Informatique

Informatique, Informatique, Sécurité des SI

Validité de la signature sous forme de Fac-similé

/

Sécurité des systèmes d’information Signature électronique Validité de la signature sous forme de Fac-similé La pratique de l’apposition de la signature sous la forme d’un Fac-similé des décisions ministérielles de retrait de points et de retrait du permis de conduire a été validée par le Conseil d’Etat bien qu’il ne réponde pas à la question de savoir si une telle signature est présumée constituer un procédé fiable d’identification au sens de l’article 1316-4 du Code civil. Ainsi, par un avis rendu le 31 mars 2008, le Conseil d’état autorise l’apposition de la signature sous forme d’un Fac-similé s’agissant des décisions ministérielles de retrait de points et de retrait du permis de conduire. Le Conseil d’état s’est vu transmettre par le Tribunal administratif de Bordeaux la question de savoir si « l’utilisation systématique d’un Fac-similé de la signature de l’autorité compétente, apposé de manière automatique sur des décisions ministérielles […] était couverte par la présomption de fiabilité qui s’attache, selon le code civil, à la signature électronique ». En effet, l’article 1316-4 du Code civil prévoit que la signature électronique doit consister « en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache » et que cette fiabilité « est présumée, jusqu’à preuve du contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garanti ». Or, l’article 2 du décret de l’application de cet article (décr. n°2001-272 du 30 mars 2001) dispose que « la fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve du contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié ». Bien que le Conseil d’état ne réponde pas à la question de savoir si l’apposition de la signature sous la forme d’un Fac-similé est présumée être un procédé fiable d’identification au sens de l’article 1316-4 du Code civil, l’avis retient que « l’apposition de la signature du sous-directeur de la circulation et de la sécurité routière au ministère de l’intérieur sur les décisions […], sous la forme d’un Fac-similé, procédé inhérent à un traitement automatisé des décisions, identifie l’auteur de la décision et atteste que l’ensemble des informations qui y sont rapportées ont été enregistrées sous l’autorité et sous contrôle du ministre de l’intérieur, dans des conditions prévues par le code de la route et que la notification de chaque décision intervient à l’issu de l’ensemble des étapes rappelées ci-dessus ». Avis du Conseil d’Etat n°311095 du 31 mars 2008 (Mise en ligne Mars 2008) Autres brèves Signature électronique : les premiers certificats «qualifiés» arrivent (Mise en ligne Mars 2008)

Informatique, Informatique, Sécurité des SI

tarification des interceptions de communications électroniques

/

Sécurité des systèmes d’information Ecoutes téléphoniques Clarification de la rémunération des opérateurs de communications électroniques sur les Interceptions La loi prévoit que les opérateurs de communications électroniques sont rémunérés pour les frais occasionnés par les différents types d’interceptions de communications électroniques. Deux décrets viennent de paraître au journal officiel du 25 octobre 2007. Ils visent à traduire sur les plans technique et financier la rémunération des opérateurs de communications électroniques dans le cadre des interceptions de sécurité et judiciaires. Deux arrêtés sont également parus au journal officiel du même jour. Ils fixent le barème des prestations. L’Autorité de régulation des communications électroniques et des postes a été consultée en mars 2007 pour avis sur les deux projets de décrets ainsi que sur deux projets d’arrêtés. Décret n° 2007-1520 du 22 octobre 2007 portant modification du code de procédure pénale et relatif à la tarification des interceptions judiciaires (JO n° 248 du 25 octobre 2007 page 17485) Décret n° 2007-1519 du 22 octobre 2007 portant modification du code des postes et des communications électroniques et relatif à la tarification des interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17485) Arrêté du 22 octobre 2007 pris en application de l’article R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17486) Arrêté du 22 octobre 2007 pris en application de l’article D. 98-7 du code des postes et des communications électroniques fixant la tarification applicable aux demandes ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17514) (Mise en ligne Octobre 2007) Autres brèves Création de la délégation aux interceptions judiciaires (Mise en ligne Novembre 2006)

Contrat, Informatique

Le règlement d’exemption sur les accords de transfert de technologie

/

Les accords de transfert de technologie sont soumis au droit européen de la concurrence et peuvent à ce titre constituer des ententes anticoncurrentielles lorsqu’ils prévoient notamment des exclusivités, des obligations de non concurrence ou des limitations d’usage.Ils peuvent alors encourir la nullité et les entreprises concernées peuvent se voir infliger une sanction pécuniaire ou des dommages et intérêts

Contrat, Informatique

La rédaction de la documentation en langue française

/

Informatique La protection des consommateurs La rédaction de la documentation en langue française Après un contrôle d’un inspecteur des services de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), un distributeur de matériel informatique s’était vu condamné par le Tribunal de police de Paris pour avoir exposé à la vente des cartes graphiques dont la documentation d’utilisation et d’installation était rédigée exclusivement en langue étrangère. La cour d’appel de Paris a confirmé cette décision en rappelant, premièrement, que les agents de la DGCCRF sont habilités à rechercher et à constater les infractions et deuxièmement, alors même que les cartes graphiques sont des produits professionnels d’intégration, au surplus vendus au détail, que les notices les accompagnant doivent être rédigées en langue française. Cette application des dispositions législatives relatives à langue française pose de plus en plus de problèmes à l’heure de l’internet, un certain nombre de produits commercialisés par des prestataires établis dans un pays étranger étant facilement accessibles à l’achat. CA Paris, 13e ch., sect. B, 2 octobre 1997 (Mise en ligne Octobre 1997)

Contrat, Informatique

Quel contrat pour les architectures orientées services ?

/

Les architectures orientées services ou systèmes SOA sont conçues autour de la notion de services correspondant à une action exécutée par un fournisseur et consommée par un client, alors que l’interaction entre le producteur (fournisseur) et le consommateur (client) du service est assurée par un médiateur «bus». L’intérêts majeur est de permettre une grande modularité des systèmes

Gouvernance, Informatique, Informatique

Chartes d’entreprises et fraude informatique

/

Usurpation de codes informatiques, détournement des systèmes de protection, introduction d’opérations fictives dans le système d’information, autant de pratiques relancées par les récents événements survenus dans le secteur bancaire. Ces agissements sont susceptibles de recevoir une qualification pénale.Ainsi, de nombreuses dispositions (1) répriment avec rigueur la fraude informatique. Articulée autour de quatre incriminations,

Contrat, Informatique

Tempête sur les clauses de responsabilité

/

Informatique Contrat Tempête sur les clauses de responsabilité Depuis les célèbres arrêts «Chronopost» (1) et dans le domaine particulier de l’informatique, celui rendu par la Chambre commerciale de la Cour de cassation relatif au différend ayant opposé les sociétés Oracle France et Faurecia sièges d’automobiles à propos du défaut de fourniture du logiciel «V12», la solution paraissait acquise. Le non-respect d’une obligation essentielle provoque l’anéantissement des stipulations contractuelles destinées à limiter le droit à réparation de la victime du dommage. L’obligation essentielle était même assimilée à l’objectif «final» poursuivi par les parties lors de la conclusion du contrat, renvoyant ainsi à la notion juridique de cause (2). La thèse soutenue par la Cour de cassation ne semble pas prête d’être adoptée par la Cour d’appel de Paris, si l’on en croit les deux récents arrêts rendus sur renvoi de la Cour de cassation, les 19 septembre 2008 (3) et 26 novembre 2008 (4). Refusant d’adopter une conception «subjectivée» de la faute lourde (le manquement à une obligation essentielle) au profit de la conception traditionnelle et objective de la faute lourde (une faute d’une particulière gravité), nous voici donc revenus à la solution ancienne dont la réforme était naturellement soutenue par tous les utilisateurs de système d’information face aux clauses limitatives (voire exclusives) de responsabilité, de plus en plus restrictives, qui leur sont parfois imposées. La plus grande vigilance est donc au rendez-vous, à l’occasion de la négociation de telles clauses, compte tenu de la difficulté à établir, en cours d’exécution du contrat, l’existence d’une faute lourde de nature à faire échec à la limitation de réparation contractuelle, même si elle abouti à l’adoption d’un véritable mécanisme de «non responsabilité». Il appartiendra maintenant à l’Assemblée plénière de la Cour de cassation de trancher définitivement cette saga riche en rebondissements. En attendant, on ne peut que conseiller aux parties de refuser toute pré-qualification des dommages indirects et de prévoir, dans le corps de la clause, que la limitation sera mise en échec pour inobservation d’une obligation essentielle couvrant l’objectif final des contrats conclus. (1) Cass. com. 22-10-1996 ; Cass. ch. Mixte 22-4-2005 (2) Cass. com. 13-2-2007 (3) CA Paris 19-9-2008 dans l’affaire affaire Chronopost (4) CA Paris 26-11–2008 dans l’affaire Oracle (Mise en ligne Décembre 2008) Autres brèves Non-conformité de logiciels invoquée à tort (Mise en ligne Décembre 2008) Résiliation abusive pour non fourniture de documentation en langue française (Mise en ligne Juin 2008) Vers une obligation de sécurité en matière informatique (Mise en ligne Décembre 2007) Responsabilité informatique : le déclin annoncé des clauses limitatives de réparation (Mise en ligne Juillet-Août 2007) La réversibilité dans les contrats : enjeux et modalités (Mise en ligne Juillet-Août 2007) Nouvelle liste de termes, expressions et définitions informatiques (Mise en ligne Juin 2007) La rupture d’un contrat ne met pas automatiquement fin à la cesion des droits antérieurement intervenue (Mise en ligne Décembre 2006) Call center externalisé : qui est responsable dela sécurité des données personnelles? (Mise en ligne Septembre 2006) La fin du mandat peut compromettre l’action en garantie… (Mise en ligne Juillet 2006) La « tierce recette applicative »: une tendance s’inscrivant dans une démarche qualité (Mise en ligne Janvier 2006) Infogérance et plan de réversibilité (Mise en ligne Décembre 2005) La matrice des obligations contractuelles : un outil indispensable (Mise en ligne Avril 2005)

Contrat, Informatique

Résiliation abusive documentation français contrat informatique

/

Informatique Contrat Résiliation abusive pour non fourniture de documentation en langue française La méconnaissance de l’obligation de remettre la documentation en langue française ne constitue pas un obstacle à l’exécution d’un contrat de prestaions informatiques en cours d’exécution qui justifie la rupture unilatérale du contrat. En conséquence, n’a pas de motifs légitimes de rompre le contrat, une société qui argue de la violation par le vendeur de la législation imposant l’emploi de la langue française notamment dans les documents d’utilisation et d’intallation des produits vendus dès lors que la documentation en langue anglaise relative à l’installation du progiciel émanant de la société SAP n’était pas utile à la société cliente, à laquelle il était prévu de remettre en langue française, lors de l’installation du progiciel, la documentation relative à son utilisation. Cass.com.17/06/2008 (Mise en ligne Juin 2008)

Contrat, Informatique

La documentation des progiciels en langue française

/

Contentieux informatique Responsabilité contractuelle La documentation des progiciels en langue française, une obligation légale ? Visés par la « loi Toubon », les progiciels doivent disposer d’une documentation en français. Mais l’obligation de langue française est soumise à interprétations… (Lire l’article paru dans CXP-l’Oeil expert) (Mise en ligne Mars 2005)

Informatique, Informatique, Sécurité des SI

Cryptologie:contenu des dossiers de déclaration et autorisation

/

Constructeurs ITE – Règlementation Cryptologie : contenu des dossiers de déclaration et d’autorisation L’arrêté du 25 mai 2007 pris en application du décret du 2 mai 2007 vient préciser les caractéristiques techniques qui peuvent être demandées par la Direction centrale de la sécurité des systèmes d’information (DCSSI), dans le cas d’une déclaration ou d’une demande d’autorisation d’opérations relatives à des moyens et des prestations de cryptologie. Les six arrêtés issus du régime antérieur sont abrogés. Les formulaires de déclaration préalable (DM et DP) et de demande d’autorisation (AM) dont les modèles sont annexés à l’arrêté, sont à adresser en trois exemplaires au secrétariat général de la défense nationale, direction centrale de la sécurité des systèmes d’information. Arrêté du 25 mai 2007 (Mise en ligne Mai 2007)

Informatique, Informatique, Sécurité des SI

Rémunération des opérateurs sur les interceptions

/

Constructeurs ITE – Libertés publiques Interceptions judiciaires Clarification de la rémunération des opérateurs de communications électroniques sur les Interceptions La loi prévoit que les opérateurs de communications électroniques sont rémunérés pour les frais occasionnés par les différents types d’interceptions de communications électroniques. Deux décrets viennent de paraître au journal officiel du 25 octobre 2007. Ils visent à traduire sur les plans technique et financier la rémunération des opérateurs de communications électroniques dans le cadre des interceptions de sécurité et judiciaires. Deux arrêtés sont également parus au journal officiel du même jour. Ils fixent le barème des prestations. L’Autorité de régulation des communications électroniques et des postes a été consultée en mars 2007 pour avis sur les deux projets de décrets ainsi que sur deux projets d’arrêtés. Décret n° 2007-1520 du 22 octobre 2007 portant modification du code de procédure pénale et relatif à la tarification des interceptions judiciaires (JO n° 248 du 25 octobre 2007 page 17485) Décret n° 2007-1519 du 22 octobre 2007 portant modification du code des postes et des communications électroniques et relatif à la tarification des interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17485) Arrêté du 22 octobre 2007 pris en application de l’article R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17486) Arrêté du 22 octobre 2007 pris en application de l’article D. 98-7 du code des postes et des communications électroniques fixant la tarification applicable aux demandes ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17514) (Mise en ligne Octobre 2007) Autres brèves Données de connexion : l’arrêté sur la tarification des réquisitions entaché d’illégalité (Mise en ligne Août 2007)

Consommation, Informatique

La vente d’ordinateurs pré-équipés de logiciels d’exploitation

/

Les règles relatives à la vente liée ont toujours été d’application très difficile en matière de vente de micro-ordinateurs, ces derniers résultant de l’assemblage de très nombreux éléments dont il est difficile de savoir s’ils constituent des éléments « distincts » ou « complémentaires » (composants électroniques, logiciels d’exploitation et d’utilisation).

Contrat, Informatique

L’emploi de la langue française

/

Internet conseil Protection des consommateurs L’emploi de la langue française La loi du 4 août 1994, plus communément appelée « loi Toubon », est venue renforcer une législation moins protectrice de la langue française. Témoignant d’un caractère contraignant, l’application stricte du texte et de la procédure édictée est nécessaire. C’est dans ce contexte législatif qu’est intervenue une affaire concernant un site internet qui, contenant des modes d’emploi et des notices d’utilisation de produits en langue anglaise, avait suscité la critique des associations de protection de la langue française, poursuivant les auteurs de l’infraction devant le tribunal de police. Cependant, le juge rappela que la procédure issue du décret d’application du 3 mars 1995 imposait que le parquet soit saisi par la transmission d’un procès-verbal par des agents habilités limitativement énumérés. Ce qui n’était pas le cas en l’espèce, les associations de défense de la langue française n’étant pas considérées comme des agents habilités à constater les infractions à la législation sur l’emploi de la langue française. Trib. Police Paris 1e ch., 9 juin 1997 Loi n°94-665 du 4 août 1994 Décret n°95-240 du 3 mars 1995 (Mise en ligne Mars 1995)

Informatique, Informatique, Sécurité des SI

e-administration législation comparée vote électronique

/

Vote électronique Législation comparée du Sénat sur le vote électronique Le service des études juridiques du Sénat vient de publier une étude de législation comparée sur le vote électronique. L’étude porte sur l’analyse des textes et de la pratique dans neuf pays européens : l’Allemagne, l’Angleterre et le pays de Galles, la Belgique , l’Espagne, l’Irlande, l’Italie, les Pays-Bas, le Portugal et la Suisse. L’étude révèle que :   une partie plus ou moins importante du corps électoral vote à l’aide de dispositifs électroniques aux Pays-Bas, en Belgique et en Allemagne ;   le vote électronique est instauré de façon très progressive en Suisse depuis 2003 ; l’Irlande a commencé à introduire le vote électronique en 2002, mais a suspendu son expérience ; en Angleterre et au pays de Galles, le vote électronique est expérimenté depuis 2000 à l’occasion d’élections locales dans plusieurs collectivités, mais sa généralisation n’est plus envisagée ; en Espagne, en Italie et au Portugal, le vote électronique ne donne pour l’instant lieu qu’à des tests sans valeur juridique.L’étude montre de façon générale, que le vote électronique ne paraît pas répondre aux espoirs qu’il a nourris. La Suisse, où l’instauration du vote par Internet s’effectue de façon très pragmatique et répond a priori à un réel besoin puisque les citoyens sont appelés à se rendre aux urnes plusieurs fois par an, semble cependant constituer une exception. Rapport d’information du Sénat sur le vote électronique (Mise en ligne Septembre 2007)

Informatique, Informatique, Sécurité des SI

Interceptions : rémunération des opérateurs

/

Internet contentieux Interception judiciaire Clarification de la rémunération des opérateurs de communications électroniques sur les Interceptions La loi prévoit que les opérateurs de communications électroniques sont rémunérés pour les frais occasionnés par les différents types d’interceptions de communications électroniques. Deux décrets viennent de paraître au journal officiel du 25 octobre 2007. Ils visent à traduire sur les plans technique et financier la rémunération des opérateurs de communications électroniques dans le cadre des interceptions de sécurité et judiciaires. Deux arrêtés sont également parus au journal officiel du même jour. Ils fixent le barème des prestations. L’Autorité de régulation des communications électroniques et des postes a été consultée en mars 2007 pour avis sur les deux projets de décrets ainsi que sur deux projets d’arrêtés. Décret n° 2007-1520 du 22 octobre 2007 portant modification du code de procédure pénale et relatif à la tarification des interceptions judiciaires (JO n° 248 du 25 octobre 2007 page 17485) Décret n° 2007-1519 du 22 octobre 2007 portant modification du code des postes et des communications électroniques et relatif à la tarification des interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17485) Arrêté du 22 octobre 2007 pris en application de l’article R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17486) Arrêté du 22 octobre 2007 pris en application de l’article D. 98-7 du code des postes et des communications électroniques fixant la tarification applicable aux demandes ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17514) (Mise en ligne Octobre 2007) Autres brèves Création de la délégation aux interceptions judiciaires (Mise en ligne Novembre 2006) Commercialisation de matériels d’interception de communications électroniques (Mise en ligne Septembre 2006)

Actualités, Informatique, Informatique

Révision du règlement d’exemption sur les accords verticaux

/

La Commission européenne a lancé, cet été, une consultation publique, ouverte jusqu’au 28 septembre 2009, sur la révision du règlement d’exemption sur les accords verticaux. Ce règlement, qui expire le 31 mai 2010, crée une zone de sécurité, en fixant les conditions dans lesquelles les accords de distribution échappent à la prohibition des ententes anticoncurrentielles.

Gouvernance, Informatique, Informatique

La directive protection des programmes d’ordinateur

/

Expertises judiciaires ICE et Audit Gouvernance des systèmes d’information La directive protection des programmes d’ordinateur Un objectif affiché de « clarté et de rationalité » La directive européenne du 23 avril 2009 relative à la protection des programmes d’ordinateur remplace la directive du 14 mai 1991 (1) qui avait déjà été transposée dans le Code de la propriété intellectuelle (2). A première lecture, il y a peu de modification. Le nouveau texte réaffirme le principe d’une protection du logiciel par le droit d’auteur en tant qu’œuvre littéraire tout comme l’affirmait déjà la directive de 1991. Elle ne modifie pas la définition même du « programme d’ordinateur », terme qui recouvre « les programmes sous quelque forme que ce soit », ainsi que « les travaux préparatoires de conception aboutissant au développement d’un programme, à condition qu’ils soient de nature à permettre la réalisation d’un programme d’ordinateur à un stade ultérieur ». On note toutefois certains changement de terminologie. Ainsi le terme « déroulement » a été remplacé par « exécution » et ceux d’ « acquéreur légal » par « acquéreur légitime ». Les actes soumis à restriction et leurs exceptions sont aussi intégralement repris de la directive remplacée. Le principe de l’autorisation « d’une » copie de sauvegarde qui a pu faire couler tant d’encre sur la question des copies illicites reste donc inchangé. Sauf disposition contractuelle différente qu’il conviendra de prévoir, l’exploitant d’un progiciel ne devrait pas pouvoir réaliser de multiples copies de sauvegarde, ce qui est contraire à la pratique et aux exigences de sécurité et de continuité d’exploitation qui commandent la définition et la mise en place d’un plan de sauvegarde total des serveurs sur de multiples supports. L’enjeux : L’adoption de cette directive est motivée par un objectif de « clarté et de rationalité », le contenu de la directive de 1991 ayant été modifié en 1993 par la directive 93/98/CEE sur l’harmonisation de la durée de protection du droit d’auteur et de certains droits voisins. Peu de changement au cadre juridique La directive en vigueur depuis le 25 mai 2009, apporte relativement peu de changement au cadre juridique de la protection des programmes d’ordinateurs. Par ailleurs, elle ne prévoit toujours pas les modalités d’accès aux codes sources pour exercer les droits conférés à l’acquéreur légitime, tels que par exemple, la réalisation de l’interopérabilité de programmes. Enfin, la directive ne contient plus aucune disposition sur la durée de protection, qui couvre donc soixante-dix ans à compter du 1er janvier de l’année civile suivant l’année de la publication du programme, conformément à la directive du 29 octobre 1993 relative à l’harmonisation de la durée de protection du droit d’auteur et de certains droits voisins. Rappelons que la date de publication est déterminée par tout mode de preuve de droit commun, et notamment par le dépôt légal. Les conseils : Comme par le passé, il demeure très important d’apporter des précisions dans les contrats sur les modalités de corrections des erreurs. (1) Directive 2009/24/CE du 23-4-2009. (2) Art. L. 122-6 et s. (Mise en ligne Novembre 2009) Paru dans la JTIT n°94/2009 Autres brèves La responsabilité du DSI en matière de SI : les mesures de préventions à prendre (Mise en ligne Mars 2006) Gérer la convergence des systèmes d’information (Mise en ligne Juin 2006 ) Renforcer sa politique de sécurité : une préocupation constante de l’entreprise (Mise en ligne Mars 2006) Les implications de la SOX sur les SI (Mise en ligne Juillet 2002)

Informatique, Informatique, Sécurité des SI

Les 10 conseils de la Cnil pour sécuriser son système d’information

/

Les 10 conseils de la Cnil pour sécuriser son système d’information La Cnil a publié sur son site web « 10 conseils pour sécuriser votre système d’information », le 12 octobre dernier. Ces 10 conseils s’inscrivent naturellement dans le cadre de la loi Informatique et libertés. Pour mémoire, cette loi organise la gestion des données personnelles autour de quatre axes :    les formalités préalables (déclarations normales, simplifiées, autorisations,…) ; le droit des personnes (droit à l’information, droit d’accès, droit de modification,…) ; les flux transfrontières de données ; la sécurité des traitements et de leurs données. Ce dernier axe relatif à la sécurité, bien trop souvent ignoré, repose essentiellement sur les articles 34 et 35 de la loi Informatique et libertés. L’article 34 de la loi dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. […] ». Pour sa part, l’article 35 vise les cas où le responsable du traitement sous-traite tout ou partie de ses traitements automatisés de données auprès d’un tiers et définit les relations entre le sous-traitant et le responsable du traitement, pour ce qui concerne la sécurité. Ces 10 conseils s’intègrent donc dans le cadre des conditions d’application des articles 34 et 35 de la loi. Si la Commission s’est déjà prononcée de très nombreuses fois sur les questions de sécurité, lorsqu’un dossier ou un projet lui est soumis, c’est en revanche la première fois ou l’une des premières fois que la Commission se penche sur cette question en l’abordant selon une approche générale. S’agissant du statut du document lui-même, il s’agit de « conseils » et non d’une « délibération ». Ces « conseils » ne sont pas liants au plan juridique, mais leur portée ne sauraient être pour autant sous-estimée. A tout le moins, ces conseils s’intègrent dans ce qu’on pourrait qualifier de référentiel de « bonnes pratiques ». Ainsi, les entreprises, sans y être contraintes sont vivement invitées à suivre ces conseils de la Cnil, gardienne de la loi Informatique et libertés.   Sans entrer dans le détail de ces dix conseils, il convient de relever que le conseil n°2 « Concevoir une procédure de création et de suppression des comptes utilisateurs » doit être mis en place au sein des entreprise, mais également intégré dans la charte de l’utilisation des systèmes d’information. S’agissant des conseils n°9 et 10, respectivement « Anticiper et formaliser une politique de sécurité du système d’information » et « Sensibiliser les utilisateurs aux risques informatiques et à la loi informatique et libertés », ils imposent à l’entreprise de dépasser le stade de la simple charte et de passer à celui d’une véritable gouvernance de la sécurité au sein de laquelle on retrouvera la charte des personnels pour l’utilisation des systèmes d’information mais aussi la charte « administrateur», la charte « accès », ou encore la charte « Informatique et libertés ». De même que le conseil n°10 impose également le passage d’une gouvernance statique à une gouvernance dynamique à travers des plans de formations ou de sensibilisation encore bien peu nombreux dans les entreprises. Les 10 conseils de la Cnil. (Mise en ligne Novembre 2009)

Retour en haut