[cyber-sécurité] l’obligation de sécurisation des systèmes d’information —> Master 2 PRO DMI « droit du numérique » 22 novembre 2018

[21-11-2018] L’obligation de sécurisation des systèmes d’information est un sujet qui paraitra (probablement) rébarbatif aux étudiants du Master 2 « droit du numérique ». De la technique ? C’est pas pour nous (j’entends d’ici la remarque). Quelle erreur ! Il faut connaitre les impératifs techniques, et si possible les comprendre pour ensuite… écrire des clauses intelligibles en la matière ! Car la sécurité, c’est aujourd’hui une obligation légale franchement incontournable. Aucun prestataire digne de ce nom ne pourra faire l’impasse sur le sujet, s’il espère trouver des clients (ou les garder…). 

Cette présentation a été conçue spécialement pour les étudiants du Master 2 DMI « droit du numérique » pour le séminaire du 22 novembre 2018. Si vous êtes un pro, vous pouvez lire, mes présentations sont identiques pour les pro ET les étudiants de III° cycle !

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


l’obligation de sécurisation des systèmes d’information : l’articulation des législations

Nous n’allons pas tout étudier le même jour, mais il est important de comprendre l’articulation de tous ces textes qui règlementent la sécurité des systèmes d’information. C’est résumé dans la slide ci-dessous !

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


Avant de rentrer dans le vif du sujet, une petite introdution s’impose. « Pourquoi » l’obligation de sécurisation des systèmes d’information ? Il y a 3 raisons à cela, des raisons bien terre-à-terre…

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


l’obligation de sécurisation des systèmes d’information : distinguer les « données » du problème

Pour comprendre ce qu’il faut sécuriser, il faut aussi maitriser la distinction entre « données de contenu » (le futur Règlement UE e-Privacy va beaucoup nous y aider…) , « métadonnées » et « données à caractère personnel« . C’est effectivement le « coeur du problème », et seule une bonne compréhension de ce triptyque peut aider à résoudre l’identification juridique de ce qu’il faut faire.

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


l’obligation de sécurisation des systèmes d’information : une petite mise en perspective aide (grandement) à comprendre pourquoi tout ce fatras législatif

Pourquoi tant de lois et de jurisprudences qui s’empilent depuis 1978, date de notre loi « Informatique et Libertés » ? C’est que la technique a beaucoup évolué… et que les textes législatifs, français ou européens, ont parfois un peu de retard sur la réalité des services proposés par les professionnels. Un exemple ? La Directive 95/48 protégeant les données à caractère personnelle est entrée en vigueur en 1998. Et 1998, c’est l’année du lancement du moteur de recherche de Google. Vous voyez mieux le problème ?

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


l’obligation de sécurisation des systèmes d’information : maintenant, c’est dans le slider ci-dessous que ça se passe


 

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


l’obligation de sécurisation des systèmes d’information : les obligations de la GDPR-RGPD

Maintenant que vous avez un peu de recul, il est temps de s’intéresser en détail à la GDPR-RGPD, le Règlement UE n°2016/679 du 27 avril 2016, entré en application le 25 mai 2018. Voyons ce que sont en réalités ces obligations techniques de sécurisation des systèmes d’information. 

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


l’obligation de sécurisation des systèmes d’information : l’obligation de sécurisation est une condition de validité du traitement de données personnelles !!!

Si je vous parle des 6 principes de licéité d’e tout traitement de données personnelles, vous allez penser que je fais du droit juridico-juridique qui n’intéresseraient que les juristes. Si, en revanche, je vous dis qu’un défaut total de sécurisation technique d’un traitement de données peut conduite à son illégalité (c’est-à-dire le droit pour la CNIL de vous imposer l’effacement pur et simple des data traitées), vous êtes plus sensible à l’argument ? 

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


l’obligation de sécurisation des systèmes d’information : que doit faire le responsable du traitement ?

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


l’obligation de sécurisation des systèmes d’information : et le sous-traitant ?

C’est la seule véritable obligation commune aux responsables de traitement et aux sous-traitants au sens de la GDPR : l’obligation de sécurité numérique. La seule différence ? Seul le responsable du traitement doit notifier les « violations » de données à la CNIL. Le sous-traitant a l’obligation, indirecte, de notifier tout problème à son client, le responsable du traitement. 

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


l’obligation de sécurisation des systèmes d’information : lutter contre le risque de « violation » de données à caractère personnel

Difficile de faire une définition plus large que celle retenue par la GDPR : un accès non autorisé, ou une cyber-attaque avec une fuite de données, dans les deux cas, il s’agit d’une « violation » de données !

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


l’obligation de sécurisation : les impératifs techniques de la GDPR

Je n’ai pas besoin de me répéter, tout est dans la slide ci-dessous. C’est ce que dit l’article 32 GDPR-RGPD.

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


l’obligation de sécurisation des systèmes d’information : la théorie c’est bien, la jurisprudence, c’est mieux !!!

Depuis 2014, près d’une dizaine de décisions de la CNIL en matière d’obligation de sécurité. On va regarder ça de près.

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


l’obligation de sécurisation des systèmes d’information : le détail dans le 2° slider ci-dessous


l’obligation de sécurisation des systèmes d’information : quelles autres législations ?

Je vous remets une de mes premières slides, car la GDPR n’est que le première étage d’une fusée qui se développe beaucoup depuis 2013.

L’étape suivante repose sur la Directive NIS du 6 juillet 2016 et la loi française du 26 février 2018. Si vous êtes Fournisseur de Service Numérique, vous aurez des obligations de sécurité supplémentaires. Je vous invite à aller lire ma présentation spéciale FSN sur le sujet.

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


l’obligation de sécurisation des systèmes d’information : les Opérateurs de Service Essentiel

Nouvelle catégorie également issue de la Directive N.I.S et de la loi du 26 février 2018 : les O.S.E. ou Opérateurs de Service Essentiel. Ne cherchez pas, c’est l’administration (l’ANSSI par délégation) qui désigne les OSE par décret. Les règles de sécurité numériques deviennent très encadrées. Je vous invite à vous référer là encore à ma présentation spéciale OSE pour vous y retrouver.

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


l’obligation de sécurisation des systèmes d’information : les Opérateurs d’Importance Vitale

Si vraiment, vous voulez être incollable sur le sujet, il vous reste à vous pencher sur la Loi de Programmation Militaire du 18 décembre 2013 qui impose des obligations extrêmement strictes pour le Système d’Information d’Importance Vitale des Opérateurs d’Importance Vitale. Cette LPM est taillée sur mesure pour 200 à 300 entreprises / administrations nationales. Là encore, vous pouvez consulter sur ce blog ma présentation spécifiques consacrée aux O.IV. et aux S.I.I.V.

obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I


obligation de sécurisation des systèmes d'information [Ledieu-Avocats] droit du numérique I droit des nouvelles technologies I