770 likes | 959 Views
Sécurité & prévention des risques Aspects juridiques. Environnement introductif. Le contexte : Systèmes d’informations Outil pédagogique Outil administratif Support de l’innovation (ex : ENT) Les enjeux : Exemplarité Les défis : Nombre et la diversité
E N D
Sécurité & prévention des risques Aspects juridiques
Environnement introductif • Le contexte : Systèmes d’informations • Outil pédagogique • Outil administratif • Support de l’innovation (ex : ENT) • Les enjeux : Exemplarité • Les défis : Nombre et la diversité • L’actualité : LCEN – I&L – CMP – Perben II 2/42
LE DROIT A LA SECURITE LES RISQUES ORGANISATION DE LA SECURITE L’OBLIGATION DE SECURISER PLAN 3/42
LES RISQUES 4/42
Le meilleur … 5/42
Le meilleur … 7/42
Pédo-porno Contrefaçon INTRUSIONS Bombes ! Racismes & révisionnisme 10/42
Propriété intellectuelle et contrefaçon • Droit d’auteur : contrefaçon • Pas d’exception pour l’enseignement • Téléchargement pirate et peer to peer • Le « libre » existe t-il ? 12/42
Famille du « net » Communication Internet Intranet Mèl Chat Extranet Forum Informatique et communications électroniques Équipements terminaux Propriétaire Peer to peer Infrastructures Matériel Logiciel Identifiants Libre 13/42
Contrôle et régulation Pas d'obligation générale Usage libre Obligation Spécifique internet Obligation Spécifique MEN Usage contrôlé 14/42
Internet n’est pas le seul enjeu • La dématérialisation des procédures • Les contenus • Les données • Les secrets 15/42
Étudiants Élèves Enseignants Parents ? Administration Prestataires extérieurs Responsable d’établissement Responsables informatiques 16/42
RESP. ADMINISTRATIVE R E S P. C I V I L E R E S P. P E N A L E MIXTE 17/42
Quelle responsabilité ? • Action • Co-responsabilité • Complicité • Inaction • Négligence fautive • Responsabilité en cascade 18/42
Contrefaçon J U R I S P R U D E N C E S ENST - ECP Contrefaçon + droit administratif Université Paris 8 Interception illicite Université ESPCI Usage mel ministere Usage personnel MEN 19/42
Les risques Le droit à la sécurité 20/42
Les lois relatives à la sécurité STAD TELECOMS SECURITE QUOTIDIENNE CYBERCRIMINALITE 1988 2001 2004 2002 21/42
Typologie Atteintes aux STAD Maintien frauduleux Accès frauduleux Altération des données Altération du fonctionnement système Introductions de données pirates Entrave au système Fournitures des moyens de l’infraction 22/42
CODE MARCHES PUBLICS CODE CIVIL Les autres textes qui traitent de la sécurité INFORMATIQUE ET LIBERTES PLA / PI 23/42
Les risques Le droit à la sécurité La sécurité : est surtout une obligation ! 24/42
Obligation légale générale • Protection des systèmes informatiques • Sécurité physique • Sécurité logique • Fichier, informatique et libertés • Code des marchés publics • Vie privée résiduelle 25/42
Données personnelles • Organigramme • Trombinoscope • Annuaire • Liste de diffusion • Recrutement interne • E-mail, forum, annonces 26/42
Obligations particulières • Protection des mineurs • Protection des patrimoines • Scientifique • Culturel • Innovation • Spécificité de l’enseignement à distance • Spécificité des « libre service » 27/42
Responsabilité & institution • Responsabilité administrative générique • Obligation d’agir et de réagir • La responsabilité propre aux systèmes d’informations • Protection des systèmes • Accès / hébergement • Directeur de la publication • La délégation en question 28/42
Responsabilité & responsable des établissements • Principe : administratif « spécifique » • Application du règlement intérieur ou charte • Application des normes techniques et des outils mis à disposition • Directeur de la publication • Hébergeur • Exception civile : Hors service ou Usage personnel 29/42
Responsabilité & enseignants • Dysfonctionnement du service : même faute quelle que soit la personne • Droit administratif : faute ou sans faute ? • Responsabilité de l’Etat • Responsabilité personnalisée • Droit civil (1384 du Code civil) • Principe de substitution (loi du 5 avril 1937) • Action récursoire • Responsabilité pénale :commission d’une infraction pénale • Loi du 13 mai 1996 : imprudence ou négligence • Loi du 10 juillet 2000 : diligence normale (violation délibérée de la loi + création situation de risque) • Principe de protection du aux fonctionnaires qui confère à la substitution (Loi du 16 décembre 1996) 30/42
Responsabilité et internet • Accès • Hébergement • Editeur de service en ligne • Contenus • Nom de domaines • Notice légale • Référencement et liens hypertextes 31/42
Les risques Le droit à la sécurité L'obligation de sécuriser Organisation de la sécurité 32/42
Auditer Connaître Sanctionner Contrôler Apprendre Mesures techniques Responsabiliser Charte 33/42
Champ technique Informatique Identification Téléphonie Réseau PDA - Pager Équipement 34/42
Correspondance Envoyer/recevoir Surf rechercher Edition publier Discussion échanger CHAMP FONCTIONNEL & JURIDIQUE 35/42
Moyens techniques • Cryptologie • Ecrit électronique • Archivage électronique • Signature électronique 36/42
Loi du 13 mars et décrets Mise en œuvre 37/42
Mesures de contrôle • Logiciel de contrôle • Double commande • Identification • Listes noires de sites et de mots clefs 38/42
Gestion de la preuve • Pas de preuve = pas de faute • Pas de preuve pour soi-même • Recours à un tiers • huissier • Autorité judiciaire ou policière • Conservation des logs : • Un an • Modalités par décret en cours 40/42
Règles du jeu • Charte des personnels de l’éducation nationale liée à l’usage des • Annexe juridique de l’utilisateur lié à l’utilisation des ressources informatiques • Charte des administrateurs des ressources informatiques • Charte « utilisateur final » 41/42
MERCI DE VOTRE ATTENTION AVEZ VOUS DES QUESTIONS ? Support réalisé en collaboration avec la DPMA Eric Barbry, Avocat à la Cour ALAIN BENSOUSSAN – AVOCATS eric-barbry-bensoussan@alain-bensoussan.com Tel 01.41.33.35.35. - Fax 01.41.33.35.36 – Port 06.09.95.17.89 www.alain-bensoussan.com 42/42
Référentiel responsabilité Responsabilité civile : • « Tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé, à le réparer ». (Article 1382 du Code civil) • « Chacun est responsable du dommage qu'il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence ». (Article 1383 du Code civil) • « On est responsable non seulement du dommage que l'on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre, ou des choses que l'on a sous sa garde. […] Les instituteurs et les artisans, du dommage causé par leurs élèves et apprentis pendant le temps qu'ils sont sous leur surveillance.La responsabilité ci-dessus a lieu, à moins que les père et mère et les artisans ne prouvent qu'ils n'ont pu empêcher le fait qui donne lieu à cette responsabilité.En ce qui concerne les instituteurs, les fautes, imprudences ou négligences invoquées contre eux comme ayant causé le fait dommageable, devront être prouvées, conformément au droit commun, par le demandeur, à l'instance ». (Article 1384 du Code civil)
Référentiel responsabilité (2) Responsabilité administrative : • La responsabilité de l’administration est engagée lorsque son agent commet une faute de service. • Tribunal des conflits 30 juillet 1873 arrêt Pelletier : « Considérant que la demande Pelletier se fonde exclusivement sur cet acte de haute police administrative, qu’en dehors de cet acte, il n’impute au défendeur aucun fait personnel de nature à engager leur responsabilité particulière, et qu’en réalité la poursuite est dirigée contre cet acte lui-même dans la personne des fonctionnaires qui l’ont ordonné ou qui y ont coopéré». • « Sous réserve des dispositions du 4° alinéa de l’article 121-3 du Code pénal, les fonctionnaires et les agents non-titulaires de droit public ne peuvent condamnés sur le fondement du 3° alinéa de ce même article pour des faits non intentionnels commis dans l’exercice de leur fonction que s’il est établit qu’ils n’ont pas accompli les diligences normales compte tenu de leur compétence, du pouvoir et des moyens dont ils disposaient ainsi que des difficultés propres aux missions que la loi leur confie ». (Article 13-1 de la loi n°2000-647 du 10 juillet 2000)
Référentiel responsabilité (3) « Les fonctionnaires bénéficient à l’occasion de leurs fonctions, d’une protection organisée par la collectivité publique dont ils dépendent, conformément aux règles fixées par le Code pénal et les lois spéciales. Lorsqu’un fonctionnaire a été poursuivi par un tiers pour une faute de service et que le conflit d’attribution n’a pas étéélevé, la collectivité publique doit, dans la mesure où une faute personnelle détachable de l’exercice de ses fonctions n’est pas imputable à ses fonctionnaires, le couvrir des condamnations civiles prononcées contre lui. […] La collectivité publique est tenue d’accorder sa protection au fonctionnaire ou à l’ancien fonctionnaire dans le cas où il fait l’objet de poursuites pénales à l’occasion de faits qui n’ont pas le caractère d’une faute personnelle. […] » (Article 11 Bis A de la loi n°83-634 du 13 juillet 1983 modifiée par la loi n°96-1093 du 16 décembre 1996).
Référentiel responsabilité (4) « Le fait, par une personne dépositaire de l'autorité publique ou chargée d'une mission de service public, agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions ou de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, le détournement, la suppression ou l'ouverture de correspondances ou la révélation du contenu de ces correspondances, est puni de trois ans d'emprisonnement et de 45000 euros d'amende. Est puni des mêmes peines le fait, par une personne visée à l'alinéa précédent ou un agent d'un exploitant de réseaux ouverts au public de communications électroniques ou d'un fournisseur de services de télécommunications, agissant dans l'exercice de ses fonctions, d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, l'interception ou le détournement des correspondances émises, transmises ou reçues par la voie des télécommunications, l'utilisation ou la divulgation de leur contenu. » (Article 432-9 du Code pénal)
Référentiel responsabilité (5) « Dans tous les cas où la responsabilité des membres de l’enseignement public se trouve engagée à la suite ou à l’occasion d’un fait dommageable commis, soit par les élèves ou les étudiants qui leur sont confiés à raison de leurs fonctions, soit au détriment de ces élèves ou des ces étudiants dans les mêmes conditions, la responsabilité de l’état est substituée à celle desdits membres de l’enseignement qui ne peuvent jamais être mis en cause par les tribunaux civils par la victime ou ses représentants. Il en est ainsi toutes les fois que, pendant la scolarité ou en dehors de la scolarité dans un but d’enseignement ou d’éducation physique, non-interdit par les règlements, les élèves et les étudiants confiés ainsi aux membres de l’enseignement public se trouvent sous la surveillance de ces derniers […] » (Article L911-4 du Code de l’Education)
Référentiel système de traitement automatisé de données • «Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000euros d'amende.Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000euros d'amende ». (Article 323-1 du Code pénal) • « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000euros d'amende ». (Article 323-2 du Code pénal) • « Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75 000euros d'amende ». (Article 323-3 du Code pénal) • « Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée ». (Article 323-3-1 du Code pénal)
Référentiel sur la sécurité « I. - Après l'article L. 32-3 du code des postes et télécommunications, sont insérés deux articles L. 32-3-1 et L. 32-3-2 ainsi rédigés : « Art. L. 32-3-1. - I. - Les opérateurs de télécommunications, et notamment ceux mentionnés à l'article 43-7 de la loi n°86-1067 du 30 septembre 1986 précitée, sont tenus d'effacer ou de rendre anonyme toute donnée relative à une communication dès que celle-ci est achevée, sous réserve des dispositions des II, III et IV. « II. - Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire d'informations, il peut être différé pour une durée maximale d'un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques ». (Article 29 de la Loi sur la sécurité quotidienne).