1/ / Définition juridique du cyberespace :
Au préalable, sous l’article 1, la loi du 23 février 2018 (transposition de la directive UE NIS) définit réseau et système d'information :
« 1° Tout réseau de communications électroniques tel que défini au 2° de l'article L. 32 du code des postes et des communications électroniques ;
2° Tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques ;
3° Les données numériques stockées, traitées, récupérées ou transmises par les éléments mentionnés aux 1° et 2° du présent article en vue de leur fonctionnement, utilisation, protection et maintenance. »
Ce faisant, l’objectif affirmé de la loi est d’assurer la sécurité des réseaux et systèmes d'information en renforçant leur capacité à résister, à un niveau de confiance donné, à :
« des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles. »
C’est pourquoi, ce préalable permet de réaliser que la sécurité du cyberespace ne repose pas seulement sur la défense des systèmes d’information, mais englobe également la protection et la gestion des infrastructures matérielles. Ainsi, la sécurité numérique ne se limite par à un monde dématérialisé comme on pourrait naïvement le croire, mais doit intégrer le souci d’assurer la sécurité des supports matériels, réseaux, câbles, etc. soit contre les actes d’intrusion, de sabotage, mais en prenant soin d’inclure également les risques environnementaux et naturels, juridiques, technologiques, etc.
2/ Le corpus du droit de la cybersécurité et des cyberatteintes :
L’adoption de la stratégie européenne de cybersécurité le 7 février 2013 et la directive NIS (juillet 2016) ont posé les bases d’une prise de conscience politique et d’une responsabilité partagée de la cybermenace en Europe. Ce faisant, les institutions ont contribué à definir juridiquement les cybermenaces.
Ainsi, la directive 2013/40/CE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information incriminait de nouvelles formes de cyberattaques constituées par :
Pour la France, il s’agissait d’intégrer ces obligations affectant les acteurs de la filière numérique destinées à se superposer avec le régime des opérateurs d’importance vitale (OIV) institué en 2013 (LPM, Code de la défense).
S’agissant des atteintes aux systèmes d’information, le règlement du 17 mai 2019 (cybersecurity act) mentionne notamment les atteintes visant :
L’article 2 du règlement énonce les critères d’intensité des cyberattaques en regard de l’ampleur, de la portée et de la gravité des conséquences, notamment économiques, du nombre de personnes morales et physiques affectées, du nombre d’Etats touchés, du volume de données visé et la sensibilité de ces données.
3/ La classification/protection juridique des données :
Toutes les données n’ont pas la même valeur. En vue d’assurer une bonne protection, cet agrégat doit faire l’objet d’un travail préalable de cartographie, d’identification et de classification afin de déterminer les priorités et définir les mesures de sécurité associées.
Nous recensons ici plusieurs catégories de régimes de protection légale des données selon leur nature et/ou valeur essentielle :
4/ La répression des cyberattaques
La protection pénale des données à caractère personnel se traduit pas l’atteinte à la vie privée, telle que définie par l’article 226-16 du Code pénal :
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2° du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
En matière de répression des cyberattaques, leurs actions et sanctions sont intégrée sous les articles 323-1 et suivants du Code pénal, (ex loi « Godfrain » du 5 juillet 1988), qui répriment l’intrusion, la tentative d’intrusion, le maintien et la modification d’un système de traitement automatisé de données qu’elles soient personnelles ou non.
Aux termes de l’article 323-1 du Code pénal : :
« Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30.000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45.000 euros d'amende ».
« L'accès frauduleux, au sens de l'article 323-1 du nouveau Code pénal, vise tous les modes de pénétrations irréguliers d'un système, que l'accédant travaille déjà sur la même machine mais à un autre système, qu'il procède à distance ou qu'il se branche sur une ligne de télécommunication. »[1]
La loi ne distingue pas selon les procédés d'accès. Il peut s'agir, par exemple, d'une adresse Internet obtenue par fraude, du forcement d'un dispositif de sécurité ou de l'utilisation sans droit d'un code d'accès obtenu par phishing.
Par ailleurs, le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données (Ddos, cyberpiratage) est puni de cinq ans d'emprisonnement et de 75.000 euros d'amende.
Enfin, le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75.000 euros d'amende. En fin de compte, le législateur a voulu incriminer par cet artifice les modifications de données, c'est-à-dire les modifications des informations qu'elles contiennent.
Plus largement, ce texte sanctionne le fait de pénétrer dans un système, un programme ou un matériel informatique, de s’y maintenir, et de le modifier ou de le « pirater ». L’avantage de cette disposition est d’être suffisamment large et évolutive pour faire condamner les actes de cybercriminalité et en ce sens les tribunaux l’appliquent sans ambages. C’est pourquoi ce texte a le véritable mérite de répondre sans détour aux besoins de protection des données de l’entreprise contre les atteintes extérieures.
S’agissant de l’atteinte aux données, tel que modifié par la loi du 13 novembre 2014 (article 16), l’article 323-3 du Code pénal est devenu :
Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende.
Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à sept ans d'emprisonnement et à 300 000 € d'amende.
Ce faisant, le législateur a voulu intégrer la notion d’extraction de données informatiques, afin de constituer légalement le vol de données [2] que la proposition de loi n°3985 du 22 novembre 2011 visant à sanctionner le violation du secret des affaires [3] n’avait pas pu pallier, faute d’avoir notamment tenu compte de l’avis n°384.892 du Conseil d’Etat du 31 mars 2011.
La seule limite à ce texte est qu’il ne vise que des données informatiques et, si la majorité des secrets d’affaires sont dématérialisés, la captation du savoir-faire, l’enregistrement photographique de prototypes, … échappent néanmoins encore à cette sanction.
Mais dès lors que le cyberespace intègre des dimensions physiques, la répression des cyberatteintes ne se limite pas aux textes ci-dessus. Dans sa rédaction de 1992, le Code pénal englobe nombre d’atteintes –non spécifiquement cyber – qui peuvent néanmoins trouver à s’appliquer au cyberespace :
6 / Les bonnes pratiques de sécurité numérique
En raison des risques et évolutions ci-dessus relevées, il convient donc d’adopter des règles d’hygiène numérique destinées à anticiper et écarter les risques liés à l’usage des outils informatiques :
SENSIBILISER : sécuriser, c’est d’abord diffuser les bonnes pratiques de précaution à l’attention de toutes les forces vives de l’entité. Une formation adaptée et continue doit être réalisée en interne pour étendre à tous les collaborateurs le souci d’agir au quotidien conformément aux règles de sécurité en usage et leur permettre d’avoir conscience des menaces pour les activités professionnelles.
SE CONFORMER à la règlementation en vigueur : l’effort de conformité doit s’appliquer de manière à être toujours au niveau requis de protection numérique érigé par les textes (RGPD notamment) et les règles professionnelles. Une veille règlementaire et un dialogue permanent avec les institutions (cybermalveillance, ANSSI) doivent permettre de conserver un niveau élevé de conformité.
ORGANISER la protection physique des installations et des infrastructures : la sécurité des réseaux et des informations n’exclue pas la prise en compte des sinistres. Une politique de sécurité robuste des supports physiques et logiques doit être intégrée dans le cadre général de la protection des données professionnelles.
PRATIQUER un examen régulier des risques et des vulnérabilités : un audit de sécurité numérique sera régulièrement effectué de manière à mettre en œuvre une adaptation nécessaire et évolutive en intégrant des mises à jour nécessaires pour palier les failles de sécurité recensées.
INTEGRER une politique proactive de résilience numérique : la politique de sûreté numérique doit intégrer une procédure de gestion de crise pour savoir réagir aux cyber attaques de toute nature et être en mesure de restituer dans un temps donné toutes les données présentes antérieurement au sein de la structure (sauvegardes, plan de continuité d’activité, plan de reprises d’activité. Etc).
RAPPELER les règles essentielles de travail et connexion à distance et/ou en déplacement : éviter l’usage des plateformes de partage et les moyens de connexion publics. Ne transférer que les fichiers utiles. Faire œuvre de pédagogie quant à l’usage des outils numériques mobiles contre le vol des supports clés UBS, portables, la captation technique des données, …
INTEGRER des systèmes d’authentification forte : recourir au chiffrement des données sensibles. Assurer une mise à niveau suffisante des codes d’accès et mots de passe. Définir et mettre en œuvre une politique d’identité numérique avec les collaborateurs clefs.
Par Olivier de MAISON ROUGE
Avocat, Docteur en droit
Dernier ouvrage paru : « Gagner la guerre économique. Plaidoyer pour une souveraineté économique et une indépendance stratégique » VA Editions, 2022
Au préalable, sous l’article 1, la loi du 23 février 2018 (transposition de la directive UE NIS) définit réseau et système d'information :
« 1° Tout réseau de communications électroniques tel que défini au 2° de l'article L. 32 du code des postes et des communications électroniques ;
2° Tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques ;
3° Les données numériques stockées, traitées, récupérées ou transmises par les éléments mentionnés aux 1° et 2° du présent article en vue de leur fonctionnement, utilisation, protection et maintenance. »
Ce faisant, l’objectif affirmé de la loi est d’assurer la sécurité des réseaux et systèmes d'information en renforçant leur capacité à résister, à un niveau de confiance donné, à :
« des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles. »
C’est pourquoi, ce préalable permet de réaliser que la sécurité du cyberespace ne repose pas seulement sur la défense des systèmes d’information, mais englobe également la protection et la gestion des infrastructures matérielles. Ainsi, la sécurité numérique ne se limite par à un monde dématérialisé comme on pourrait naïvement le croire, mais doit intégrer le souci d’assurer la sécurité des supports matériels, réseaux, câbles, etc. soit contre les actes d’intrusion, de sabotage, mais en prenant soin d’inclure également les risques environnementaux et naturels, juridiques, technologiques, etc.
2/ Le corpus du droit de la cybersécurité et des cyberatteintes :
L’adoption de la stratégie européenne de cybersécurité le 7 février 2013 et la directive NIS (juillet 2016) ont posé les bases d’une prise de conscience politique et d’une responsabilité partagée de la cybermenace en Europe. Ce faisant, les institutions ont contribué à definir juridiquement les cybermenaces.
Ainsi, la directive 2013/40/CE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information incriminait de nouvelles formes de cyberattaques constituées par :
- l’accès illicite à des systèmes d’information ;
- l’atteinte à l’intégrité d’un système ;
- l’atteinte à l’intégrité des données ;
- les interceptions illégales de données ;
- la mise à disposition d’outils utilisés pour commettre des infractions.
Pour la France, il s’agissait d’intégrer ces obligations affectant les acteurs de la filière numérique destinées à se superposer avec le régime des opérateurs d’importance vitale (OIV) institué en 2013 (LPM, Code de la défense).
S’agissant des atteintes aux systèmes d’information, le règlement du 17 mai 2019 (cybersecurity act) mentionne notamment les atteintes visant :
- Les infrastructures critiques (câbles sous-marins, satellites, etc) indispensables à la société, à la santé, à la sûreté à la sécurité et au bien-être économique ou social des citoyens européens ;
- Les services nécessaires au maintien des mêmes fonctions essentielles ;
- Les fonctions critiques des Etats membres en matière de défense, gouvernance des institutions, sécurité intérieure, relations extérieures ;
- Les services et structures d’hébergement de données classifiées.
L’article 2 du règlement énonce les critères d’intensité des cyberattaques en regard de l’ampleur, de la portée et de la gravité des conséquences, notamment économiques, du nombre de personnes morales et physiques affectées, du nombre d’Etats touchés, du volume de données visé et la sensibilité de ces données.
3/ La classification/protection juridique des données :
Toutes les données n’ont pas la même valeur. En vue d’assurer une bonne protection, cet agrégat doit faire l’objet d’un travail préalable de cartographie, d’identification et de classification afin de déterminer les priorités et définir les mesures de sécurité associées.
Nous recensons ici plusieurs catégories de régimes de protection légale des données selon leur nature et/ou valeur essentielle :
| Désignation | Famille juridique | Référence légale |
| Données de nature militaire / diplomatique / nucléaire / spatial | Secret de la défense nationale | L. 2311-1 du Code de la défense ; Article 413-9 du Code pénal ; Instruction générale interministérielle (IGI) 1300 du 30 novembre 2011 sur la protection du secret de la défense nationale |
| Informations personnelles | Données à caractère personnel | Loi n°78-17 du 6 janvier 1978 Informatique et libertés - RGPD |
| Informations médicales relatives au patient | Données sensibles de santé à caractère personnel | Code de la santé publique – RGPD – secret médical |
| Données de recherche, données stratégiques et techniques | Informations relevant du potentiel technique et scientifique de la Nation présentes au sein des Zones à Régime Restrictifs (ZRR) | Décret n°2011-1425 du 2 novembre 2011, arrêté du 3 juillet 2012 et la circulaire n° 3415/SGDSN/AIST/PST du 7 novembre 2012 |
| Secret des affaires, savoir-faire, données confidentielles | Informations économiques non divulguées | Directive UE n°2016/943 du 8 juin 2016 (article 39.2 du Traité ADPIC du 14 octobre 1994) – article L. 151-1 du Code de commerce |
| Données stratégiques sur support numériques | Informations sensibles des Opérateurs d’importance vitale (OIV) | Article R. 1332-1 et s. du Code de la défense en application de l’article 22 de la Loi de Programmation militaire (LPM) n°2013-1168 du 18 décembre 2013 |
| Données numériques « essentielles » | Données traitées par les Opérateurs de services essentiels (OSE) | la Directive (UE) 2016/1148 du 6 juillet 2016 dite NIS |
| Informations autres que personnelles | Données non-personnelles | Directive UE sur les données non personnelles – Data Act |
4/ La répression des cyberattaques
La protection pénale des données à caractère personnel se traduit pas l’atteinte à la vie privée, telle que définie par l’article 226-16 du Code pénal :
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2° du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
En matière de répression des cyberattaques, leurs actions et sanctions sont intégrée sous les articles 323-1 et suivants du Code pénal, (ex loi « Godfrain » du 5 juillet 1988), qui répriment l’intrusion, la tentative d’intrusion, le maintien et la modification d’un système de traitement automatisé de données qu’elles soient personnelles ou non.
Aux termes de l’article 323-1 du Code pénal : :
« Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30.000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45.000 euros d'amende ».
« L'accès frauduleux, au sens de l'article 323-1 du nouveau Code pénal, vise tous les modes de pénétrations irréguliers d'un système, que l'accédant travaille déjà sur la même machine mais à un autre système, qu'il procède à distance ou qu'il se branche sur une ligne de télécommunication. »[1]
La loi ne distingue pas selon les procédés d'accès. Il peut s'agir, par exemple, d'une adresse Internet obtenue par fraude, du forcement d'un dispositif de sécurité ou de l'utilisation sans droit d'un code d'accès obtenu par phishing.
Par ailleurs, le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données (Ddos, cyberpiratage) est puni de cinq ans d'emprisonnement et de 75.000 euros d'amende.
Enfin, le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75.000 euros d'amende. En fin de compte, le législateur a voulu incriminer par cet artifice les modifications de données, c'est-à-dire les modifications des informations qu'elles contiennent.
Plus largement, ce texte sanctionne le fait de pénétrer dans un système, un programme ou un matériel informatique, de s’y maintenir, et de le modifier ou de le « pirater ». L’avantage de cette disposition est d’être suffisamment large et évolutive pour faire condamner les actes de cybercriminalité et en ce sens les tribunaux l’appliquent sans ambages. C’est pourquoi ce texte a le véritable mérite de répondre sans détour aux besoins de protection des données de l’entreprise contre les atteintes extérieures.
S’agissant de l’atteinte aux données, tel que modifié par la loi du 13 novembre 2014 (article 16), l’article 323-3 du Code pénal est devenu :
Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende.
Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à sept ans d'emprisonnement et à 300 000 € d'amende.
Ce faisant, le législateur a voulu intégrer la notion d’extraction de données informatiques, afin de constituer légalement le vol de données [2] que la proposition de loi n°3985 du 22 novembre 2011 visant à sanctionner le violation du secret des affaires [3] n’avait pas pu pallier, faute d’avoir notamment tenu compte de l’avis n°384.892 du Conseil d’Etat du 31 mars 2011.
La seule limite à ce texte est qu’il ne vise que des données informatiques et, si la majorité des secrets d’affaires sont dématérialisés, la captation du savoir-faire, l’enregistrement photographique de prototypes, … échappent néanmoins encore à cette sanction.
Mais dès lors que le cyberespace intègre des dimensions physiques, la répression des cyberatteintes ne se limite pas aux textes ci-dessus. Dans sa rédaction de 1992, le Code pénal englobe nombre d’atteintes –non spécifiquement cyber – qui peuvent néanmoins trouver à s’appliquer au cyberespace :
| Agissement répréhensible | Texte légal | Catégorie juridique | Sanction maximum hors infraction aggravée |
| S’approprier les données stratégiques d’un tiers | article 311-1 et suivants du Code pénal | Vol | 45.000 € et 3 ans d’emprisonnement |
| Utiliser un faux nom ou une fausse qualité, user de manœuvres frauduleuses pour se faire remettre des informations | article 313-1 du Code pénal | Escroquerie | 375.000 € et 5 ans d’emprisonnement |
| User de violence ou de contrainte pour obtenir la révélation d’un code | article 226-16 et suivants du Code pénal | Extorsion | 100.000 € et 7 ans d’emprisonnement |
| Obtenir sous la menace la révélation d’un secret - ransomware | article 312-10 et suivants du Code pénal | Chantage | 75.000 € et 5 ans d’emprisonnement |
| Capter, enregistrer ou transmettre des échanges oraux | Article 226-1 et suivants du Code pénal | Violation de la vie privée | 45.000 € et 1 an d’emprisonnement |
| Se présenter, notamment sur Internet, sous une fausse identité ou sous une identité usurpée | Article 226-4-1 du Code pénal | Usurpation d’identité | 15.000 € et 1 an d’emprisonnement |
| Intercepter ou détourner des correspondances et en prendre frauduleusement connaissance. Réaliser des écoutes illégales | article 226-15 du Code pénal | Violation du secret de la correspondance [4] | 45.000 € et 1 an d’emprisonnement |
| Révéler une information confidentielle détenue à titre professionnel | article 226-13 du Code pénal | Violation du secret professionnel | 15.000 € et 1 an d’emprisonnement |
| Détourner des informations et/ou données au profit d’un tiers | Article 314-1 et suivants du Code pénal | Abus de confiance | 375.000 € et 3 ans d’emprisonnement |
| Le traitement frauduleux de données personnelles | Article 226-16 et suivants du Code pénal | Atteinte aux droits de la personne | 300.000 € et 5 ans d’emprisonnement |
| Pénétrer frauduleusement dans un système informatique | Article 323-1 du Code pénal | Intrusion informatique | 30.000 € et 2 ans d’emprisonnement |
| Introduire de fausses données dans un système informatique, extraction, reproduction | Article 323-3 du Code pénal | Piratage informatique (hacking) | 75.000 € et 5 ans d’emprisonnement |
| Extraire, détenir, reproduire, transmettre des données | Article 323-3 du Code pénal | « vol » de données | 75.000 € et 5 ans d’emprisonnement |
6 / Les bonnes pratiques de sécurité numérique
En raison des risques et évolutions ci-dessus relevées, il convient donc d’adopter des règles d’hygiène numérique destinées à anticiper et écarter les risques liés à l’usage des outils informatiques :
SENSIBILISER : sécuriser, c’est d’abord diffuser les bonnes pratiques de précaution à l’attention de toutes les forces vives de l’entité. Une formation adaptée et continue doit être réalisée en interne pour étendre à tous les collaborateurs le souci d’agir au quotidien conformément aux règles de sécurité en usage et leur permettre d’avoir conscience des menaces pour les activités professionnelles.
SE CONFORMER à la règlementation en vigueur : l’effort de conformité doit s’appliquer de manière à être toujours au niveau requis de protection numérique érigé par les textes (RGPD notamment) et les règles professionnelles. Une veille règlementaire et un dialogue permanent avec les institutions (cybermalveillance, ANSSI) doivent permettre de conserver un niveau élevé de conformité.
ORGANISER la protection physique des installations et des infrastructures : la sécurité des réseaux et des informations n’exclue pas la prise en compte des sinistres. Une politique de sécurité robuste des supports physiques et logiques doit être intégrée dans le cadre général de la protection des données professionnelles.
PRATIQUER un examen régulier des risques et des vulnérabilités : un audit de sécurité numérique sera régulièrement effectué de manière à mettre en œuvre une adaptation nécessaire et évolutive en intégrant des mises à jour nécessaires pour palier les failles de sécurité recensées.
INTEGRER une politique proactive de résilience numérique : la politique de sûreté numérique doit intégrer une procédure de gestion de crise pour savoir réagir aux cyber attaques de toute nature et être en mesure de restituer dans un temps donné toutes les données présentes antérieurement au sein de la structure (sauvegardes, plan de continuité d’activité, plan de reprises d’activité. Etc).
RAPPELER les règles essentielles de travail et connexion à distance et/ou en déplacement : éviter l’usage des plateformes de partage et les moyens de connexion publics. Ne transférer que les fichiers utiles. Faire œuvre de pédagogie quant à l’usage des outils numériques mobiles contre le vol des supports clés UBS, portables, la captation technique des données, …
INTEGRER des systèmes d’authentification forte : recourir au chiffrement des données sensibles. Assurer une mise à niveau suffisante des codes d’accès et mots de passe. Définir et mettre en œuvre une politique d’identité numérique avec les collaborateurs clefs.
Par Olivier de MAISON ROUGE
Avocat, Docteur en droit
Dernier ouvrage paru : « Gagner la guerre économique. Plaidoyer pour une souveraineté économique et une indépendance stratégique » VA Editions, 2022
[1] CA Paris, 11e ch., 5 avr. 1994, LPA 1995, no 80, p. 13, obs. Alvarez V., JCP E 1995, I, no 461, obs. Vivant M. et Le Stanc C., D. 1994, I.R., p. 130
[2] VADILLO F. et CHAUVIN E., « Quand la lutte antiterroriste fait évoluer la notion de vol : les modifications de l’article 323-3 du code pénal introduites par l’article 16 de la loi du 13 novembre 2014 », Gaz. Pal., 16 avr. 2015, n°106
[3] Adopté en première lecture par l’Assemblée Nationale le 23 janvier 2012
[4] Dans l’affaire Bettencourt, il apparaît que le majordome aurait violé cette règle en procédant à l’enregistrement illégal d’échanges téléphoniques entre la milliardaire et son gestionnaire de patrimoine.
Inscription Newsletter
