rversibilit prvoyant toutes les
Obligations en matire de scurit des systmes dinformation

modalits pratiques de fonctionnement du systme dinformation pendant la dure de la


phase de rversibilit ;
Clause contractuelle prvoyant des pnalits en cas de non-respect de ses obligations par
le prestataire ;
Clause contractuelle spcifique scurit des donnes et confidentialit des donnes
pouvant prvoir par exemple de faon contractuelle la notification obligatoire par le
prestataire au client de toute faille de scurit (lobligation lgale nexistant pas pour le
moment en droit franais) ;
Clause contractuelle spcifique audit SSI afin de permettre de vrifier, en pratique, la
scurit assure et le respect de la loi de 1978 ;
Utilisation de solution danonymisation irrversible des donnes caractre personnel
chaque fois que cela est possible ;
Suivi du contrat dans sa dure, avec exercice effectif et rgulier des audits et contrles
prvus ;
Contact avec les assureurs afin de modifier le cadre ou montant des polices souscrites, en
fonction des prestations opres dornavant dans le cloud.

Nature des risques :

Blocage du traitement de donnes, avec toutes les consquences imaginables sur le


systme et sur les donnes ainsi que les pertes financires affrentes, sans que le client
puisse faire quelque chose pour rtablir la situation ;
Perte de donnes ;
Dissmination / rutilisation / perte de confidentialit / altration de ces donnes ;
Publication de la dcision de la CNIL / risque dimage ;
Amende administrative par la CNIL (150 000 damende, 300 000 en cas de rcidive) ;
Poursuite pnale du responsable de traitement (qui nest pas le CIL, mais pas forcment le
chef dentreprise non plus, ventuellement le RSSI mais plus souvent le responsable
mtier) avec une peine maximale de 5 ans de prison et de 300 000 damende pour les
particuliers, 1 500 000 damende pour les entreprises ;
Poursuite civile sur le fondement de la responsabilit contractuelle ou de la responsabilit
dlictuelle ; en particulier si le prestataire ne respecte pas le droit applicable au pays
hbergeant les donnes ou encore si les mesures de scurit des donnes caractre
personnel, contractuellement prvues, ne sont pas conformes aux exigences poses par
lUnion Europenne (et risque de perte de clientle) ;
Intelligence conomique (accs par un autre pays aux donnes) ;
Risque inconnu li au droit local applicable (impossible limiter sans le connatre
pralablement. Ex : cadre exact dune obligation locale de notification des failles de
scurit).

Approche prospective

Le cloud computing prend souvent la forme dun contrat de sous-traitance la demande qui peut
conduire un stockage des donnes hors de lUnion europenne. Il faut donc privilgier les
prestataires proposant des solutions restant strictement dans le cadre de lUnion Europenne (pas de
cloud mondial) et, dfaut, sassurer que le prestataire garantisse contractuellement, et quoiquil
arrive, le suivi de mesures de protection au moins quivalentes celles en vigueur au sein dans
lUnion Europenne.

Lusage de solution danonymisation irrversible est prconiser chaque fois que cela est possible
afin de transformer les donnes caractre personnel en donnes non identifiantes et qui ne
donnent, ds lors, plus lieu application des lgislations ad hoc.

Lors de ngociations avec un sous-traitant, la question essentielle de la scurit et des garanties


apportes par le sous-traitant est envisager ds le dbut du processus de contractualisation.
Presque tous les risques pesant sur le responsable des traitements, il est dans lintrt de lentreprise
de veiller ce que les agissements du sous-traitant nengagent pas la responsabilit du responsable
des traitements qui se retournera ensuite contre lentreprise. Il faut galement envisager lhypothse
dune ventuelle sous-traitance par le sous-traitant.
Un bon encadrement du contrat avec le sous-traitant savre donc absolument ncessaire.
Obligations en matire de scurit des systmes dinformation

cet gard, il peut tre dcid par le responsable de traitement (client) que la gestion des donnes
les plus sensibles restera en interne ou que le cloud computing sera limit en tendue (cloud interne
lentreprise, cloud interne au prestataire, cloud limit des ressources localises gographiquement,
etc.). Cest pourquoi lentreprise qui envisage dexternaliser ses donnes doit valuer au pralable les
diffrents niveaux de scurit de ses donnes.

Les conditions de rversibilit sont galement essentielles, car elles vitent au client dtre
techniquement dpendant de son prestataire et assurent la continuit du service sans remise en
cause des niveaux de services attendus. Elles doivent donc tre trs prcises.

De plus, et pour garantir le respect par le prestataire de la convention de niveaux de service qui dfinit
la qualit et les performances du cloud computing, une clause de pnalit prvoyant un montant lev
est envisager.

La pertinence et lexhaustivit des garanties contractuelles apportes par le prestataire doivent tre un
critre de choix au moins aussi important que le cot propos pour laccomplissement de la prestation,
compte tenu des risques encourus en cas de traitement de donnes caractre personnel.

Dautant plus que dimportants travaux lgislatifs sont en cours en France concernant la loi de 1978 et
notamment lobligation de scurit issue de lart. 34 : ces travaux, une fois achevs, pourront donc
conduire une mise jour de la prsente fiche. Ils risquent en effet dimposer une stricte obligation de
notification des incidents de scurit concernant les donnes traites par le responsable de
traitement, obligation qui simposera galement si un tiers a eu accs aux donnes alors quelles
taient dans le nuage (v. fiche. Obligation de notification des incidents de scurit ).

Fiches consulter en liaison avec cette thmatique

Fiche n C : Rglement n97-02


Fiche n A : Obligation de scurit issue de la loi Informatique & Liberts
Fiche n 2 : Externalisation
Fiche n H : Notification des violations des donnes caractre personnel
Fiche n 3 : Gestion du risque des systmes dinformation
Fiche n 4 : Contrle permanent de lexistant SI
Obligations en matire de scurit des systmes dinformation

Fiche n 2
A jour au 4-12-2010
Thme : Externalisation

Problmatique et dfinitions Principaux textes applicables (droit franais)

Lexternalisation de prestations informatiques Rglement n97-02 du 21 fvrier 1997


comporte de nombreux enjeux au regard de la modifi relatif au contrle interne des
scurit des systmes dinformation notamment tablissements de crdit et des entreprises
en raison du fait que les dispositions lgales dinvestissement, Chapitre II Conditions
applicables prvoient parfois que lentreprise reste applicables en matire dexternalisation
responsable des fautes commises par son Article 37-2
prestataire. Tel est le cas du rglement n97-02 Les entreprises assujetties qui externalisent
qui consacre un chapitre lexternalisation et de [], demeurent pleinement responsables du
la loi Informatique et Liberts. respect de toutes les obligations qui leur
incombent []
En dehors de cette responsabilit du fait du sous
traitant, lexternalisation peut tre faite vers des
pays bas cot souvent situs en dehors de la Loi Informatique et Liberts n78-17 du 6
Communaut europenne. Ce choix nest pas janvier 1978 modifie
neutre dans la mesure o il comporte de larges Article 35
implications au regard de la loi Informatique et Toute personne traitant des donnes
Liberts. caractre personnel pour le compte du
responsable du traitement est considre
comme un sous-traitant au sens de la prsente
loi.
Le sous-traitant doit prsenter des garanties
suffisantes pour assurer la mise en uvre des
mesures de scurit et de confidentialit
mentionnes l'article 34. Cette exigence ne
dcharge pas le responsable du traitement de
son obligation de veiller au respect de ces
mesures.
Le contrat liant le sous-traitant au responsable
du traitement comporte l'indication des
obligations incombant au sous-traitant en
matire de protection de la scurit et de la
confidentialit des donnes et prvoit que le
sous-traitant ne peut agir que sur instruction du
responsable du traitement.

Loi Informatique et Liberts n78-17 du 6


janvier 1978 modifie, Chapitre XII Transferts
de donnes caractre personnel vers des
tats nappartenant pas la Communaut
europenne (articles 68, 69 et 70)

Explications / Principales dispositions applicables

Rglement n97-02 du 21 fvrier 1997

Article 37-2
Les entreprises assujetties qui externalisent des prestations de services ou dautres tches
oprationnelles essentielles ou importantes, au sens des q et r de larticle 4, demeurent pleinement
responsables du respect de toutes les obligations qui leur incombent et se conforment en particulier
aux conditions suivantes:
1. a) Lexternalisation nentrane aucune dlgation de la responsabilit de lorgane excutif ;
b) Les relations de lentreprise assujettie avec ses clients et ses obligations envers ceux-ci ne
Obligations en matire de scurit des systmes dinformation

doivent pas en tre modifies ;


c) Les conditions que lentreprise assujettie est tenue de remplir pour recevoir puis conserver son
agrment ne doivent pas tre altres ;
d) Aucune des autres conditions auxquelles lagrment de lentreprise assujettie a t subordonn
ne doit tre supprime ou modifie ;
e) Lentreprise assujettie, qui doit conserver lexpertise ncessaire pour contrler effectivement les
prestations ou les tches externalises et grer les risques associs lexternalisation, contrle ces
prestations ou ces tches et gre ces risques.

2. Lexternalisation dactivit doit :


a) Donner lieu un contrat crit entre le prestataire externe et lentreprise assujettie ;
b) Sinscrire dans le cadre dune politique formalise de contrle des prestataires externes dfinie
par lentreprise assujettie. Des mesures appropries doivent tre prises sil apparat que le
prestataire de services risque de ne pas sacquitter de ses tches de manire efficace ou conforme
aux obligations lgislatives ou rglementaires ;
c) Pouvoir, si ncessaire, tre interrompue sans que cela nuise la continuit ou la qualit des
prestations de services aux clients.

3. Les entreprises assujetties sassurent, dans leurs relations avec leurs prestataires externes, que
ces derniers :
a) Sengagent sur un niveau de qualit rpondant un fonctionnement normal du service et, en cas
dincident, conduisant recourir aux mcanismes de secours mentionns au point c ;
b) Assurent la protection des informations confidentielles ayant trait lentreprise assujettie et ses
clients ;
c) Mettent en uvre des mcanismes de secours en cas de difficult grave affectant la continuit
du service ou que leur propre plan de continuit tient compte de limpossibilit pour le prestataire
externe dassurer sa prestation ;
d) Ne peuvent imposer une modification substantielle de la prestation quils assurent sans laccord
pralable de lentreprise assujettie ;
e) Se conforment aux procdures dfinies par lentreprise assujettie concernant lorganisation et la
mise en uvre du contrle des services quils fournissent ;
f) Leur permettent, chaque fois que cela est ncessaire, laccs, le cas chant sur place, toute
information sur les services mis leur disposition, dans le respect des rglementations relatives
la communication dinformations ;
g) Les informent de tout vnement susceptible davoir un impact sensible sur leur capacit
exercer les tches externalises de manire efficace et conforme la lgislation en vigueur et aux
exigences rglementaires ;
h) Acceptent que la Commission bancaire ou toute autre autorit trangre quivalente au sens
des articles L. 632-7, L. 632-12 et L. 632-13 du Code montaire et financier susvis ait accs aux
informations sur les activits externalises ncessaires lexercice de sa mission, y compris sur
place.

4. Lorsquun prestataire de services dinvestissement a recours pour lexercice de ses activits


externalises portant sur la gestion de portefeuille fournie des clients non professionnels un
prestataire externe situ dans un tat non membre de la Communaut europenne et non partie
laccord sur lEspace conomique europen, il veille ce que les conditions suivantes soient
remplies :
- le prestataire de services est agr ou enregistr dans son pays dorigine aux fins
dexercer le service de gestion de portefeuille pour le compte de tiers et fait lobjet
dune surveillance prudentielle ;
- un accord de coopration appropri entre la Commission bancaire ou lAutorit des
marchs financiers et lautorit comptente du prestataire de services existe.

Si lune ou les deux conditions mentionnes ci-dessus ne sont pas remplies, le prestataire de
services dinvestissement ne peut externaliser le service de gestion de portefeuille en le confiant
un prestataire de services situ dans un tat non partie lEspace conomique europen quaprs
avoir notifi le contrat dexternalisation la Commission bancaire. A dfaut dobservations par la
commission dans un dlai de trois mois compter de la notification, lexternalisation envisage par
le prestataire de services dinvestissement peut tre mise en uvre.
Obligations en matire de scurit des systmes dinformation

Loi Informatique et Liberts

Article 35
Les donnes caractre personnel ne peuvent faire lobjet dune opration de traitement de la part
dun sous-traitant, dune personne agissant sous lautorit du responsable du traitement ou de celle
du sous-traitant, que sur instruction du responsable du traitement.

Toute personne traitant des donnes caractre personnel pour le compte du responsable du
traitement est considre comme un sous-traitant au sens de la prsente loi.

Le sous-traitant doit prsenter des garanties suffisantes pour assurer la mise en uvre des
mesures de scurit et de confidentialit mentionnes larticle 34. Cette exigence ne dcharge
pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement comporte lindication des obligations


incombant au sous-traitant en matire de protection de la scurit et de la confidentialit des
donnes et prvoit que le sous-traitant ne peut agir que sur instruction du responsable du
traitement.

Article 68
Le responsable dun traitement ne peut transfrer des donnes caractre personnel vers un tat
nappartenant pas la Communaut europenne que si cet tat assure un niveau de protection
suffisant de la vie prive et des liberts et droits fondamentaux des personnes lgard du
traitement dont ces donnes font lobjet ou peuvent faire lobjet.
Le caractre suffisant du niveau de protection assur par un tat sapprcie en fonction notamment
des dispositions en vigueur dans cet tat, des mesures de scurit qui y sont appliques, des
caractristiques propres du traitement, telles que ses fins et sa dure, ainsi que de la nature, de
lorigine et de la destination des donnes traites.

Article 69
Toutefois, le responsable dun traitement peut transfrer des donnes caractre personnel vers
un tat ne rpondant pas aux conditions prvues larticle 68 si la personne laquelle se
rapportent les donnes a consenti expressment leur transfert ou si le transfert est ncessaire
lune des conditions suivantes :
1 A la sauvegarde de la vie de cette personne ;
2 A la sauvegarde de lintrt public ;
3 Au respect dobligations permettant dassurer la constatation, lexercice ou la dfense dun droit
en justice ;
4 A la consultation, dans des conditions rgulires, dun registre public qui, en vertu de
dispositions lgislatives ou rglementaires, est destin linformation du public et est ouvert la
consultation de celui-ci ou de toute personne justifiant dun intrt lgitime ;
5 A lexcution dun contrat entre le responsable du traitement et lintress, ou de mesures
prcontractuelles prises la demande de celui-ci ;
6 A la conclusion ou lexcution dun contrat conclu ou conclure, dans lintrt de la personne
concerne, entre le responsable du traitement et un tiers.
Il peut galement tre fait exception linterdiction prvue larticle 68, par dcision de la
Commission nationale de linformatique et des liberts ou, sil sagit dun traitement mentionn au I
ou au II de larticle 26, par dcret en Conseil dtat pris aprs avis motiv et publi de la
commission, lorsque le traitement garantit un niveau de protection suffisant de la vie prive ainsi
que des liberts et droits fondamentaux des personnes, notamment en raison des clauses
contractuelles ou rgles internes dont il fait lobjet.

La Commission nationale de linformatique et des liberts porte la connaissance de la


Commission des Communauts europennes et des autorits de contrle des autres tats
membres de la Communaut europenne les dcisions dautorisation de transfert de donnes
caractre personnel quelle prend au titre de lalina prcdent.

Article 70
Si la Commission des Communauts europennes a constat quun tat nappartenant pas la
Communaut europenne nassure pas un niveau de protection suffisant lgard dun transfert ou
dune catgorie de transferts de donnes caractre personnel, la Commission nationale de
linformatique et des liberts, saisie dune dclaration dpose en application des articles 23 ou 24
Obligations en matire de scurit des systmes dinformation

et faisant apparatre que des donnes caractre personnel seront transfres vers cet tat,
dlivre le rcpiss avec mention de linterdiction de procder au transfert des donnes.
Lorsquelle estime quun tat nappartenant pas la Communaut europenne nassure pas un
niveau de protection suffisant lgard dun transfert ou dune catgorie de transferts de donnes,
la Commission nationale de linformatique et des liberts en informe sans dlai la Commission des
Communauts europennes. Lorsquelle est saisie dune dclaration dpose en application des
articles 23 ou 24 et faisant apparatre que des donnes caractre personnel seront transfres
vers cet tat, la Commission nationale de linformatique et des liberts dlivre le rcpiss et peut
enjoindre au responsable du traitement de suspendre le transfert des donnes. Si la Commission
des Communauts europennes constate que ltat vers lequel le transfert est envisag assure un
niveau de protection suffisant, la Commission nationale de linformatique et des liberts notifie au
responsable du traitement la cessation de la suspension du transfert. Si la Commission des
Communauts europennes constate que ltat vers lequel le transfert est envisag nassure pas
un niveau de protection suffisant, la Commission nationale de linformatique et des liberts notifie
au responsable du traitement linterdiction de procder au transfert de donnes caractre
personnel destination de cet tat.

Analyse
(mesures pratiques, nature des risques)

Lexternalisation a pour vocation de transfrer certaines activits vers un prestataire externe. Elle
permet de profiter selon les cas dun apport dexpertise par une socit tierce spcialise, dune plus
grande flexibilit et dun meilleur contrle des cots.
Les mcanismes dexternalisation peuvent impliquer ou non une dlocalisation des services (on
parlera dans ce second cas d offshoring ou de near shoring en fonction de la distance.

Activit bancaire

Les tablissements entrant dans le champ dapplication du rglement n97-02 du 21 fvrier 1997
modifi relatif au contrle interne des tablissements de crdit et des entreprises dinvestissement
devront donc mettre en place, en ce qui concerne lexternalisation de prestations essentielles :
- Des mcanismes de scurisation des systmes dinformation au sens large ;
- Un plan de continuit dactivit ;
- Llaboration de manuels de procdures.

Dans le cadre de la prestation externalise ces obligations devront, en tout ou en partie, tre mises la
charge du prestataire (notamment par le biais contractuel). Quoi quil en soit, la responsabilit en cas
de dfaillance du prestataire restera sur les paules de ltablissement bancaire.

Protection des donnes

Les obligations prvues par la loi Informatique et Liberts, et notamment son article 34 imposant une
obligation gnrale de scurisation des donnes caractre personnel traites par lentreprise,
devront tre reportes sur le prestataire. Larticle 35 de la loi Informatique et Liberts dispose
cependant que lentreprise externalisant son activit auprs dun prestataire reste pleinement
responsable des manquements de son prestataire.

Ce principe est identique celui nonc par le rglement n97- 02 du 21 fvrier 1997 :en sous-traitant
ses activits, lentreprise ne dlgue en rien sa responsabilit. En ralit, elle dlgue le traitement
dune tche mais conserve la pleine et entire responsabilit du bon accomplissement de cette tche
ralise par son sous-traitant.

Par ailleurs, lexternalisation peut intervenir auprs de prestataires situs en dehors du territoire
national. Dans ce cas particulier, il conviendra de prendre une attention particulire aux dispositions de
la loi informatique et Liberts applicables en matire de transfert des donnes caractre personnel
vers ltranger.

Le principe dict par la loi est que les transferts dun pays de lUnion europenne vers des pays situs
en dehors de l'Union europenne sont interdits. Cette interdiction peut tre leve dans certains cas :
Si le transfert a lieu vers un pays reconnu comme "adquat" par la Commission europenne.
(cas du Canada, de la Suisse, de l'Argentine, des territoires de Guernesey, de Jersey et de l'le
de Man) ou,
Obligations en matire de scurit des systmes dinformation

Si des Clauses Contractuelles Types, approuves par la Commission europenne, sont


signes entre deux entreprises ou,
Si des Rgles internes d'entreprises (BCR) sont adoptes au sein d'un groupe ou,
Si dans le cas d'un transfert vers les tats-Unis, l'entreprise destinataire a adhr au Safe
Harbor ou,
Si l'une des exceptions prvues par larticle 69 de la loi Informatique et Liberts est invoque.

Les sanctions encourues en cas de non respect des rgles en matire de transferts sont de 300 000
damende et de 5 ans demprisonnement. (Articles 226-16, 226-16 A et 226-22-1 du Code pnal).

La CNIL met la disposition des entreprises un guide relatif aux transferts internationaux de donnes
disponible ladresse suivante :
http://www.cnil.fr/fileadmin/documents/Vos_responsabilites/Transferts/GUIDE-transferts-integral.pdf

Lgislations en matire de cryptographie

Lorsque des changes entre le prestataire et lentreprise ont lieu, la mise en place de moyens
permettant dassurer la confidentialit de ces changes devra tre assure (moyens de cryptographie,
etc.). A ce titre, il est important de vrifier que les dispositions lgales rgulant la cryptographie dans le
pays de lmetteur, comme dans celui du destinataire, ne viennent pas limiter ou interdire lutilisation
de ces moyens de chiffrement.

Importance de lencadrement contractuel

Le contrat dexternalisation devra fixer les obligations de chacune des parties, encadrer principalement
lensemble des points discuts ci-dessus ou encore prvoir des clauses daudit des prestations
ralises (et notamment de leurs conditions de scurisation).

Approche prospective

N/A

Fiches en liaison avec cette thmatique

Fiche n C : Rglement 97-02


Fiche n 4 : Contrle permanent de lexistant SI
Fiche n 5 : Pratiques des contrats
Fiche n G : Cryptologie
Fiche n A : Obligation de scurit issue de la loi Informatique & Liberts
Obligations en matire de scurit des systmes dinformation

Fiche n 3
A jour au 4-12-2010
Thme : Gestion du risque des systmes dinformation
(Analyse de risques)

Problmatique et dfinitions Principaux textes applicables (droit franais)

La gestion du risque associ au systme Rglement n97-02 du 21 fvrier 1997


dinformation consiste : modifi, relatif au contrle interne des
tablissements de crdit et des entreprises
valuer les consquences dune dfaillance
dinvestissement (souvent appel le rglement
du systme dinformation
97-02 )
identifier et traiter les causes possibles de
dfaillance du systme dinformation
mettre en uvre des mesures de scurit
Loi n78-17 du 6 janvier 1978 modifie,
relative linformatique, aux fichiers et aux
pour rduire le risque un niveau acceptable
liberts (souvent appele la loi Informatique &
Liberts .

Explications

Les principaux articles

Rglement n97-02, art. 14


Les entreprises assujetties dterminent le niveau de scurit informatique jug souhaitable par
rapport aux exigences de leurs mtiers. Elles veillent au niveau de scurit retenu et ce que
leurs systmes dinformation soient adapts.()

Loi Informatique et Liberts, art. 34


Le responsable du traitement est tenu de rendre toutes prcautions utiles, au regard de la
nature des donnes et des risques prsents par le traitement, pour prserver la scurit
des donnes et, notamment, empcher quelles soient dformes, endommages, ou que des
tiers non autoriss y aient accs. ()

Lapprciation du risque

Il sagit bien danalyser le risque (la loi n78-17 parle des risques prsents par le traitement ) et
de dterminer lobjectif de scurit (le rglement n97-02 parle de dterminer le niveau de
scurit informatique jug souhaitable .)

Comment sapprcie ce risque ? En fonction des donnes concerns (la loi n78-17 prcise au
regard de la nature des donnes ) et des consquences pour lentreprise que pourrait avoir la
ralisation dun risque (le rglement n97-02 voque les exigences [des] mtiers de
lentreprise).
Obligations en matire de scurit des systmes dinformation

Les facteurs dvaluation du risque

Lanalyse de risques se fonde classiquement (depuis le Livre blanc sur la scurit des systmes
dinformation dans les tablissements de crdit labor en 1996 par la Commission bancaire avec
laide du Forum des Comptences) sur ltude de la sensibilit du systme dinformation considr
sous langle des quatre facteurs de scurit DICP : Disponibilit (D), Intgrit (I), Confidentialit (C),
Preuve et contrle (P).

La disponibilit est voque de manire indirecte par les dispositions du rglement n97-02
(articles 14 et 14-1)

Lintgrit : la loi n78-17 voque les donnes qui pourraient tre dformes, endommages .
Le rglement n97-02 voque aussi ce facteur en notant (article 14) que En toutes circonstances
sont prserves lintgrit et la confidentialit des informations . Il a dvelopp indirectement la
notion dintgrit dans larticle 13 : Les entreprises assujetties sassurent de lexhaustivit, de la
qualit et de la fiabilit des informations .

La confidentialit : la loi n78-17 voque le cas o des tiers non autoriss [auraient] accs
aux donnes. Le rglement n97-02 voque aussi ce facteur en notant (article 14) que En toutes
circonstances sont prserves lintgrit et la confidentialit des informations

La preuve : larticle 12 du rglement n97-02, prcisant que la piste daudit doit permettre de
reconstituer dans un ordre chronologique les oprations et de justifier toute information par une
pice dorigine partir de laquelle il doit tre possible de remonter par un cheminement
ininterrompu au document de synthse et rciproquement dfinit les exigences en matire de
traabilit.

Le traitement du risque : les mesures de scurit

Les mesures de scurit sont voques dans cette phrase du rglement n97-02 : Elles veillent
au niveau de scurit retenu et ce que leurs systmes dinformation soient adapts .
Ce sont les prcautions utiles quest tenu de prendre le responsable du traitement selon la loi
n78-17.
La CNIL a, dune certaine manire, prcis ce quelle entendait par prcautions utiles en
publiant le 12 octobre 2009 ses 10 conseils pour scuriser votre systme dinformation .
La CNIL a galement publi le 7 octobre 2010, l'occasion des Assises de la Scurit, le guide
La scurit des donnes personnelles abordant sous forme de fiches 17 points dattention
diffrents. Il est prcis dans ce guide quun document plus labor est en cours de prparation.

Analyse
(mesures pratiques, nature des risques)

Mesures pratiques :

Mener une analyse de risques selon la mthode en vigueur dans lentit.


Sassurer de lacceptation formelle et claire du risque rsiduel par le propritaire mtier
Sassurer de la mise en uvre effective des mesures dcides.

Risque ne pas faire danalyse de risques :

Scuriser insuffisamment, donc exposer lentreprise des risques dont loccurrence pourrait
tre lourde de consquences (dont des risques rglementaires : non respect du rglement 97-
02) ;
Ou au contraire trop scuriser ou faire de mauvais choix, ce qui revient grever indment
lactivit commerciale et engager des dpenses l o elles ne sont pas les plus utiles,
ventuellement au dtriment dinvestissements plus ncessaires.
Inciter ne pas porter plainte en cas dintrusion sur le SI non protg. En effet, lart. 226-17 du
Code pnal renvoyant lart. 34 de loi de 1978, applicable en cas de protection insuffisante de
donnes caractre personnel, prvoit une sanction de 5 ans demprisonnement et de
1 500 000 damende au maximum pour lentreprise qui ne laurait pas respect
Obligations en matire de scurit des systmes dinformation

Mais mme en cas daction en justice contre celui qui aurait attent la scurit du SI, le
dfaut de scurisation du SI de lentreprise peut conduire minimiser voire exclure la
responsabilit du responsable, y compris au plan pnal. En effet, mme si jurisprudence de la
Cour de cassation (Cass. Crim. 7 nov. 2001, Cass. Crim. 6 mai 2009) pose en principe quen
cas de dlit intentionnel envers les biens (introduction frauduleuse dans un SI, abus de
confiance, etc.), il ne peut y avoir de partage de responsabilit entre lauteur et la victime de ce
dlit qui n'aurait commis au pire que des dlits non intentionnels (ngligences, etc.), certains
tribunaux nhsitent pas dcider linverse. Voir notamment le jugement du tribunal
correctionnel de Versailles du 18 dcembre 2007 ayant diminu, malgr labus de confiance du
condamn, les dommages et intrts de la victime de 150 000 7 000 (en lespce, labus
de confiance concernait des documents lectroniques hautement confidentiels abusivement
copis par une stagiaire dans une entreprise et apparemment transmis des tiers).

Approche prospective

N/A

Fiches consulter en liaison avec cette thmatique

Fiche n C : Rglement n97-02


Fiche n A : Obligation de scurit issue de la loi Informatique et Liberts
Fiche n 4 : Contrle permanent de lexistant SI
Obligations en matire de scurit des systmes dinformation

Fiche n 4
A jour au 4-12-2010
Thme : Contrle permanent de lexistant SI

Problmatique et dfinitions Principaux textes applicables (droit franais)

Mme sil a fait lobjet dune analyse de risques Rglement n97-02 du 21 fvrier 1997
initiale en phase projet, un systme dinformation modifi, relatif au contrle interne des
voit sa scurit voluer au fil du temps, du fait tablissements de crdit et des entreprises
de diffrents phnomnes tels que : dinvestissement (souvent appel le rglement
97-02 )
Le vieillissement de certains de ses
composants techniques (quils soient
logiciels ou matriels) qui peuvent tre Code montaire et financier, article L. 533-2
frapps dobsolescence, ne plus tre
maintenus ou supports, ne plus faire
lobjet de correctifs de scurit en cas de
dcouverte de vulnrabilits ;
Le dveloppement des menaces, qui
impose de se prmunir contre des risques
jusqualors inconnus ;
Le durcissement de la rglementation, qui
impose de prendre de nouvelles
prcautions.

La scurit du systme dinformation doit donc


faire lobjet dun contrle permanent pour
sassurer dans la dure dun niveau raisonnable
de matrise des risques.

Ceci doit sinscrire dans une dmarche


damlioration continue de type PDCA : quatre
tapes, chacune entranant l'autre, visant tablir
un cercle vertueux, et dont la mise en place doit
permettre d'amliorer sans cesse la matrise du
risque SI :

1. Plan : Prparer, planifier (ce que l'on va


raliser).
2. Do : Dvelopper, raliser, mettre en uvre.
3. Check : Contrler, vrifier.
4. Act (ou Adjust): Agir, ajuster, ragir.

Explications

Les principales dispositions :


Rglement n97-02, art. 14
[] Le contrle des systmes dinformation doit notamment permettre de sassurer que :
a) Le niveau de scurit des systmes informatiques est priodiquement apprci et que, le cas
chant, les actions correctrices sont entreprises ; []
c) En toutes circonstances sont prserves lintgrit et la confidentialit des informations. []

Code montaire et financier, art. L. 533-2


Les prestataires de services d'investissement disposent de procdures administratives saines,
de mcanismes de contrle interne, de techniques efficaces d'valuation des risques et de
dispositifs efficaces de contrle et de sauvegarde de leurs systmes informatiques. []
Obligations en matire de scurit des systmes dinformation

Lapprciation rgulire des risques et de la scurit


Une apprciation rgulire (dont la priodicit sera fonction de la sensibilit du SI) de la scurit
relle du systme dinformation doit permettre de dtecter dventuelles vulnrabilits et dlaborer
un plan daction pour les liminer.

La prservation de lintgrit et de la confidentialit des informations


Ce contrle doit en particulier sassurer que les informations ne peuvent tre ni altres, ni
communiques des personnes non autorises.

Analyse
(mesures pratiques, nature des risques)

Mesure pratiques :

Les contrles vont prendre la forme :

De scans de vulnrabilits (particulirement sur les sites internet, o ils doivent tre mens
une frquence adapte au rythme dapparition des vulnrabilits) qui identifient les
composants logiciels vulnrables
De tests dintrusion applicatifs, qui tentent dexploiter les failles des applications
De tests dintrusion systmes et rseaux, qui tentent dexploiter les failles des systmes
dexploitation, des logiciels de base, des composants rseau
Daudits dinfrastructure, la fois sur le plan physique et sur le plan logique
De revues des habilitations et des droits
De revues critiques des incidents
Etc.
Tous ces contrles devront donner lieu enregistrements afin den garder la preuve (traabilit)

Le risque ne pas faire :

Outre le risque rglementaire et juridique (non respect du rglement n97-02, qui peut faire lobjet
dune sanction jusqu hauteur de 20 millions deuros et ventuellement dune publication ; non respect
du code montaire et financier, qui peut faire lobjet des sanctions prvues aux articles L. 613-21 et
L. 621-15 ; sanction administrative, voire pnale [et assortie dune publication], dune infraction la loi
Informatique & Liberts, passible dune peine demprisonnement de cinq ans et dune amende pouvant
aller, pour une personne morale, jusqu 1 500 000 ), il y a le risque dune atteinte la scurit du
systme dinformation, lintgrit ou la confidentialit des donnes, do pertes financires, atteinte
limage, etc.

Approche prospective

N/A

Fiches consulter en liaison avec cette thmatique

Fiche n C : Rglement n97-02


Fiche n A : Obligation de scurit issue de la loi Informatique & Liberts
Fiche n 3 : Gestion du risque SI (analyse de risques)
Obligations en matire de scurit des systmes dinformation

Fiche n 5
A jour au 4-12-2010
Thme : Pratique des contrats

Problmatique et dfinition Principaux textes applicables (droit franais)

Le contrat est une convention par laquelle une Code civil, livre III, et notamment les titres
ou plusieurs personnes sobligent, envers une ou suivants : titre III - Des contrats ou des
plusieurs autres, donner, faire ou ne pas obligations conventionnelles en gnral, titre
faire quelque chose. Art. 1101 du Code civil VI - De la vente, titre VIII - Du contrat de
louage douvrage et titre X - Du prt
La problmatique traite ici vise expliciter
comment la pratique des contrats peut contribuer
la scurisation des systmes dinformation.
Article 35 de loi n 78-17 du 6 janvier 1978
modifie relative linformatique et aux
liberts

Rglement n97-02 du 21 fvrier 1997


modifi relatif au contrle interne des
tablissements de crdit et des entreprises
dinvestissement.

Explications

La thorie des contrats est issue des dispositions du Code civil. Les principes majeurs sont que les
cocontractants
(personnes physiques ou morales) ont la libert de crer des droits et obligations
rciproques, dans le respect du cadre lgal et rglementaire. Les nombreuses rgles du Code civil
encadrent la formalisation des contrats, en fonction de la nature des prestations et de la qualit des
contractants. Ces rgles imposent des limites la libert de contracter, issues par exemple du droit
de la consommation, du droit social ou lies des activits rglementes.

Dans le domaine des technologies de linformation, et de la scurit des systmes dinformation en


particulier, les contrats peuvent couvrir quantit de domaines juridiques. Lapprciation juridique
des relations contractuelles sera confie des professionnels du droit qui, en collaboration avec les
responsables du projet, pourront veiller la conformit du contrat et, en collaboration avec les
responsables du projet, la scurisation du systme concern par ce contrat.

Le consentement des parties portera sur une chose (achat, location, prestation de services, etc.) et
un prix, lments ncessaires pour former un contrat. Toutes les autres conditions contribueront
la description la plus exacte des engagements de chacun, notamment en termes de scurit,
qualit, etc.

En matire de donnes caractre personnel, le responsable de traitement a lobligation, lorsquil


confie tout ou partie de ce traitement un prestataire externe (dit sous-traitant au sens de la
loi),
de respecter les conditions issues de la loi n78-17, et notamment de son article 35 :

Les donnes caractre personnel ne peuvent faire l'objet d'une opration de traitement de la
part d'un sous-traitant, d'une personne agissant sous l'autorit du responsable du traitement ou
de celle du sous-traitant, que sur instruction du responsable du traitement. Toute personne
traitant des donnes caractre personnel pour le compte du responsable du traitement est
considre comme un sous-traitant au sens de la prsente loi. Le sous-traitant doit prsenter
des garanties suffisantes pour assurer la mise en uvre des mesures de scurit et de
confidentialit mentionnes l'article 34. Cette exigence ne dcharge pas le responsable du
traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant
au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en
matire de protection de la scurit et de la confidentialit des donnes et prvoit que le sous-
traitant ne peut agir que sur instruction du responsable du traitement.
Obligations en matire de scurit des systmes dinformation

Le contrat entre le responsable et le sous-traitant doit imprativement traiter de cette problmatique


et dterminer comment les prcautions utiles, au regard de la nature des donnes et des risques
prsents par le traitement, prservent la scurit des donnes, et notamment empchent quelles
soient dformes, endommages, ou que des tiers non autoriss y aient accs.

Analyse
(mesures pratiques, nature des risques)

De manire gnrale, lobjectif du contrat est de formaliser les droits et obligations des partenaires dun
projet. Les contrats peuvent contribuer la scurisation du systme dinformation, quand leur
prparation et leur suivi sont adapts au projet concern.

Les lments constitutifs de la scurit (disponibilit, intgrit, confidentialit et preuve) peuvent


naturellement faire lobjet de dispositions contractuelles pour :

- formaliser les exigences techniques,


- dcrire les modalits de support et dassistance,
- apporter des garanties,
- prvoir des sanctions contractuelles, en cas dinexcution.

Ces lments visant encadrer et limiter les risques seront issus de lanalyse des risques pralable,
afin de permettre la mise en place de mesures adaptes au SI.

Llaboration et la ngociation dun contrat va engendrer un effort de clarification des exigences et


contraintes propres au projet :

- caractristiques des produits et services,


- limitations,
- taux de disponibilit,
- rfrences normatives, etc.

Cette tche dlaboration du contrat correspond une mission pluridisciplinaire, pour laquelle la
coopration des mtiers concerns, des juristes et du RSSI est ncessaire. La phase contractuelle
reprsente une opportunit dchanger quant aux limites du systme concern, au niveau de risque
acceptable et la continuit de lactivit.

La prparation dun contrat relatif au systme dinformation est une phase de la gestion de projet,
intgrer le plus tt possible, pour permettre aux acteurs de construire des solutions techniques et
juridiques adaptes aux exigences de scurit.

La formalisation des contrats sera prendre en compte : contrat lectronique ou sous forme papier,
valeur des changes par courrier lectronique, preuve des changes, etc.

Le contrat se prvoit, sorganise et se ngocie dans un temps dfinir, avant le lancement du projet.
Aprs sa signature, il doit tre archiv de manire scurise et rester accessible pour tre consult ou
faire lobjet dventuelles adaptations (Consulter le document Vers une politique darchivage publi
en 2009 par le Forum des Comptences).

Naturellement, le contrat intgrera des clauses gnrales adapte son contexte : droit applicable,
tribunaux comptents, responsabilit, etc.

En matire de scurit des systmes dinformation, parmi les clauses les plus sensibles, figurent celles
relatives aux aspects suivants :

Scurit
Confidentialit
Donnes caractre personnel
Continuit dactivit
Convention sur la preuve
Proprit intellectuelle
Responsabilit
Assurance
Obligations en matire de scurit des systmes dinformation

Qualit
Respect des normes
Rversibilit
Auditabilit par la socit ou une autorit de contrle
Disponibilit du SI, maintenance et dlais de correction
Respect des normes
Respect des politiques internes
Contrle
Destruction des supports dinformation
Gestion des dchets dquipements lectriques et lectroniques

Approche prospective

La rforme du droit europen relative aux contrats.

Fiches consulter en liaison avec cette thmatique

Fiche n C : Rglement n97-02


Fiche n 2 : Externalisation
Fiche n A : Obligation de scurit issue de la loi Informatique & Liberts
Fiche n 1 : Cloud Computing
Obligations en matire de scurit de linformation

Fiche n A
A jour au 4-12-2010
Thme : Obligation de scurit issue de la loi
Informatique et Liberts

Problmatique et dfinitions Principaux textes applicables (droit franais)

Compte tenu des risques prsents par un Loi Informatique et Liberts n78-17 du 6
traitement automatis de donnes caractre janvier 1978, art. 34
personnel (destruction accidentelle ou illicite, Le responsable du traitement est tenu de
perte accidentelle, altration, diffusion ou accs prendre toutes prcautions utiles, au regard de
non autoris) et de la nature de ces donnes, les la nature des donnes et des risques
responsables des traitements de ces donnes prsents par le traitement, pour prserver la
sont astreints une obligation particulire de scurit des donnes et, notamment,
scurit. empcher qu'elles soient dformes,
endommages, ou que des tiers non autoriss
Il convient de noter que le responsable de
traitement, considr comme celui qui fixe la y aient accs [].
finalit et les moyens du traitement, ne peut
dlguer sa responsabilit au titre de cette Loi informatique et Liberts n78-17 du 6
obligation un quelconque sous-traitant : il reste janvier 1978, art. 35 al. 2, 3 et 4
au contraire responsable de la scurit des Toute personne traitant des donnes
traitements assurs par ce dernier et doit veiller caractre personnel pour le compte du
ce que le sous-traitant (par exemple un responsable du
prestataire de services) prsente des garanties traitement est considre comme un sous-
suffisantes en matire de scurit. traitant au sens de la prsente loi.
Le sous-traitant doit prsenter des garanties
Dans ce but, il doit encadrer contractuellement la suffisantes pour assurer la mise en uvre des
prestation de manire stricte et doit indiquer les mesures de scurit et de confidentialit
finalits et modalits du traitement quil a lui- mentionnes l'article 34. Cette exigence ne
mme fixes en tant que responsable de dcharge pas le responsable du traitement de
traitement et quil attend que respecte son sous- son obligation de veiller au respect de ces
traitant (il donne par l ces instructions , cf. , mesures.
colonne de droite). Le contrat liant le sous-traitant au responsable
du traitement comporte l'indication des
Il doit galement veiller ce que le sous-traitant obligations incombant au sous-traitant en
ne puisse dlguer sa propre prestation sauf matire de protection de la scurit et de la
lencadrer des mmes garanties et dun contrle confidentialit des donnes et prvoit que le
strict : mme dans le cas dune sous sous- sous-traitant ne peut agir que sur instruction du
traitance , le responsable de traitement reste responsable du traitement.
pleinement responsable de la scurit des
donnes caractre personnel traites (cf. fiche
n 2 Externalisation ).
Loi informatique et liberts n78-17 du 6
janvier 1978, art. 3-I.
Dans certains cas trs particuliers (relatifs la Le responsable d'un traitement de donnes
sauvegarde de la vie humaine et aux fins de caractre personnel est, sauf dsignation
mdecine prventive), cette obligation rpond expresse par les dispositions lgislatives ou
des prescriptions techniques spcifiques, fixes rglementaires relatives ce traitement, la
par dcret, tant entendu quaucun dcret na, personne, l'autorit publique, le service ou
pour le moment, t publi ce sujet. l'organisme qui dtermine ses finalits et ses
moyens.
Le non-respect de cette obligation est pnalement
sanctionn. Code pnal, art. 226-17
Le fait de procder ou de faire procder un
traitement de donnes caractre personnel
sans mettre en uvre les mesures prescrites
l'article 34 de la loi n78-17 du 6 janvier 1978
prcite est puni de cinq ans
d'emprisonnement et de 300 000 d'amende.
Obligations en matire de scurit de linformation

Explications

Lobligation de scurit vise protger les personnes contre toute atteinte aux donnes caractre
personnel les concernant et qui seraient traites, collectes ou stockes.

Cette obligation de scurit, qui est une obligation de moyen, se traduit par la mise en place de
mesures garantissant un niveau de scurit appropri, au regard de la sensibilit des donnes, de
ltat de lart et des cots engendrs.

Certaines donnes sont par ailleurs protges par le secret professionnel (secret bancaire) et ne
peuvent donc tre communiques sauf consentement du client. La scurit quil convient dassurer
ces donnes nen est que renforce.

Analyse
(mesures pratiques, nature des risques)

Mesures pratiques :

Mise en place de moyens de scurit physiques et logiques (mots de passe, mesures de


sauvegarde, voire chiffrement notamment pour les donnes sensibles ) ;
Vrification rgulire des mesures de scurit ;
Mise en place de procdures dautorisations, dhabilitations et de contrle daccs pour le
personnel concern ;
Clause contractuelle spcifique scurit des donnes dans les contrats avec les
fournisseurs, sous-traitants et autres tiers. Cette clause doit apparatre comme tant une
obligation essentielle du contrat ;
Clauses contractuelles spcifiques audit SSI dans les contrats avec les fournisseurs,
sous-traitants et autres tiers afin de permettre de vrifier, en pratique, la scurit assure
et le respect de la loi de 1978 ;
Clauses contractuelles spcifiques assurance , pnalit et rsiliation dans les
contrats avec les fournisseurs, sous-traitants et autres tiers ;
Prvoir que chaque traitement ait bien un responsable de traitement dment identifi au
sein de la structure et que ces informations didentification soient pertinentes et jour.

La CNIL a par ailleurs publi le 12 octobre 2009 ses 10 conseils pour scuriser votre systme
dinformation ,, quelle prsente comme un ensemble de mesures que les dtenteurs de fichiers
[de donnes caractre personnel] doivent mettre en uvre , prcisant ainsi ce que la loi entend
par prcautions utiles :

1. Adopter une politique de mot de passe rigoureuse ;


2. Concevoir une procdure de cration et de suppression des comptes utilisateurs ;
3. Scuriser les postes de travail ;
4. Identifier prcisment qui peut avoir accs aux fichiers ;
5. Veiller la confidentialit des donnes vis--vis des prestataires ;
6. Scuriser le rseau local ;
7. Scuriser laccs physique aux locaux ;
8. Anticiper le risque de perte ou de divulgation des donnes ;
9. Anticiper et formaliser une politique de scurit du systme dinformation ;
10. Sensibiliser les utilisateurs aux risques informatique et liberts .

La CNIL a galement publi le 7 octobre 2010, l'occasion des Assises de la Scurit, le guide La
scurit des donnes personnelles abordant sous forme de fiches 17 points dattention diffrents. Il
est prcis dans ce guide quun document plus labor est en cours de prparation.

Nature des risques :

Blocage du traitement de donnes, avec toutes les consquences imaginables sur le


systme et sur les donnes ainsi que les pertes financires affrentes ;
Obligations en matire de scurit de linformation

Publication de la dcision de la CNIL (risque dimage) ;


Sanction pcuniaire de la CNIL (dun montant de 150 000 ou de 300 000 en cas de
rcidive) ;
Poursuite pnale du responsable de traitement (qui nest pas forcment le chef dentreprise
mais se rvle en pratique souvent tre le responsable mtier, directeur de projet) avec une
sanction maximale de 5 ans demprisonnement et de 300 000 damende pour les
particuliers, soit 1 500 000 damende pour les entreprises) ;
Poursuite civile sur le fondement de la responsabilit contractuelle (dans le cas dun
partenaire commercial par exemple qui serait co-responsable de traitement) ou de la
responsabilit dlictuelle ;

Exemples de mesures prises par la CNIL :

o Avertissement rendu public contre la socit KEOLIS RENNES en raison notamment de


manquements larticle 34 de la loi prcite (dfaut de politique de scurit, de
procdures pratiques ou de charte utilisateur, y compris aprs un premier rapport de la
CNIL du 19 dcembre 2008, etc.) - dlibration n2009-002 du 20 janvier 2009 ;
o Avertissement rendu public contre le site entreparticuliers.com, notamment pour
manquement la scurit. Le site internet prsentait une faille de scurit importante
permettant facilement, tout client, de consulter les informations de toutes les
personnes ayant dpos une annonce sur le site. Par ailleurs, la Commission a
constat, lors du contrle, que le rseau de l'entreprise n'tait pas cloisonn et qu'il tait
possible tous les salaris d'accder aux bases de donnes contenant les informations
des clients dlibration n2008-118 du 20 mai 2008 ;
o Avertissement rendu public contre la socit FREE pour manquement srieux
larticle 34 . En effet, suite une erreur de programmation informatique, FREE avait
transmis les noms et les coordonnes de 120 000 personnes figurant sur la liste rouge
des services dannuaire tlphonique dlibration n2006-208 du 21 septembre 2006 ;
o Condamnation dune socit une sanction pcuniaire de 30 000 ainsi qu la
publication de la dcision pour navoir notamment pas pris toute mesure de nature
garantir la scurit et la confidentialit des informations collectes dans l'ensemble des
traitements mis en oeuvre et plus particulirement, concernant l'accs aux fichiers du
personnel . (Dlibration n2008-470 du 27 novembre 2008 de la formation restreinte
prononant une sanction pcuniaire l'encontre de la socit ISOTHERM).

Exemples de condamnations judiciaires proches :

o Condamnation du prsident et du directeur du Syndicat interprofessionnel des mdecins


du travail du pays dAix (SIMTPA) respectivement 50 000 francs et 30 000 francs
damende pour violation de la loi de 1978 et notamment de lobligation de scurisation
des donnes ainsi que pour violation du secret mdical : le systme informatique de
lensemble des services du SIMTPA nassurait pas une protection suffisante de la
confidentialit des donnes mdicales enregistres, accessibles notamment par le
personnel administratif (Cass. Crim. 30 octobre 2001) ;
o Condamnation du directeur de la Centrale professionnelle d'information sur les impays
(CPII) une amende de 50 000 francs en raison d'une absence de prcautions dans la
collecte, l'enregistrement et la diffusion des lments de l'tat civil de personnes
(absence systmatique d'enregistrement du lieu de naissance ayant rendu possible des
homonymies) (Cass. Com. 19 dcembre 1995) ;
o Condamnation de la CAF verser en dommages-intrts le montant dun indu dont elle
rclame le remboursement mais qui relve dune erreur informatique dont elle est
e
responsable (Cass. 2 Civ. 13 mai 2003).

Par ailleurs, en pratique, le dfaut de scurisation des informations (du SI, etc.) risque
dempcher la protection juridique optimale de lentreprise qui ne pourra que partiellement
poursuivre lauteur de lintrusion : la condamnation de celui-ci pourrait tre largement
minore, notamment en terme de dommages intrts.
Obligations en matire de scurit de linformation

Approche prospective

Lors de ngociations avec un sous-traitant, la question essentielle de la scurit et des garanties


apportes par celui-ci est envisager ds le dbut du processus de contractualisation.
Considrant que les risques psent sur le responsable des traitements, il est dans lintrt de
lentreprise de veiller ce que les agissements du sous-traitant nengagent pas la responsabilit du
responsable des traitements (qui pourra toutefois se retourner ensuite contre le sous-traitant fautif).
Un encadrement strict du contrat avec le sous-traitant ainsi quun historique des rsultats des audits
rguliers effectus chez le sous-traitant sont donc ncessaires et devraient permettre de justifier que
lobligation de scurit a t respecte.

Enfin, il est important de noter que dimportants travaux lgislatifs sont actuellement en cours
concernant la loi de 1978 et notamment lobligation issue de lart. 34 (proposant notamment la
cration dune obligation de notification des incidents, cf. fiche ad hoc) : ces travaux, une fois
achevs, pourront donc conduire une mise jour de la prsente fiche.

Fiches consulter en liaison avec cette thmatique

Fiche n 2 : Externalisation
Fiche n H : Notification des violations des donnes caractre personnel
Fiche n 1 : Cloud Computing
Fiche n 3 : Gestion du risque des systmes dinformation
Fiche n 4 : Contrle permanent de lexistant SI
Obligations en matire de scurit des systmes dinformation

Fiche n B
A jour au 4-12-2010
Thme : Obligations de scurit issues du code
montaire et financier

Problmatique et dfinitions Principaux textes applicables (droit franais)

Le code montaire et financier (CMF) a t cr Code montaire et financier


par lordonnance n2000-1223 du 14 dcembre Livre V : Les prestataires de services, Titre III :
2000. Il rassemble les dispositions lgislatives et Les prestataires de services d'investissement
rglementaires relatives la monnaie et au
systme montaire franais (livre I) ; aux produits
financiers et d'pargne (livre II) ; aux services
Code montaire et financier
Livre VI : Les institutions en matire bancaire et
bancaires et financiers (livre III) ; aux marchs
financire, Titre Ier : Les institutions
(livre IV) ; aux prestataires de services bancaires
comptentes en matire de rglementation et
et d'investissement (livre V).
de contrle
Le code montaire et financier cre pour les
prestataires de service dinvestissement Code montaire et financier
lobligation de disposer de dispositifs efficaces Livre Ier : La monnaie, Titre III : Les instruments
dvaluation des risques et de contrle des de la monnaie scripturale
systmes informatiques.

Pour les tablissements de crdits, il confie au


ministre charg de lconomie la charge darrt
les rgles relatives ces dispositifs (cest lobjet
du rglement n97-02 sur le contrle interne des
tablissements de crdit).

Enfin, le CMF impose aux prestataires de services


de paiement de sassurer de la scurit des
moyens dauthentification offerts aux utilisateurs
de ces services de paiement (par exemple
lauthentification non rejouable aux sites de
banque en ligne offrant la possibilit deffectuer
des virements).

Principales dispositions applicables

Livre V : Les prestataires de services


TitreIII : Les prestataires de services d'investissement
Chapitre III : Obligations des prestataires de services d'investissement

Article L. 533-2
Les prestataires de services d'investissement disposent de procdures administratives saines, de
mcanismes de contrle interne, de techniques efficaces d'valuation des risques et de dispositifs
efficaces de contrle et de sauvegarde de leurs systmes informatiques. []

Livre VI : Les institutions en matire bancaire et financire


TitreIer : Les institutions comptentes en matire de rglementation et de contrle
Chapitre Ier : Rglementation

Article L611-1
Le ministre charg de l'conomie arrte, pour les tablissements de crdit, les rgles concernant
notamment :
[]
10. Les rgles applicables l'organisation comptable, aux mcanismes de contrle et de scurit
dans le domaine informatique ainsi que les procdures de contrle interne.
Obligations en matire de scurit des systmes dinformation

Livre Ier : La monnaie


Titre III : Les instruments de la monnaie scripturale
Chapitre III : Les rgles applicables aux autres instruments de paiement

Article L.133-15
I Le prestataire de services de paiement qui dlivre un instrument de paiement doit s'assurer que
les dispositifs de scurit personnaliss de cet instrument tels que dfinis l'article L. 133-4 ne sont
pas accessibles d'autres personnes que l'utilisateur autoris utiliser cet instrument. []

Article L133-4
Pour l'application du prsent chapitre :
a) Un dispositif de scurit personnalis s'entend de tout moyen technique affect par un prestataire
de services de paiement un utilisateur donn pour l'utilisation d'un instrument de paiement. Ce
dispositif, propre l'utilisateur de services de paiement et plac sous sa garde, vise l'authentifier ;
[]
c) Un instrument de paiement s'entend, alternativement ou cumulativement, de tout dispositif
personnalis et de l'ensemble de procdures convenu entre l'utilisateur de services de paiement et le
prestataire de services de paiement et auquel l'utilisateur de services de paiement a recours pour
donner un ordre de paiement ; []

Analyse
(mesures pratiques)

Pour les entreprises dinvestissement et les tablissements de crdits, les exigences du Livre V et du
Livre VI code montaire et financier sont dveloppes dans le rglement n97-02 du 21 fvrier 1997
modifi relatif au contrle interne des tablissements de crdit et des entreprises dinvestissement, prvu
par larticle L. 611-1 du code montaire et financier.
On se rfrera donc pour les mesures pratiques la fiche Rglement 97-02 .

Mais il ne faut pas oublier larticle L. 133-15 relatif la scurit des instruments de paiement scripturaux
qui simpose aux prestataires de services de paiement (dont les banques font partie). Sassurer que les
dispositifs de scurit personnaliss de ces instruments [] ne sont pas accessibles dautres
personnes que lutilisateur autoris utiliser cet instrument , cela impose, par exemple, tout un
service de virement en ligne de mettre en place une authentification suffisamment forte.

Analyse
(sanctions encourues)

Pour les entreprises dinvestissement et les tablissements de crdits, le non respect du rglement n97-
02 peut se traduire, de la part de lAutorit de contrle prudentiel, par une recommandation, une
injonction ou une mise en garde. En cas de manquement plus grave, les sanctions progressives sont
celles prvues larticle L. 612-39 :
1. l'avertissement ;
2. le blme ;
3. l'interdiction d'effectuer certaines oprations et toutes autres limitations dans l'exercice de
l'activit ;
4. la suspension temporaire d'un ou plusieurs dirigeants ;
5. la dmission d'office d'un ou plusieurs dirigeants ;
6. le retrait partiel d'agrment ;
7. le retrait total d'agrment ou la radiation de la liste des personnes agres, avec ou sans
nomination d'un liquidateur.

En ce qui concerne les dispositifs de scurit personnaliss des instruments de paiement, la Banque de
France, tant charge par larticle L. 141-4 du code montaire et financier de veille au bon
fonctionnement et la scurit des systmes de paiement, peut recommander son metteur de
prendre toutes mesures destines y remdier. Si ces recommandations n'ont pas t suivies d'effet,
elle peut, aprs avoir recueilli les observations de l'metteur, dcider de formuler un avis ngatif publi
au Journal officiel.
Obligations en matire de scurit des systmes dinformation

Approche prospective

N/A

Fiches en liaison avec cette thmatique

Fiche n C : Rglement n97-02


Fiche n 3 : Gestion du risque des systmes dinformation
Fiche n 4 : Contrle permanent de lexistant SI
Obligations en matire de scurit des systmes dinformation

Fiche n C
A jour au 4-12-2010
Thme : Rglement n97-02
du 21 fvrier 1997 modifi relatif au contrle interne des
tablissements de crdit et des entreprises dinvestissement

Problmatique et dfinitions Principaux textes applicables (droit franais)

Le rglement n97-02 du 21 fvrier 1997 est entr TITRE III Lorganisation comptable et du
en vigueur le 1er octobre 1997. Il dfinit, traitement de linformation
conformment aux normes internationales, de Article 12
nouvelles rgles relatives au contrle interne qui [] En ce qui concerne linformation comprise
se substituent au dispositif antrieur fond sur le dans les comptes de bilan et de rsultats
rglement n90-08 du 25 juillet 1990. publis ainsi que les informations de lannexe
issues de la comptabilit, lorganisation mise
Ce rglement a t tabli l'origine par le Comit
en place doit garantir lexistence dun
de la rglementation bancaire et financire
ensemble de procdures, appel piste daudit,
(CRBF) et a t par la suite frquemment adapt
qui permet :
et modifi.
- de reconstituer dans un ordre
Suite la loi sur la scurit financire du 17 juillet
chronologique les oprations :
2003, ce Comit a t remplac par le Comit
- de justifier toute information par une pice
consultatif de la lgislation et de la rglementation
dorigine partir de laquelle il doit tre
financire (CCLRF). Depuis cette date, le
possible de remonter par un cheminement
rglement n97-02 a t modifi par arrts du
ininterrompu au document de synthse et
ministre des finances assist par le CCLRF.
rciproquement ;
Il convient de noter que depuis son adoption en - dexpliquer lvolution des soldes dun
1997, le rglement n97-02 fait lobjet de trs arrt lautre par la conservation des
frquentes actualisations. Cette fiche se fonde sur mouvements ayant affect les postes
le texte en vigueur la date du 19 janvier 2010. comptables. []

Le rglement n97-02 sapplique au contrle Article 14


interne des tablissements de crdit et des Les entreprises assujetties dterminent le
entreprises dinvestissement. niveau de scurit informatique jug
souhaitable par rapport aux exigences de leurs
Il met en place : mtiers. Elles veillent au niveau de scurit
- Une obligation de scurisation des systmes retenu et ce que leurs systmes dinformation
dinformation au sens large ; soient adapts.
- Un plan de continuit dactivit ;
- La responsabilit de lentreprise en cas de Article 14-1
recours un prestataire ; Outre les dispositions prvues larticle 14, les
- Llaboration de manuels de procdures. entreprises assujetties doivent [] disposer de
plans de continuit de lactivit ; []

Chapitre II Conditions applicables en


matire dexternalisation
Article 37-2
Les entreprises assujetties qui externalisent
[], demeurent pleinement responsables du
respect de toutes les obligations qui leur
incombent []

TITRE VI Rle des organes excutif et


dlibrant de lentreprise assujettie et de la
Commission bancaire
Article 40
Les entreprises assujetties laborent et
tiennent jour des manuels de procdures
relatifs et adapts leurs diffrentes activits.
Obligations en matire de scurit des systmes dinformation
Principales dispositions applicables

Article 12
Les
entreprises assujetties doivent respecter les dispositions des articles 1 6 du dcret n83-
1020 du 29 novembre 1983 susvis, en tenant compte des prcisions ci-aprs.

1. En ce qui concerne linformation comprise dans les comptes de bilan et de rsultats publis
ainsi que les informations de lannexe issues de la comptabilit, lorganisation mise en place doit
garantir lexistence dun ensemble de procdures, appel piste daudit, qui permet :
- de reconstituer dans un ordre chronologique les oprations ;
- de justifier toute information par une pice dorigine partir de laquelle il doit tre possible
de remonter par un cheminement ininterrompu au document de synthse et
rciproquement ;
- dexpliquer lvolution des soldes dun arrt lautre par la conservation des
mouvements ayant affect les postes comptables.

En particulier, les soldes des comptes qui figurent dans le plan de comptes prescrit larticle 4
du dcret prcit se raccordent, par voie directe ou par regroupement, aux postes et sous-
postes du bilan et du compte de rsultat ainsi quaux informations contenues dans lannexe ; par
exception, le solde dun compte peut tre raccord par clatement, condition que lentreprise
puisse en justifier, quelle respecte les rgles de scurit et de contrle adquates et quelle
dcrive la mthode utilise dans le document prescrit larticle 1 du dcret prcit.

2. Les informations comptables qui figurent dans les situations destines la Commission
bancaire, ainsi que celles qui sont ncessaires au calcul des normes de gestion tablies en
application des articles L. 611-2, point 6, et L. 533-1 du Code montaire et financier susvis et
des normes de gestion applicables aux entreprises mentionnes aux points 3 et 4 de larticle L.
440-2 et aux points 4 et 5 de larticle L. 542-1 du Code montaire et financier, doivent respecter,
au moins, les conditions dcrites aux points a) et b) du 1. du prsent article relatif la piste
daudit.
En particulier, chaque montant figurant dans les situations, dans les tableaux annexes, dans les
dclarations relatives aux normes de gestion et dans les autres documents remis la
Commission bancaire doit tre contrlable, notamment partir du dtail des lments qui
composent ce montant.
Lorsque la Commission bancaire autorise que des informations soient fournies par une voie
statistique, elles doivent tre vrifiables sans ressortir ncessairement la piste daudit.

Article 14
Les entreprises assujetties dterminent le niveau de scurit informatique jug souhaitable par
rapport aux exigences de leurs mtiers. Elles veillent au niveau de scurit retenu et ce que
leurs systmes dinformation soient adapts. Le contrle des systmes dinformation doit
notamment permettre de sassurer que :
a) le niveau de scurit des systmes informatiques est priodiquement apprci et que, le
cas chant, les actions correctrices sont entreprises ;
b) des procdures de secours informatique sont disponibles afin dassurer la continuit de
lexploitation en cas de difficults graves dans le fonctionnement des systmes
informatiques ;
c) En toutes circonstances sont prserves lintgrit et la confidentialit des informations.
Le contrle des systmes dinformation stend la conservation des informations et la
documentation relative aux analyses, la programmation et lexcution des traitements.

Article 14-1
Outre les dispositions prvues larticle 14, les entreprises assujetties doivent [] disposer de
plans de continuit de lactivit ; []

Article 37-2
Les entreprises assujetties qui externalisent des prestations de services ou dautres tches
oprationnelles
essentielles ou importantes, [], demeurent pleinement responsables du
respect de toutes les obligations qui leur incombent []
Obligations en matire de scurit des systmes dinformation

Article 40
Les entreprises assujetties laborent et tiennent jour des manuels de procdures relatifs et
adapts leurs diffrentes activits. Ces documents doivent notamment dcrire les modalits
denregistrement, de traitement et de restitution des informations, les schmas comptables et les
procdures dengagement des oprations.
Les entreprises assujetties tablissent, dans les mmes conditions, une documentation qui
prcise les moyens destins assurer le bon fonctionnement du contrle interne, notamment
[] les procdures relatives la scurit des systmes dinformation et de communication et
aux plans de continuit de lactivit [].

Analyse
(mesures pratiques)

Afin de rpondre aux obligations institues par les articles du rglement n97-02 cits plus haut, les
tablissements doivent mettre en place les principales mesures dcrites ci-aprs. Le dispositif de
contrle interne de ces tablissements devra par ailleurs permettre de sassurer de lapplication
effective de ces mesures dans les diffrentes units, filiales et autres entreprises incluses dans leur
primtre de contrle interne.

1. Organisation SSI
Formaliser les responsabilits des acteurs intervenant dans la matrise des risques du SI.
Organiser et animer une instance de niveau Direction Gnrale pilotant la scurit du SI.

2. Analyse des risques SI


Les projets informatiques font l'objet d'une analyse de risque suivant la mthode dfinie
dans lentreprise. Les risques rsiduels sont formellement accepts par le responsable
mtier concern.
Le SI existant (notamment les applications informatiques composant le SI) fait lobjet dune
analyse de risque actualise annuellement pour tenir compte de lvolution du contexte
rglementaire et technique.

3. Habilitations informatiques
Les habilitations informatiques font lobjet de revues rgulires (au moins annuelles). Le
primtre de ces revues couvre :
o les applications informatiques bancaires,
o les fichiers informatiques moins structurs (exemple : fichiers Excel) utiliss par des
mtiers pour exercer leur activit (exemple : activits de marchs financiers).

4. Protection des informations sortant de lentreprise


Identifier les flux dinformation sortant de lentreprise, quel que soit le canal de transport
de linformation (messagerie lectronique, ordinateurs portables, assistants ou tlphones
portables, supports amovibles, fax, etc. et quel que soit le mode de sortie de lentreprise
(exemples : ordinateur portable emmen lextrieur des sites physiques de lentreprise,
courriel envoy sur Internet, donnes dune cl USB charges sur lordinateur dun prestataire
de service).
Protger ces flux dinformations par des moyens de protection proportionns la
sensibilit des informations quils transportent (exemples : chiffrement des disques durs des
ordinateurs portables, procdure en cas de perte ou de vol de donnes).

5. Traabilit et journalisation des oprations (en rfrence larticle 12)


Disposer de traces informatiques permettant de reconstituer toute opration depuis son
origine jusqu sa comptabilisation.

6. Externalisation (ou sous-traitance)


Formaliser dans tous les contrats dexternalisation (ou sous-traitance) des clauses
contractuelles portant sur la scurit du SI, notamment :
- une clause daudit,
- une clause de suite de lAutorit de contrle prudentiel,
- des clauses dfinissant des indicateurs de matrise des risques SI, et les modalits de
leur reporting.
Raliser des audits scurit (au moins un au dmarrage de la prestation, puis sur une base
annuelle). Ces audits comporteront tous (au moins au dmarrage) une valuation de
Obligations en matire de scurit des systmes dinformation
lorganisation de la scurit du SI chez le prestataire de service (ou sous-traitant). Ils
comporteront par ailleurs des tests, plus ou moins techniques (exemples : tests dintrusion,
revue dhabilitations) et plus ou moins pousss suivant, dune part, la sensibilit des
informations gres par le prestataire (ou sous-traitant), et dautre part en fonction du rsultat
de lvaluation pralable de lorganisation de la scurit du SI.

7. Plan de Continuit dActivit


Dans le cadre des plans de continuit des activits de lentreprise, et des plans de secours
informatique associs, valuer la Dure dIndisponibilit Maximale Accepte (DIMA), ainsi
que la Perte de Donnes Maximale Accepte (PDMA).
Tester annuellement les plans de continuit dactivit.

8. Maintien de la documentation du SI
La documentation du SI doit tre maintenue jour de telle sorte quelle permette de rpondre
aux obligations de larticle 40. A cet gard, cette documentation dcrit notamment :
- les modalits denregistrement des informations dans les applications informatiques,
- les traitements informatiques,
- les restitutions dinformations issues des applications et traitements informatiques.

Par ailleurs, la documentation de chaque systme ou application inclut lanalyse de risque actualise,
et les mesures de scurit et de continuit dactivit mises en uvre.

Analyse
(Sanctions encourues)

Lapplication des dispositions prvues par le rglement n97-02 est contrle par lAutorit de contrle
prudentiel qui peut dans ce contexte adresser des sanctions aux tablissements assujettis, savoir :

1. Lorsque le manquement constat est de faible importance, et concerne notamment la situation


financire, les mthodes de gestion ou ladquation de lorganisation de ltablissement
assujetti ses activits ou ses objectifs de dveloppement, lAutorit de contrle prudentiel
peut mettre une recommandation, une injonction ou une simple mise en garde invitant
ltablissement corriger les insuffisances constates.

2. Lorsque lAutorit de contrle prudentiel constate un manquement prsentant une certaine


gravit de la part dun tablissement assujetti, elle dispose dun pouvoir juridictionnel
lautorisant prendre des sanctions contre ltablissement fautif. Ces sanctions peuvent aller
de lavertissement au retrait dagrment en passant par la dmission doffice des dirigeants,
sans prjudice dune possible sanction pcuniaire pouvant aller jusquau dcuple du capital
minimum auquel est astreint ltablissement ou lentreprise et dune ventuelle publication de
la sanction prise.

Approche prospective

N/A

Fiches en liaison avec cette thmatique

Fiche n 3 : Gestion du risque SI (analyse de risques)


Fiche n 4 : Contrle permanent de lexistant SI
Fiche n 2 : Externalisation
Fiche n A : Obligation de scurit issue de la loi Informatique & Liberts
Fiche n 1 : Cloud Computing
Fiche n 5 : Pratique des contrats
Obligations en matire de scurit des systmes dinformation

Fiche n D
A jour au 4-12-2010
Thme : Obligations de scurit issues du rglement
gnral de lAutorit des marchs financiers

Problmatique et dfinitions Principaux textes applicables (droit franais)

Les entreprises offrant une prestation de teneur Rglement gnral de lAutorit des marchs
de compte conservateur sont soumises aux financiers, modifi par larrt du 20 aot 2010,
rgles du rglement gnral de lAutorit des et notamment Livre III Prestataires, Titre II,
marchs financiers relatives aux moyens et Chapitre II : Teneurs de compte conservateurs
procdures du teneur de compte conservateur en
matire informatique.

(Lactivit de tenue de compte-conservation


consiste d'une part inscrire en compte les
instruments financiers au nom de leur titulaire,
c'est--dire reconnatre au titulaire ses droits sur
lesdits instruments financiers, et d'autre part
conserver les avoirs correspondants, selon des
modalits propres chaque instrument financier)

Principales dispositions applicables

Rglement gnral de lAutorit des marchs financiers :

Article 322-12
Le teneur de compte conservateur dispose dun systme de traitement de linformation adapt
sa taille, ses spcificits et au volume des oprations quil traite. Il dispose des matriels et
des logiciels garantissant le niveau requis de performance et de scurit.

Article 322-13
Le teneur de compte conservateur dispose de la liste des droits daccs ses systmes
informatiques et en assure le suivi.
Tous les accs aux systmes informatiques du teneur de compte conservateur sont tracs ainsi
que les modifications de donnes ou de traitements en rsultant.

Article 322-14
Larchitecture gnrale du systme de traitement de linformation propre aux activits de tenue
de compte conservation est documente. La liste des matriels et logiciels utiliss est tablie et
tenue jour.

Article 322-15
Le teneur de compte conservateur contrle rgulirement la qualit des traitements
informatiques. Cette valuation se fonde sur les critres dfinis dans les contrats ou
engagements de service passs entre les utilisateurs et la production informatique. Un suivi
dindicateurs mesurant la frquence des incidents informatiques est mis au point.

Article 322-16
La scurit tant physique que logique de lensemble des systmes de traitement et dchange
dinformations est assure.
Le teneur de compte conservateur assure notamment la protection physique des centres de
traitement et procde, avec les moyens mentionns larticle 322-13, des contrles rigoureux
daccs aux systmes de traitement. Il dfinit un plan de secours, pour assurer la continuit du
service, et les procdures appropries.

Article 322-22
Toute criture est justifie :
1 Soit par un document crit,
2 Soit par des donnes informatises et non altrables.
Obligations en matire de scurit des systmes dinformation

Article 322-26
Les donnes relatives aux clients et aux oprations quils effectuent sont traites et conserves
dans le respect du secret professionnel mentionn larticle 314-1.

Analyse (mesures pratiques)

Mener une analyse de risques, pour dterminer le niveau souhait de scurit (en particulier en
matire dintgrit pour rpondre aux exigences de larticle 322-22 et de confidentialit pour rpondre
aux exigences de larticle 322-26)

tablir une politique des habilitations et mettre en uvre les mesures retenues. Dfinir et appliquer un
plan de contrle.

tablir et mettre jour la documentation du systme dinformation, y compris les dossiers scurit.

Mettre en place des indicateurs de suivi de la qualit et de la scurit de la production, ainsi quun suivi
des incidents (avec leur gravit, leur cause origine, leur plan dradication)

tablir une politique de scurit physique et une politique de continuit dactivit et mettre en uvre
les mesures retenues. Dfinir et appliquer un plan de contrle.

Fiches consulter en liaison avec cette thmatique

Fiche n C : Rglement n97-02


Fiche n 3 : Gestion du risque SI (analyse de risques)
Fiche n 4 : Contrle permanent de lexistant SI
Obligations en matire de scurit des systmes dinformation

Fiche n E
A jour au 4-12-2010
Texte : PCI-DSS

Problmatique et dfinitions Principaux textes applicables

La norme PCI DSS (Payment Card Industry Data Le document de rfrence sintitule Conditions et
Security Standard) a t dveloppe par le PCI procdures dvaluation de scurit de la norme
Security Standards Council qui runit les grands PCI DSS (Requirements and Security
rseaux metteurs de cartes (Visa, MasterCard, Assessment Procedures).
American Express, Discover, JCB) dans le but de
renforcer la scurit des donnes des titulaires de La version 2.0 a t publie le 28 octobre 2010 et
er
cartes et de faciliter l'adoption de mesures de est entre en vigueur le 1 janvier 2011.
scurit uniformes lchelle mondiale.
La version 1.2.1 de juillet 2009 peut encore tre
En effet, les compromissions de donnes se sont utilise comme rfrence de validation jusquau
multiplies au cours de la premire dcennie du 31 dcembre 2011.
sicle, supportes financirement par le
domaine metteur et il devenait donc
ncessaire de renforcer la scurit dans le
domaine acqureur (commerants et
fournisseurs de services de paiements
montiques).

Il ne sagit pas dune obligation rglementaire


stricto sensu, mais dune obligation contractuelle
incontournable compte tenu de la place prise par
les rseaux metteurs.

Explications

Champ dapplication :
Dans un premier temps, lexigence de certification PCI-DSS se focalise sur les commerants
(selon 4 niveaux dexigence, en fonction du nombre de transactions) et les fournisseurs de
services de paiement [PSP - Payment Service Providers] (selon 2 niveaux dexigence, en fonction
du nombre de transactions).

Les commerants et leurs fournisseurs de services doivent faire certifier leur conformit PCI-DSS.

ce stade, les obligations qui psent sur une banque acqureur sont donc les suivantes :
sassurer que ses commerants et ses fournisseurs de services montiques sont
conformes aux exigences PCI-DSS
dclarer le statut de PCI-DSS de ses commerants en fonction des volumes et des types
de transaction traits
mentionner le nom des fournisseurs de services montiques de ses commerants

En ce qui concerne la banque elle-mme, elle na pas dobligation de certification (pour le


moment), mais elle a bien une obligation de conformit.
Obligations en matire de scurit des systmes dinformation

Les 12 conditions de PCI-DSS


La norme PCI DSS sorganise en 12 conditions (ou clauses ou exigences) :

Cration et gestion dun rseau scuris


Condition 1 : Installer et grer une configuration de pare-feu pour protger les donnes des
titulaires de cartes
Condition 2 : Ne pas utiliser les mots de passe systme et autres paramtres de scurit par dfaut
dfinis par le fournisseur

Protection des donnes des titulaires de cartes de crdit


Condition 3 : Protger les donnes des titulaires de cartes stockes
Condition 4 : Crypter la transmission des donnes des titulaires de cartes sur les rseaux publics
ouverts

Mise jour dun programme de gestion des vulnrabilits


Condition 5 : Utiliser des logiciels antivirus et les mettre jour rgulirement
Condition 6 : Dvelopper et grer des systmes et des applications scuriss

Mise en uvre de mesures de contrle daccs strictes


Condition 7 : Restreindre l'accs aux donnes des titulaires de cartes aux seuls individus qui
doivent les connatre
Condition 8 : Affecter un ID unique chaque utilisateur dordinateur
Condition 9 : Restreindre laccs physique aux donnes des titulaires de cartes

Surveillance et test rguliers des rseaux


Condition 10 : Effectuer le suivi et surveiller tous les accs aux ressources rseau et aux donnes
des titulaires de cartes
Condition 11 : Tester rgulirement les processus et les systmes de scurit

Gestion dune politique de scurit des informations


Condition 12 : Grer une politique qui assure la scurit des informations des employs et des
sous-traitants


Les conditions qui sont vraiment spcifiques lactivit cartes sont les conditions 3 (Protger les
donnes des titulaires de cartes stockes) et 4 (Crypter la transmission des donnes des titulaires
de cartes sur les rseaux publics ouverts).

Les autres conditions font partie de ltat de lart de la matrise des risques SI, mais elles
deviennent ici exigibles.

On peut enfin rappeler que les donnes cartes constituent des donnes caractre personnel
et, comme telles, sont soumises la loi Informatiques et Liberts (cf. la fiche correspondante).

Analyse
(mesures pratiques, nature des risques)

Mesures pratiques :

Vis--vis des commerants :

les sensibiliser et les inciter se mettre en conformit avec PCI-DSS.


sassurer quils sont conformes (et si ncessaire certifis) PCI-DSS
dclarer le statut de PCI-DSS des commerants en fonction des volumes et des types de
transactions traites

Vis--vis des fournisseurs de services montiques :

sassurer quils sont certifis PCI-DSS


Obligations en matire de scurit des systmes dinformation

Nature des risques :

En cas de non respect des obligations dclaratives et/ou en cas de compromission de carte chez les
commerants clients de la banque ou chez la banque elle-mme, des pnalits financires sont
applicables la banque acqureur.

La sanction maximale est le retrait de la licence dexploitation Visa et/ou Mastercard.

Approche prospective

Il faut prparer ds maintenant la situation future o ce seront les banques elles-mmes qui seront
soumises une exigence de certification PCI-DSS, car les actions ncessaires pour atteindre le
niveau de conformit permettant dobtenir la certification PCI-DSS peuvent savrer longues et
coteuses :

procder une analyse dcart (pr-audit)


rduire le primtre montique autant que possible
liminer toute manipulation des donnes cartes qui ne serait pas ncessaire aux
processus oprationnels
masquer partiellement (selon la rgle PCI-DSS) les affichages ou impressions des
numros de carte bancaire chaque fois que possible
chiffrer les donnes stockes ou transfres

Fiches consulter en liaison avec cette thmatique

Fiche n 3 : Gestion du risque SI (analyse de risques)


Fiche n 4 : Contrle permanent de lexistant SI
Fiche n 5 : Pratique des contrats
Fiche n A : Obligation de scurit issue de la loi Informatique & Liberts
Obligations en matire de scurit des systmes dinformation

Fiche n F
A jour au 4-12-2010
Thme : HADOPI

Problmatique et dfinitions Principaux textes applicables (droit franais)

Les rcentes lois dites HADOPI (du nom de Haute Loi n2009-669 du 12 juin 2009 favorisant la
Autorit pour la diffusion des uvres et la diffusion et la protection de la cration sur
protection des droits sur internet quelle institue) internet dite Loi HADOPI 1
imposent une obligation de scuriser son accs
internet. En cas de dtection par un ayant-droit ou
ses reprsentants dun tlchargement illgal
Loi n2009-1311 du 28 octobre 2009 relative
la protection pnale de la proprit littraire
conscutivement une carence dans la
et artistique sur internet dite Loi HADOPI 2
scurisation dudit accs, la sanction peut aller
jusqu une coupure de celui-ci. Ces
dispositions sappliquent tant aux personnes Dcrets dapplication
physiques quaux personnes morales, cest-- - Dcret n2009-1773 du 29 dcembre 2009
dire aux entreprises. relatif l'organisation de la Haute Autorit
pour la diffusion des uvres et la protection
Ladoption de ces textes a t quelque peu des droits sur internet.
tumultueuse. lorigine, la loi HADOPI 1 du 12 - Dcret n2010-236 du 5 mars 2010 relatif au
juin 2009 prvoyait la possibilit pour la Haute traitement automatis de donnes
Autorit dordonner la coupure de laccs caractre personnel autoris par l'article
linternet des personnes ayant partag des L. 331-29 du code de la proprit
fichiers en contradiction avec le droit dauteur et intellectuelle dnomm Systme de gestion
layant fait de faon ritre. des mesures pour la protection des uvres
sur internet .
La possibilit pour la HADOPI dordonner une - Dcret n2010-695 du 25 juin 2010 instituant
coupure daccs ayant t censure par le une contravention de ngligence
Conseil constitutionnel dans sa dcision du 10 caractrise protgeant la proprit littraire
juin 2009, la loi HADOPI 2 du 28 octobre 2009 est et artistique sur internet.
venue rorganiser la partie rpressive du - Dcret n2010-872 du 26 juillet 2010 relatif
dispositif en confiant ce pouvoir de sanction un la procdure devant la commission de
juge unique. protection des droits de la Haute Autorit
pour la diffusion des uvres et la protection
La HADOPI est galement dote dun pouvoir de des droits sur internet.
labellisation des logiciels et procds techniques
permettant de sassurer de labsence de Code de la proprit intellectuelle :
tlchargements illicites sur le ou les postes dispositions relatives aux dlits de
informatiques de labonn. contrefaon (L. 331-2, L. 331-21, L. 331-30, L.
335-1 et suivants et L. 336-3 du CPI)

Principales dispositions applicables

Les lois HADOPI 1 et 2 modifient le code la proprit intellectuelle en y insrant des


dispositions relatives la lutte contre le tlchargement illicite et aux sanctions qui y sont
attaches. Les principales dispositions insres / modifies dans le code de la proprit
intellectuelle sont les suivantes :

Article L. 331-2
Outre les procs-verbaux des officiers ou agents de police judiciaire, la preuve de la matrialit de
toute infraction aux dispositions des livres Ier, II et III du prsent code peut rsulter des
constatations d'agents asserments dsigns selon les cas par le Centre national du cinma et de
l'image anime, par les organismes de dfense professionnelle viss l'article L. 331-1 et par les
socits mentionnes au titre II du prsent livre. Ces agents sont agrs par le ministre charg de
la culture dans les conditions prvues par un dcret en Conseil d'Etat.
Obligations en matire de scurit des systmes dinformation

Article L. 331-21
Pour l'exercice, par la commission de protection des droits, de ses attributions, la Haute Autorit
dispose d'agents publics asserments habilits par le prsident de la Haute Autorit dans des
conditions fixes par un dcret en Conseil d'Etat. Cette habilitation ne dispense pas de l'application
des dispositions dfinissant les procdures autorisant l'accs aux secrets protgs par la loi.

Les membres de la commission de protection des droits et les agents mentionns au premier alina
reoivent les saisines adresses ladite commission dans les conditions prvues l'article L. 331-
24. Ils procdent l'examen des faits.

Ils peuvent, pour les ncessits de la procdure, obtenir tous documents, quel qu'en soit le support,
y compris les donnes conserves et traites par les oprateurs de communications lectroniques
en application de l'article L. 34-1 du code des postes et des communications lectroniques et les
prestataires mentionns aux 1 et 2 du I de l'article 6 de la loi n 2004-575 du 21 juin 2004 pour la
confiance dans l'conomie numrique.

Ils peuvent galement obtenir copie des documents mentionns l'alina prcdent.

Ils peuvent, notamment, obtenir des oprateurs de communications lectroniques l'identit,


l'adresse postale, l'adresse lectronique et les coordonnes tlphoniques de l'abonn dont l'accs
des services de communication au public en ligne a t utilis des fins de reproduction, de
reprsentation, de mise disposition ou de communication au public d'uvres ou d'objets protgs
sans l'autorisation des titulaires des droits prvus aux livres Ier et II lorsqu'elle est requise.

Article L. 331-25
Lorsqu'elle est saisie de faits susceptibles de constituer un manquement l'obligation dfinie
l'article L. 336-3, la commission de protection des droits peut envoyer l'abonn, sous son timbre
et pour son compte, par la voie lectronique et par l'intermdiaire de la personne dont l'activit est
d'offrir un accs des services de communication au public en ligne ayant conclu un contrat avec
l'abonn, une recommandation lui rappelant les dispositions de l'article L. 336-3, lui enjoignant de
respecter l'obligation qu'elles dfinissent et l'avertissant des sanctions encourues en application
des articles L. 335-7 et L. 335-7-1. Cette recommandation contient galement une information de
l'abonn sur l'offre lgale de contenus culturels en ligne, sur l'existence de moyens de scurisation
permettant de prvenir les manquements l'obligation dfinie l'article L. 336-3 ainsi que sur les
dangers pour le renouvellement de la cration artistique et pour l'conomie du secteur culturel des
pratiques ne respectant pas le droit d'auteur et les droits voisins.

En cas de renouvellement, dans un dlai de six mois compter de l'envoi de la recommandation


vise au premier alina, de faits susceptibles de constituer un manquement l'obligation dfinie
l'article L. 336-3, la commission peut adresser une nouvelle recommandation comportant les
mmes informations que la prcdente par la voie lectronique dans les conditions prvues au
premier alina. Elle doit assortir cette recommandation d'une lettre remise contre signature ou de
tout autre moyen propre tablir la preuve de la date de prsentation de cette recommandation.

Les recommandations adresses sur le fondement du prsent article mentionnent la date et l'heure
auxquelles les faits susceptibles de constituer un manquement l'obligation dfinie l'article
L. 336-3 ont t constats. En revanche, elles ne divulguent pas le contenu des uvres ou objets
protgs concerns par ce manquement. Elles indiquent les coordonnes tlphoniques, postales
et lectroniques o leur destinataire peut adresser, s'il le souhaite, des observations la
commission de protection des droits et obtenir, s'il en formule la demande expresse, des prcisions
sur le contenu des uvres ou objets protgs concerns par le manquement qui lui est reproch.

Article L. 335-2
Toute dition d'crits, de composition musicale, de dessin, de peinture ou de toute autre
production, imprime ou grave en entier ou en partie, au mpris des lois et rglements relatifs la
proprit des auteurs, est une contrefaon et toute contrefaon est un dlit.

La contrefaon en France d'ouvrages publis en France ou l'tranger est punie de trois ans
d'emprisonnement et de 300 000 d'amende.

Seront punis des mmes peines le dbit, l'exportation et l'importation des ouvrages contrefaisants.
Obligations en matire de scurit des systmes dinformation

Lorsque les dlits prvus par le prsent article ont t commis en bande organise, les peines sont
portes cinq ans d'emprisonnement et 500 000 d'amende.

Article L.335-7
Lorsque l'infraction est commise au moyen d'un service de communication au public en ligne, les
personnes coupables des infractions prvues aux articles L. 335-2, L. 335-3 et L. 335-4 peuvent en
outre tre condamnes la peine complmentaire de suspension de l'accs un service de
communication au public en ligne pour une dure maximale d'un an, assortie de l'interdiction de
souscrire pendant la mme priode un autre contrat portant sur un service de mme nature auprs
de tout oprateur.

Lorsque ce service est achet selon des offres commerciales composites incluant d'autres types de
services, tels que services de tlphonie ou de tlvision, les dcisions de suspension ne
s'appliquent pas ces services.

La suspension de l'accs n'affecte pas, par elle-mme, le versement du prix de l'abonnement au


fournisseur du service. L'article L. 121-84 du code de la consommation n'est pas applicable au
cours de la priode de suspension.

Les frais d'une ventuelle rsiliation de l'abonnement au cours de la priode de suspension sont
supports par l'abonn.

Lorsque la dcision est excutoire, la peine complmentaire prvue au prsent article est porte
la connaissance de la Haute Autorit pour la diffusion des uvres et la protection des droits sur
internet, qui la notifie la personne dont l'activit est d'offrir un accs des services de
communication au public en ligne afin qu'elle mette en uvre, dans un dlai de quinze jours au
plus compter de la notification, la suspension l'gard de l'abonn concern.

Le fait, pour la personne dont l'activit est d'offrir un accs des services de communication au
public en ligne, de ne pas mettre en uvre la peine de suspension qui lui a t notifie est puni
d'une amende maximale de 5 000 .

Le 3 de l'article 777 du code de procdure pnale n'est pas applicable la peine complmentaire
prvue par le prsent article.

Article L. 335-7-1
Pour les contraventions de la cinquime classe prvues par le prsent code, lorsque le rglement
le prvoit, la peine complmentaire dfinie l'article L. 335-7 peut tre prononce selon les mmes
modalits, en cas de ngligence caractrise, l'encontre du titulaire de l'accs un service de
communication au public en ligne auquel la commission de protection des droits, en application de
l'article L. 331-25, a pralablement adress, par voie d'une lettre remise contre signature ou de tout
autre moyen propre tablir la preuve de la date de prsentation, une recommandation l'invitant
mettre en uvre un moyen de scurisation de son accs internet.

La ngligence caractrise s'apprcie sur la base des faits commis au plus tard un an aprs la
prsentation de la recommandation mentionne l'alina prcdent.

Dans ce cas, la dure maximale de la suspension est d'un mois.

Le fait pour la personne condamne la peine complmentaire prvue par le prsent article de ne
pas respecter l'interdiction de souscrire un autre contrat d'abonnement un service de
communication au public en ligne pendant la dure de la suspension est puni d'une amende d'un
montant maximal de 3 750 .
Obligations en matire de scurit des systmes dinformation

Article L. 336-3
La personne titulaire de l'accs des services de communication au public en ligne a l'obligation de
veiller ce que cet accs ne fasse pas l'objet d'une utilisation des fins de reproduction, de
reprsentation, de mise disposition ou de communication au public d'uvres ou d'objets protgs
par un droit d'auteur ou par un droit voisin sans l'autorisation des titulaires des droits prvus aux
livres Ier et II lorsqu'elle est requise.

Le manquement de la personne titulaire de l'accs l'obligation dfinie au premier alina n'a pas
pour effet d'engager la responsabilit pnale de l'intress, sous rserve des articles L. 335-7 et
L. 335-7-1.

Article R. 335-5
I.- Constitue une ngligence caractrise, punie de l'amende prvue pour les contraventions de la
cinquime classe, le fait, sans motif lgitime, pour la personne titulaire d'un accs des services de
communication au public en ligne, lorsque se trouvent runies les conditions prvues au II :
1 Soit de ne pas avoir mis en place un moyen de scurisation de cet accs ;
2 Soit d'avoir manqu de diligence dans la mise en uvre de ce moyen.

II.-Les dispositions du I ne sont applicables que lorsque se trouvent runies les deux conditions
suivantes :
1 En application de l'article L. 331-25 et dans les formes prvues par cet article, le titulaire de
l'accs s'est vu recommander par la commission de protection des droits de mettre en uvre un
moyen de scurisation de son accs permettant de prvenir le renouvellement d'une utilisation de
celui-ci des fins de reproduction, de reprsentation ou de mise disposition ou de communication
au public d'uvres ou d'objets protgs par un droit d'auteur ou par un droit voisin sans
l'autorisation des titulaires des droits prvus aux livres Ier et II lorsqu'elle est requise ;
2 Dans l'anne suivant la prsentation de cette recommandation, cet accs est nouveau utilis
aux fins mentionnes au 1 du prsent II.

III.-Les personnes coupables de la contravention dfinie au I peuvent, en outre, tre condamnes


la peine complmentaire de suspension de l'accs un service de communication au public en
ligne pour une dure maximale d'un mois, conformment aux dispositions de l'article L. 335-7-1.

Analyse
(mesures pratiques, nature des risques)

Loi HADOPI 1

I / Obligation de scurisation de laccs linternet

Larticle L. 336-3 du CPI impose au titulaire (personne physique ou morale) dun accs internet de
veiller ce que cet accs ne fasse pas lobjet dune utilisation illicite.

Le manquement cette obligation nentrane pas la responsabilit pnale du titulaire de laccs.


Par contre, toute contrefaon commise partir de cet accs internet peut engager sa responsabilit
(L. 335-7 du CPI), par exemple au titre de la complicit par fourniture de moyens ;
Surtout, le nouvel article R. 335-5 impose une obligation de scurisation du ou des postes de
e
labonn qui est, quant elle, pnalement sanctionne par une contravention de 5 classe
(1 500 damende, 7 500 pour les personnes morales comme les entreprises) et peut, de plus,
donner lieu coupure temporaire de la connexion linternet.

II / Riposte gradue

Larticle L. 331-25 du CPI met en place un systme de riposte gradue comme suit :

En cas de dtection dun tlchargement illgal : transmission lautorit administrative


HADOPI.
Transmission par la HADOPI aux fournisseurs daccs internet qui ont lobligation de
fournir les coordonnes des titulaires de labonnement (adresse postale + courriel).
Avertissement par courriel puis par LRAR en cas de rcidive constate dans les 6 mois
Obligations en matire de scurit des systmes dinformation

suivant lenvoi du courriel.


En cas de rcidive suite lenvoi de la LRAR, transmission au pouvoir judiciaire. Procdure
simplifie de lordonnance pnale (sans dbat contradictoire).
Peines prvues :
o Dlit de contrefaon : 3 ans demprisonnement et 300 000 ou 5 ans et 500 000
si la contrefaon est commise en bande organise + Peine complmentaire de
suspension daccs pour une dure maximale de 1 an, avec interdiction de
souscrire pendant la mme priode un autre contrat daccs internet auprs de
tout oprateur
o Ngligence caractrise dans lobligation de scurisation de la ligne : contravention
e
de 5 classe (jusqu' 1 500 d'amende pour les personnes physiques, 7 500
pour les personnes morales dont les entreprises) + Peine complmentaire de
suspension daccs pour une dure maximale de 1 mois, avec interdiction de
souscrire pendant la mme priode un autre contrat daccs internet auprs de
tout oprateur

Loi HADOPI 2

La loi HADOPI 2 relative la protection pnale de la proprit littraire et artistique sur internet
comporte principalement deux volets :

- Le premier autorise les agents de la HADOPI constater les infractions la protection


des uvres via internet et recueillir les observations des personnes concernes. Leurs
sont ainsi confres des prrogatives de police judiciaire, ceci afin d'allger le travail des
autorits judiciaires.

- Le second permet ensuite la justice de recourir des procdures simplifies pour


prononcer des sanctions contre les auteurs de tlchargements illicites. Les sanctions
passeront donc par le biais d'ordonnances pnales, sans audience publique donc, et
devant le tribunal correctionnel sigeant juge unique, contre trois en temps normal.

Le pouvoir judiciaire devra donc, sur la base du dossier fourni et instruit par la HADOPI, dcider de
quelle nature est l'infraction constate, et prononcer une peine en consquence.

Consquences

Mme si les textes en vigueur sont moins lourds de consquences que les textes censurs par le
Conseil Constitutionnel le 10 juin 2009 visant permettre la HADOPI de couper elle-mme les
accs internet des abonns, ils tendent nanmoins vers une augmentation du nombre de dcisions
judiciaires sanctionnant des actes contrefaisants sur internet et condamnant des coupures
daccs internet pouvant aller jusqu un an.
Il est donc permis de sinterroger sur les consquences de lapplication des lois HADOPI pour les
entreprises fournissant un accs internet leurs salaris et des services en ligne ou un accs
internet leurs clients.

I / Concernant laccs internet fourni par les entreprises leurs salaris :

Les textes ne distinguent pas selon la personnalit juridique du titulaire de laccs, celui-ci pouvant
tre tant une personne physique quune personne morale.

Dans une entreprise disposant dun rseau interne important et utilisant un seul point daccs
linternet, la scurisation totale du rseau pourrait savrer difficile, coteuse, et ne saurait tre
dnue de failles. Le risque de coupure, mme momentane, de laccs internet au sein de
lentreprise nest pas ngligeable. Par ailleurs, lorsque la connexion internet de lentreprise est la
fois utilis pour permettre laccs internet ses salaris et pour offrir des services en ligne ses
clients (services de banque distance notamment), une telle coupure, mme brve, pourrait avoir
des consquences importantes sur son activit.

Il appartiendra aux entreprises de mettre en place, pour toutes leurs connexions internet, des
logiciels leur permettant de sexonrer de leur responsabilit. Une telle obligation, dans le cas dun
rseau comportant des dizaines de milliers de postes informatiques, peut toutefois savrer trs
coteuse. Au minimum devraient tre prvu afin de limiter les risques de poursuite ventuelle :
- une charte dutilisation des outils informatiques rappelant les rgles aux salaris ;
- assortie de la mise en place de techniques de contrle et de filtrage stricts.
Obligations en matire de scurit des systmes dinformation

II / Concernant laccessibilit aux services en ligne fournis par les entreprises leur
clientle :

Alors que les entreprises sengagent de plus en plus dans loffre de services en ligne pour leur
clientle tant prive que professionnelle, laugmentation du nombre de coupure de laccs internet
risque de porter prjudice au dveloppement de ces services.

Les entreprises devront en effet grer la question du maintien de la relation avec les clients qui
utilisent de faon importante les services en ligne et cela pendant la priode (pouvant aller jusqu
un an) de suspension de laccs du client.

Il est craindre que la clientle frappe dune suspension de son accs internet soit conduite
rsilier les services en ligne optionnels souscrits pour revenir vers des services classiques avec
toutes les problmatiques conomiques quun tel transfert occasionnerait pour les entreprises.

III / Concernant laccs internet pouvant tre offert la clientle :

Les entreprises peuvent proposer un accs leur clientle dans leurs locaux, notamment dans les
aires dattente, les salles de runion ou les espaces de rception de la clientle.
Ces points daccs, gnralement offerts au travers dune connexion de type WIFI, entrent dans le
champ de la loi HADOPI, ce titre, ils devront tre scuriss comme les autres connexions
dont lentreprise est titulaire.
Cette scurisation sera particulirement difficile dans le cas de ces accs wifi qui sont par nature
ouverts (chacun peut sy connecter sans contrle daccs). Dans cette situation, la scurisation
devrait alors reposer sur une restriction des protocoles pris en charge ainsi quune limitation de
laccessibilit des sites internet (sur la base dun filtrage), voire sur une identification stricte des
utilisateurs.
Quoi quil en soit ces parades demeurent imparfaites dans la mesure o il est difficile de filtrer, au
niveau de lentreprise, lensemble des sites accessibles sur linternet (sauf mettre en place une
liste blanche) et que , par ailleurs, des moyens de contournement techniques (au travers dun proxy
notamment) restent possibles.

Approche prospective

La HADOPI compte effectivement sen prendre aux entreprises si elle lestime ncessaire comme a pu
le confirmer son secrtaire gnral, qui a dclar que la rponse gradue mise en place par la loi
vise tout type dabonnement et sapplique donc aux entreprises. Il a galement conseill cette
occasion aux chefs dentreprise dadopter une charte interne dutilisation des outils informatiques pour
limiter leur responsabilit.

Rappelons tout de mme que cette charte, pour tre efficace, doit tre parfaitement adapte
lentreprise et aux comportements quelle encadre, et tre jour des volutions jurisprudentielles
rcentes concernant le contrle par lemployeur de lactivit de ses salaris.
Elle doit surtout servir dappui la mise en place effective de systmes de filtrage et de contrle, sous
peine de ne pas tre respecte.

A terme, la HADOPI labellisera des logiciels de scurisation des accs (enregistrant les connexions
ralises dans une bote noire, etc.). Reste que lon peut dores et dj sinterroger sur ladquation
des solutions qui seront labellises avec les SI des entreprises, les configurations techniques ayant
peu de points communs avec celles des particuliers.

Fiches en liaison avec cette thmatique

Fiche n 4 : Contrle permanent de lexistant SI


Obligations en matire de scurit des systmes dinformation

Fiche n G
A jour au 4-12-2010
Thme : Cryptographie

Problmatique et dfinitions Principaux textes applicables

La lgislation applicable la cryptologie a t et Loi n2004-575 du 21 juin 2004 pour la


reste largement conditionne par le fait que cette Confiance dans lEconomie Numrique (LCEN) et
dernire est considre comme une arme de articles L. 2322-1 et R. 2322-1 du Code de la
guerre, ou du moins comme un bien double dfense
usage (cest--dire un bien qui peut avoir la
fois une application civile et militaire).
Dcret n2007-663 du 2 mai 2007 pris pour
La loi franaise encadre les conditions dutilisation lapplication des articles 30, 31 et 36 de la LCEN
(principe de libert) mais surtout de fourniture, et relatif aux moyens et aux prestations de
dimportation et dexportation de moyens de cryptologie
cryptologie. En raison du caractre stratgique de
la matire, ces dernires activits restent encore Dcret n2001-1192 du 13 dcembre 2001
largement contrles au travers dobligations de relatif au contrle l'exportation, l'importation et
dclaration voire dautorisation. au transfert de biens et technologies double
usage

Arrt du 13 dcembre 2001 relatif au contrle


l'exportation vers les pays tiers et au transfert
vers les tats membres de la Communaut
europenne de biens et technologies double
usage et arrt du 13 dcembre 2001 relatif la
dlivrance d'un certificat international
d'importation et d'un certificat de vrification de
livraison pour l'importation de biens et
technologies double usage

Arrt du 25 mai 2007 dfinissant la forme et le


contenu des dossiers de dclaration et de
demande dautorisation doprations relatives aux
moyens et aux prestations de cryptologie

Loi n91-646 du 10 juillet 1991 relative au


secret des correspondances mises par la voie
des communications lectroniques, version
consolide au 10 juillet 2004

Rglement (CE) n428/2009 du Conseil du 5


mai 2009 instituant un rgime communautaire de
contrle des exportations, des transferts, du
courtage et du transit de biens double usage

Arrangement de Wassenaar sur le contrle


l'exportation des armes conventionnelles et des
biens et technologies double usage (tabli le 12
juillet 1996)
Obligations en matire de scurit des systmes dinformation

Explications / Principales dispositions applicables

La Loi pour la Confiance dans lEconomie Numrique (LCEN) contient des dispositions relatives
la cryptologie dans ses articles 29 40. Larticle 30 de la LCEN libralise totalement la seule
utilisation des moyens de cryptologie.

Pour le reste, limportation, lexportation et la fourniture de moyens ou de prestations de cryptologie


restent encadres au travers dun rgime de dclaration ou dautorisation.
Si la loi organise un assouplissement du rgime juridique applicable la cryptologie, cest au prix
de nouvelles obligations pesant sur les utilisateurs. Ainsi, il existe dsormais une obligation,
pnalement sanctionne, de dchiffrement. Paralllement, les autorits judiciaires peuvent faire
appel des tiers ou aux moyens de lEtat pour dcrypter un message.
Par ailleurs, lutilisation de moyens de cryptologie dans le cadre de la commission dun crime ou
dun dlit est considre comme une circonstance aggravante. La LCEN ajoute un article 132-79
au code pnal qui prvoit un lourd renforcement des peines

Obligation de dchiffrement :

La libert dutilisation de moyens de cryptologie accorde par la LCEN trouve sa limite dans les
possibilits quont les forces de lordre de demander lutilisateur de tels moyens que les donnes
soient remises en clair.

Plusieurs textes ont organis les conditions devant permettre le dchiffrement des messages dans
le cadre dune enqute judiciaire. Ainsi, larticle 434-15-2 du Code pnal introduit par la loi sur la
scurit quotidienne (LSQ) impose, sous peine de 3 ans demprisonnement et de 45 000
damende, toute personne ayant connaissance de la convention secrte de dchiffrement dun
moyen de cryptologie susceptible davoir t utilis pour la commission dun crime ou dun dlit, de
remettre cette information aux autorits. Si ce refus a t oppos alors que la rvlation aurait
permis dviter la commission du crime ou dlit, la peine est porte 5 ans de prison et 75 000
damende. Ici aussi, sagissant dune personne morale, cette amende sera quintuple.

Par ailleurs, les articles L. 230-1 et suivants du Code de procdure pnale (issus de la LSQ) ont
substantiellement augment les pouvoirs du juge confront des donnes chiffres par des
moyens de cryptologie, puisque celui-ci peut demander toute personne physique ou morale
qualifie deffectuer les oprations ncessaires au dchiffrement des donnes. Il peut aussi tre fait
recours aux moyens de lEtat ds lors que la peine encourue est suffisamment importante.

Larticle 11-1 de la loi du 10 juillet 1991, relative au secret des correspondances, impose aux
personnes qui fournissent des prestations de cryptologie visant assurer une fonction de
confidentialit, de remettre aux agents autoriss les conventions permettant le dchiffrement des
donnes ou de mettre en uvre eux-mmes ces conventions sous peine de 2 ans de prison et
30 000 damende, sauf dans le cas o ils ne sont pas en mesure de satisfaire cette
demande . A ce titre, il convient de prciser que suivant une rponse ministrielle (n 154458,
JOAN, Questions, 5 octobre 1998, p. 5451) : La fourniture de moyens de cryptologie doit
s'entendre au sens premier du terme, c'est--dire comme l'approvisionnement pendant un certain
temps de manire ponctuelle, priodique ou continue, en moyens ou en services d'une autre
personne ce qui implique que les entreprises devraient, lorsquelles fournissent des moyens de
cryptologie leur salaris, entrer dans le champ de cette obligation.

Enfin, larticle 36 de la LCEN prvoit une procdure de communication et de saisie des moyens de
cryptologie. La communication est faite aux agents habilits par le Premier ministre. La saisie des
moyens de cryptologie est possible, par les mmes agents, sur autorisation (et sous contrle)
judiciaire donne par ordonnance du prsident du tribunal de grande instance, pralablement saisi
par le procureur de la Rpublique par demande motive. Tout obstacle au droulement de ces
enqutes est sanctionn svrement par une peine de 6 mois demprisonnement et de 7 500
damende. Ici encore sagissant dune personne morale, cette amende sera quintuple.

L'utilisation, mais aussi la fourniture, l'importation et l'exportation de produits de cryptologie des


fins de signature lectronique ou d'authentification, est donc libre en droit franais ds lors que ces
moyens n'assurent pas une fonctionnalit de confidentialit. Ce type de solution n'a donc pas
faire l'objet d'une quelconque dclaration ou autorisation lorsqu'il est utilis en France.
Il en va de mme pour la simple utilisation de produits assurant une fonctionnalit de confidentialit
Obligations en matire de scurit des systmes dinformation

quelle que soit la longueur de la clef utilise par l'algorithme.


Cependant, la fourniture, l'importation ou l'exportation de produits comportant une fonctionnalit de
confidentialit devra selon les cas, faire l'objet d'une dclaration ou d'une demande d'autorisation
(et en dehors des cas de dispense de formalits qui sont prciss dans le dcret).

Les formalits pralables peuvent tre synthtises ainsi :


dclaration pour tous les produits exports dans l'Union ainsi qu'une liste limitative
de 7 pays - Australie, Canada, Etats-Unis, Japon, Nouvelle Zlande, Norvge,
Suisse - (sauf exceptions prvues par le dcret);
dclaration pour lexportation vers tous pays si le procd respecte les seuils en
terme de longueur de clefs et certaines conditions (sauf exceptions prvues par le
dcret);
autorisation dans les autres cas (sauf exceptions prvues par le dcret) ;
la fourniture de produits de cryptologie est soumise dclaration dans tous les cas
(sauf exceptions prvues par le dcret).
limportation est aussi soumise dclaration dans tous les cas (sauf exceptions
prvues par le dcret).

Rgulation internationale

Il convient de noter que chaque Etat est susceptible de rglementer limportation / lexportation et
lutilisation de moyens de cryptographie sur ou depuis son territoire. En raison de son origine
militaire et ses enjeux stratgiques, la cryptographie reste encore strictement rgule par certains
pays. Sans vouloir dresser une liste exhaustive de ces rgulations, on retiendra que la Chine, la
Russie, Isral mais aussi lInde disposent de lgislations encadrant trs fortement lutilisation de
moyens de cryptographie en requrant le plus souvent une autorisation pralable avant importation
et utilisation de procds cryptographiques.

Concernant lexportation plus particulirement, il existe une rgulation internationale. Ainsi,


larrangement de Wassenaar vise rguler lexportation de biens pouvant avoir des applications
militaires (double usage), et au rang de ces biens figure la cryptographie.

Cet accord a t conclu en 1996 et comporte, la date du 6 aot 2010, 40 pays participants. Son
objectif est de contrler lexportation darmes et technologies usage double (militaire et civil)
comme le chiffrement. Il a t modifi en dcembre 1998 dans le sens dune plus grande
libralisation de la cryptologie :
sont libres lexportation tous les produits de chiffrement symtrique jusqu 56
bits, tous les produits de chiffrement ne dpassant pas 512 bits, et tous les
produits de chiffrement de type sous-groupe ne dpassant pas 112 bits ;
il en va de mme pour les matriels et logiciels de chiffrement grand public ne
dpassant pas 64 bits, lesquels sont libres lexportation (la limite des 64 bits a
er
t abroge le 1 dcembre 2000) ;
lexportation de tout autre produit de chiffrement ncessite une licence.

Il existe aussi certains assouplissements relatifs lutilisation personnelle de la cryptographie (sur


un ordinateur portable dans le cadre dun voyage notamment). Par ailleurs, la Note gnrale
relative aux logiciels incluse dans larrangement de Wassenaar contient une exception concernant
les logiciels de cryptographie qui sont couramment la disposition du public ou appartiennent au
domaine public.

Un rglement communautaire (Rglement (CE) 428/2009 du Conseil du 5 mai 2009), instituant un


rgime communautaire de contrle des exportations de biens double usage, reprend les principes
contenus dans larrangement de Wassenaar.
Obligations en matire de scurit des systmes dinformation

Analyse
(mesures pratiques, nature des risques)

En droit franais, en cas de non-respect des formalits pralables, la premire sanction encourue est
dordre administratif. Elle permet au Premier ministre, aprs avoir mis l'intress mme de prsenter
ses observations, de prononcer l'interdiction de mise en circulation du moyen de cryptologie concern.
Des sanctions pnales sont galement prvues par lart. 34 de la LCEN qui nonce que :

1 Le fait de ne pas satisfaire l'obligation de dclaration prvue l'article 30 en cas de fourniture,


de transfert, d'importation ou d'exportation d'un moyen de cryptologie ou l'obligation de
communication au Premier ministre prvue par ce mme article est puni d'un an d'emprisonnement et
de 15 000 d'amende ;
2 Le fait d'exporter un moyen de cryptologie ou de procder son transfert vers un Etat membre de la
Communaut europenne sans avoir pralablement obtenu l'autorisation mentionne l'article 30 ou
en dehors des conditions de cette autorisation, lorsqu'une telle autorisation est exige, est puni de
deux ans d'emprisonnement et de 30 000 d'amende.
II. - Le fait de vendre ou de louer un moyen de cryptologie ayant fait l'objet d'une interdiction
administrative de mise en circulation en application de l'article 34 est puni de deux ans
d'emprisonnement et de 30 000 d'amende.
III. - Le fait de fournir des prestations de cryptologie visant assurer des fonctions de confidentialit
sans avoir satisfait l'obligation de dclaration prvue l'article 31 est puni de deux ans
d'emprisonnement et de 30 000 d'amende .

Les personnes morales peuvent tre responsables pnalement, et dans ce cas, le montant de
lamende est multipli par cinq.

Au plan international, les rgulations tant dictes localement par chaque Etat, les sanctions
encourues peuvent varier assez largement.

Nature des risques :

Voyage ltranger

Les appareils mobiles (tlphones, smartphones, ordinateurs portables) emports lors dun voyage
ltranger peuvent faire, dans certains cas, lobjet dun contrle la frontire. Dans ce contexte, il
convient de mettre en place des mesures techniques de protection afin de sassurer que des donnes
confidentielles ne puissent faire lobjet dun accs par des tiers (les services des douanes
principalement).

En pratique la mise en place de procds de chiffrement des contenus des appareils mobiles savre
insuffisante dans la mesure ou les autorits locales ont toute latitude pour demander au salari de
divulguer sa convention secrte (son mot de passe, etc.) afin daccder aux donnes en clair et en cas
de refus de celui-ci, pourront copier les donnes et les transmettre au service de lEtat afin de casser le
chiffrement.

Il est donc prfrable de prvoir non pas un stockage des donnes sensibles sur le terminal mais plutt
un accs distant aux donnes confidentielles depuis le terminal au travers dun canal de
communication chiffr tel un rseau priv virtuel (Virtual Private Network ou VNP).

Il conviendra, par ailleurs, de sensibiliser les personnels amens se rendre ltranger sur les
risques engendrs et sur lattitude adopter en cas de contrle.

Afin dassurer la protection des informations confidentielles, lAgence nationale de la scurit des
systmes dinformation (ANSSI) a publi une liste de recommandations en la matire disponible
ladresse suivante : http://www.securite-informatique.gouv.fr/gp_article712.html

Avant tout voyage daffaire dans un pays tranger, il est recommand de se renseigner sur les risques
particuliers pouvant exister dans le pays de destination, notamment en consultant le portail de conseils
aux voyageurs du ministre des affaires trangres (http://www.diplomatie.gouv.fr/fr/conseils-aux-
voyageurs_909/)
Obligations en matire de scurit des systmes dinformation

Approche prospective

Les lgislations locales applicables en matire de cryptologie sont en perptuelle volution et il


convient davoir une attention particulire sur lmergence de nouvelles restrictions comme cela est,
par exemple, le cas avec les terminaux Blackberry (plusieurs pays ayant soit interdit, soit conditionn
lusage de ces terminaux sur leur territoire national : Inde, etc.)

Sagissant de la rgulation internationale issue de larrangement de Wassenaar, ces accords sont


revus rgulirement, la dernire modification datant du mois de dcembre 2009.

Fiches en liaison avec cette thmatique

Fiche n A : Obligation de scurit issue de la loi Informatique & Liberts


Obligations en matire de scurit des systmes dinformation

Fiche n H
A jour au 4-12-2010
Thme : Notification des violations de donnes
caractre personnel

Problmatique et dfinitions Principaux textes applicables (droit franais)

Lobligation de notification des violations de Aucun texte nimpose cette obligation


donnes caractre personnel consiste actuellement dans le droit franais.
imposer aux organismes traitant des donnes
caractre personnel de notifier (aux personnes Pour le secteur spcifique des
concernes et/ou une autorit comptente) tlcommunications, la transposition de la
toute violation portant atteinte la scurit de ces directive europenne introduisant cette exigence
donnes. devra intervenir avant le 25 mai 2011, sachant
que le projet de loi portant diverses dispositions
d'adaptation de la lgislation au droit de lUnion
europenne en matire de sant, de travail et de
communications lectroniques du 15 septembre
2010 vise habiliter le gouvernement
transposer cette directive par voie dordonnance.

Explications

Dans la mesure o aucune disposition lgale ou rglementaire nimpose ce jour en France la


notification des violations de donnes caractre personnel, cest sous langle de lapproche
prospective que sera trait ce sujet.

Approche prospective

Les systmes dinformation dun grand nombre doprateurs conomiques (dont les banques)
contiennent de nombreuses informations caractre personnel sur leurs clients, leurs prospects, leurs
collaborateurs. Or un certain nombre dincidents ont montr que la scurisation de ces donnes tait
souvent insuffisante. Une lgislation imposant la notification obligatoire des violations de scurit, avec
toutes les consquences coteuses quelle peut avoir pour lentreprise, a pour objectif de constituer
une incitation la scurisation des systmes.

Aux tats-Unis, depuis lexemple historique de la Californie en 2002 (Senate Bill 1386), ce sont
aujourdhui quarante-cinq tats, le District de Columbia, Puerto Rico et les les Vierges qui ont mis en
uvre des lgislations imposant la notification des brches de scurit concernant des donnes
er
caractre personnel. En Allemagne, depuis le 1 septembre 2009, la loi impose aux responsables de
er
traitements de notifier les incidents de scurit . Il en est de mme en Autriche depuis le 1 janvier
2010.

Par ailleurs, en Europe, un secteur conomique particulier, celui des oprateurs de


tlcommunications et des fournisseurs daccs internet, a fait lobjet dune volution de son cadre
juridique communautaire travers deux directives dfinitivement adoptes en novembre 2009 et dont
la transposition dans le droit national des tats membres doit intervenir avant le 25 mai 2011.

Ainsi, la directive n2009/136/CE introduit-elle pour ces entreprises une obligation de notification des
violations de scurit des donnes caractre personnel, dabord l autorit nationale comptente
mais aussi, lorsque cette violation est de nature affecter ngativement les donnes caractre
personnel ou la vie prive , chaque abonn ou particulier concern.

Compte tenu de la nature de ces directives du paquet tlcom , cette obligation ne sapplique quau
secteur des communications lectroniques, mais le lgislateur europen annonce dans les
considrants que ces exigences seront amenes stendre : Lintrt des utilisateurs tre
informs ne se limite pas, lvidence, au secteur des communications lectroniques, et il convient
ds lors dintroduire de faon prioritaire, au niveau communautaire, des exigences de notification
Obligations en matire de scurit des systmes dinformation

explicites et obligatoires, applicables tous les secteurs.

Cette obligation gnrale pourrait tre introduite dans une volution future de la directive n1995/46/CE
sur la protection des donnes caractre personnel. Elle figurait dailleurs dans la feuille de route
trace par le groupe de travail Article 29 (qui regroupe les autorits nationales de protection des
donnes caractre personnel) en rponse la consultation qua lance la Commission europenne
en juillet 2009 sur le cadre juridique de la protection des donnes caractre personnel : La
transparence impose une information des personnes concernes en cas de violation de la vie prive
susceptible de nuire leurs donnes caractre personnel ainsi qu leur vie prive. [] La
notification gnrale de violation de la vie prive devrait tre introduite dans le nouveau cadre
juridique .

Cette orientation sest renforce rcemment puisque, dans sa stratgie de protection des donnes
(intitule Une approche globale de la protection des donnes caractre personnel dans l'Union
europenne ) rendue publique le 4 novembre 2010, la Commission europenne explique : Il importe
galement que les intresss soient informs lorsque des donnes les concernant ont t
accidentellement ou illgalement dtruites, perdues, altres, consultes par des personnes non
autorises ou divulgues de telles personnes. La rcente rvision de la directive vie prive et
communications lectroniques a instaur une notification obligatoire des violations de donnes,
qui n'est toutefois applicable que dans le secteur des tlcommunications. Vu le risque que des
violations de donnes se produisent dans d'autres secteurs (par exemple, le secteur financier), la
Commission examinera les modalits d'une extension d'autres secteurs de l'obligation de notifier les
atteintes aux donnes caractre personnel, conformment la dclaration qu'elle a prsente cet
gard au Parlement europen en 2009, dans le contexte de la rforme du cadre rglementaire relatif
aux communications lectroniques. Cet examen n'aura aucune incidence sur les dispositions de la
directive vie prive et communications lectroniques, qui doit tre transpose en droit national au
plus tard le 25 mai 2011. Il y a lieu de garantir l'adoption d'une approche systmatique et cohrente
cet gard.

La Commission rsume ensuite sa feuille de route en la matire : La Commission engagera l'action


suivante : examiner les modalits d'introduction, dans le cadre juridique global, d'une obligation
gnrale de notification des violations de donnes caractre personnel, indiquant les
destinataires de ce type de notifications et les critres auxquels serait subordonne l'application de
cette obligation.

En France, une proposition de loi ne au Snat visant mieux garantir le droit la vie prive
lheure du numrique a tent, entre autres dispositions, dintroduire une obligation de notification la
CNIL des failles de scurit. Elle se heurte aux objections du gouvernement qui souhaite traiter le
problme de manire plus globale en incluant, en particulier, la transposition des directives tlcom
susmentionnes, mais a nanmoins franchi une premire tape du processus lgislatif en tant
adopte en premire lecture au Snat le 23 mars 2010.

Paralllement ce texte dont lavenir est trs incertain, le gouvernement a dpos le 15 septembre
2010 lAssemble nationale un projet de loi visant notamment lautoriser pendant 6 mois ( compter
de la publication de la loi) prendre par ordonnance des mesures de nature lgislative pour adapter la
lgislation franaise au droit de lUnion europenne en matire de sant, de travail et de
communications lectroniques , ce qui inclut spcifiquement la directive n2009/136/CE et lobligation
de notification des violations de donnes caractre personnel (v. art. 11 I. 2). La procdure
acclre de vote de ce texte a t engage (une seule lecture par chaque chambre du Parlement).
Mme sil subsiste aujourdhui des dsaccords sur les modalits dintroduction de cette obligation
dans notre droit et des incertitudes sur l autorit comptente , il ne semble gure faire de doute que
lobligation de notification ne finisse par simposer dans les annes qui viennent.

Analyse
(mesures pratiques, nature des risques)

Nature des risques :

Si lobligation de notification des violations des donnes caractre personnel tait mise en place, le
risque en cas de violation comporterait :
Sil y a obligation de notification lautorit comptente :
Sanction possible de la CNIL pour non respect de larticle 34 (mme sil ne sagit que
Obligations en matire de scurit des systmes dinformation

dune obligation de moyens et non de rsultat, si lon a subi une violation de


confidentialit, cest peut-tre que toutes les prcautions utiles nont pas t
prises)
Et ventuellement sanction de lAutorit de contrle prudentiel si elle suivait lexemple
de son homologue britannique la Financial Services Authority (FSA) :
- fvrier 2007 : NBS, 0,98 M
- dcembre 2007 : Norwich Union, 1,26 M
- juillet 2009 : HSBC, 3,2 M

Sil y a obligation de notification des personnes concernes :


La notification elle-mme
Le centre dappel spcifique mettre en place
Le traitement commercial et/ou juridique des cas soumis (de bonne ou mauvaise foi)
Les ventuelles consquences dune action collective des personnes concernes
(class action la franaise)
La gestion de la crise (dont gestion de la crise mdiatique)

Rappel sur le cot dune violation de confidentialit des donnes (source : tudes annuelles
du Ponemon Institute) :
France, 2009 : 89 par enregistrement (dtection, escalade : 28 , notification : 4 ,
traitement ultrieur : 30 , perte de chiffre daffaires : 27 ) mais 140 dans le secteur
de la finance
Allemagne, 2009 : 133 par enregistrement (dtection, escalade : 39 , notification :
7 , traitement ultrieur : 41 , perte de chiffre daffaires : 46 ) mais 155 dans le
secteur de la finance
Royaume-Uni, 2009 : 64 par enregistrement (dtection, escalade et gestion de
crise : 12 , notification 7 , traitement ultrieur [dont les suites judiciaires] 17 , perte
de chiffre daffaires 29 ) mais 86 dans le secteur de la finance
Etat-Unis, 2009 : 204 $ par enregistrement (dtection, escalade et gestion de crise :
8 $, notification 15 $, traitement ultrieur [dont les suites judiciaires] 46 $, perte de
chiffre daffaires 135 $) mais 249 $ dans le secteur de la finance

Le risque ne pas faire :

Risque rglementaire, voire pnal, ds lors que la lgislation nationale applicable comportera une
disposition relative la notification des violations de confidentialit.

Mesures pratiques :

Rappel sur les principales causes dune violation (source : tudes annuelles du Ponemon
Institute) :
France, 2009 :
- donnes externalises chez un tiers : 41 %
- support (CD, DVD, cl USB, ordinateur portable) perdu ou vol : 35 %
- ngligence : 35 %
- attaque malveillante ou criminelle : 35 %
- vulnrabilit logicielle du systme : 29 %

Royaume-Uni, 2009 :
- ngligence : 45 %
- donnes externalises chez un tiers : 36 %
- support (CD, DVD, cl USB, ordinateur portable) perdu ou vol : 30 %
- vulnrabilit logicielle du systme : 30 %
- attaque malveillante ou criminelle : 24 %

tats-Unis, 2009 :
- donnes externalises chez un tiers : 42 %
- ngligence : 40 %
- support (CD, DVD, cl USB, ordinateur portable) perdu ou vol : 36 %
- vulnrabilit logicielle du systme : 36 %
- attaque malveillante ou criminelle : 24 %
Obligations en matire de scurit des systmes dinformation

Do les mesures pratiques :


Former et sensibiliser les utilisateurs des donnes
Encadrer par des dispositions contractuelles et des contrles appropris les
prestations externalises
Chiffrer les donnes sur les supports mobiles (certaines rglementations mises en
place dans le monde exonrent de notification les pertes ou vols de donnes lorsque
celles-ci taient chiffres)
Maintenir le systme dinformation en permanence jour en matire de scurit
Mettre en place des dispositifs de protection contre les diffrents types dattaques
informatiques

Approche prospective

N/A

Fiches consulter en liaison avec cette thmatique

Fiche n A : Obligation de scurit issue de la loi Informatique & Liberts


Fiche n C : Rglement n97-02
Fiche n 3 : Gestion du risque SI (analyse de risques)
Fiche n 4 : Contrle permanent de lexistant SI