ebook img

Aide-mémoire de droit à l'usage des responsables informatique PDF

222 Pages·2012·20.194 MB·French
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Aide-mémoire de droit à l'usage des responsables informatique

AIDE-MÉMOIRE DROIT DE À L'USAGE DES RESPONSABLES INFORMATIQUE Isabelle Renard lwocot œsociée du Cabinet Racine Jean-Marc Rietsch Président de Fed/SA DUNOD Toutes les marques citées dans cet ouvrage sont des marques déposées par leurs propriétaires respectifs. La dématique® correspond à l'action de dématérialiser au sens large, elle touche à la fois la numérisation de documents papiers, la dématérialisation des échanges et la dématérialisation des processus en y incluant la composante légale (source : www.fedisa.eu). Maquette de couverture : Mateo © Dunod, Paris, 2012 ISBN 978-2-10-057946-4 1,,: Cod. do lo prop1ië;é îrùelloch.lolfc n'QUIQrisonl, OU)( lc1m,q$ dct l'ortiçlct L 122·5, 2" et 3° ol, d'u~ port, que 1M otCOf)iM ou 11!ptodudions )lf'.cl~menl réservées O l'usage ptfYé du copiste et non de<slinêe$ 6 une uh1isotion co!leciive • et, <fovtre po,-t, que 1$$ onot)'Mn et 1$$ court1» cilO'lions dons vn 001d 'e1«1mple et d'illufflotion, < tou~ repnhenlolion ou rcp,oduclioo mtégro!c OIJ porliellc k>itc son:s le co,uen1emen1 de l'auteur ou de ses oyonli ci-oil ou oyonls couse esl iliciu, • lort, L 122-41, Cette rcpnh,enlotion ou reproduction, po1 quelque f)focedê que ce soit, conùîlue, rot.1 dor.c ut1e coo1te.foÇOt1 sol'ICIIOf'IMe por les onlc~ L 335-2 et survcu\11 du Code de lo p,opriét,e inlelleCJvelle. Table des matières Avant-propos.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . KI. Chapitre 1 - RS1 - De quoi êtes-vous responsables ? . . . . . . . . . . . . J_ l.l Quel~ sontles risques pou ries RSI 1. . . . . . . . . . . . . . . . . . . . . . . . J_ 1.2 Le contexte de la mise en œuvre de la responsabilité du RSI.. l 1. 2.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . l 1. 2.2 La res/X)nsabilité civile................................. l 1. 2.3 La res/X)nsabilité pénale................................ .§. 1. 2.4 Le préjudice subi fXtr l'entreprise du fait de son SI.......... .Ll. l.3 Recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . li Chapitre 2 - Le patrimoine incorporel de l'entreprise . . . . . . . . . . . li 2. l Les enjeux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . li 2.2 Le contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ll 2.2.1 l.aprorecrû:m du logiciel................................ ll 2 .2.2 La prorecrû:m des créations intellectuelles (hors logiciel) . . . . . 24 EJ ------- Aide-mémoire de droit O fusoge des responsables informatique 2.2.3 La protection des bases de données ...................... . 2.2.4 Les activités de recherche - le savoir-fa.ire ................ . 2.2.5 La protection technique des données du patrimoine informationnel ou • data leak protection » ............... . 23 Recommandations.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Jl Chapitre 3 -Téléchargements illicites et loi Hadopi............. 39 3.1 Lesenjeux dela loi Hadopi pour l'entreprise................ 39 3.2 Le contexte............................................. .1Q 3.2.1 Qu'est-ce que l'Hadopi ' ............................. . 3.2.2 La loi Hadopi ....................................... . 3.2.3 Les obligations de l'entreprise en tant que titulaire de l'acc~s Internet ............................................ . il 3.2.4 Les applications judidaires de la loi Hadopi en entreprise ... . 43 33 Recommandations....................................... 43 3.3.1 Se munir des moyens techniques de prévention ........... . 3.3.2 Prévoir la mise à jour de la déclaration CNI L ............ . 3.3.3 Mettre à jour ou élaborer la charte informatique .......... . Chapitre 4 - Gérer les intervenants sur le SI . . . . . . . . . . . . . . . . . . . 4 7 4.1 Les enjeux............................................... 47 4. 1. 1 Éditeurs et prestata.ires.. .. .. .. . .. .. . .. .. .. . .. .. .. .. . .. . 47 4.1 .2 Fa.ire la différence entre les sa.lariés de l'entreprise et les autres inter,.,mants . .. .. . .. .. .. . .. .. . .. .. .. .. . .. .. . .. .. .. . .. 49 4.1 .3 Avantages et incon,>énients des contrats types............. .iQ. 4.2 Le contexte............................................. 52 4.2 .1 Les contrats informatiques : ce qu'il faut savoir.. .. . .. .. . .. il 4. 2. 2 Contrats de projet et relations sur le long terme . .. .. . .. .. . . M 4.2.3 Les pi~ges des contrats de • régie»...................... 68 4. 2 .4 La sous-traitance . .. .. . .. .. .. . .. .. . .. .. .. . .. .. .. . .. .. . 70 -------------------8 Tob/edesmotii!res 4 .2.5 Peut-on se débarrasser du jour au lendemain d'un prestataire ! 72 4.2.6 Les contrats internationaux............................. L1 4 .2.7 Les contrats peuvent-ils 2tre conclus par voie électronique '. . L1 4.3 Recommandations....................................... 74 Chapitre 5 - Encadrer les pratiques des salariés. . . . . . . . . . . . . . . . . J.]_ 5. l Les enjeux .. .. .. . .. .. .. . .. .. .. .. . .. .. . .. .. . .. .. .. .. . .. .. . J.]_ 5.2 Le contexte............................................. 12. 5 .2.1 Les précautions liées à la protection des données personnelles. 79 5 .2.2 Le cas particulier des acrjvités illégales.................... fil. 5 .2.3 Petit aperçu de jurisprudence........................... fil 5 .2.4 La charte informatique................................ 85 5.3 Recommandations....................................... M Chapitre 6 - Les données personnelles. .. . .. .. . .. .. . .. .. .. .. . .. 87 6.1 Les enjeux.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 6.2 Le contexte .. .. . .. .. . .. .. .. .. . .. .. . .. .. .. . .. .. .. . .. .. .. . 88 6.2.1 L'environnement juridique généra.! ...................... . 6.2.2 L'obligaûon de sécurité ................................ . 6. 2.3 Accès à la messagerie et aux fichiers des salariés : où en est-on'............................................. 2i 6.2.4 Le cas particulier de l'acc~s aux dossiers et mails du salarié ayant quitté l'entreprise ou décédé....................... .22. 6.2.5 Les dispositifs d:alerte professionnelle de dénonciation ou • ,uhist.leblo,uing » • .. • .. .. .. • .. .. • .. .. .. .. • .. .. • .. .. .. fil 6.2.6 Les transferts internationaux de données personnelles. . . . . . . .!Qi 6.2.7 La position de laCNlL en mati~re d'archivage numérique... .!Ql 6.3 Recommandations .. . .. .. . .. .. . .. .. .. . .. .. .. . .. .. .. . .. .. . fil 8 ------- Aide-mémoire de droit O fusoge des responsables informatique Chapitre 7 - Conservation et processus numériques. . . . . . . . . . . . . fil 7.1 Lcsenjeux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . fil 7.2 Le contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . fil 7.2.1 Les aspects juridiques.................................. fil 7.2.2 Dématique.. .. . .. .. . .. .. .. . .. .. .. . .. .. .. . .. .. . .. .. .. . fil 7.2 .3 Archivage électronique, importance du cycle de vie des documents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . fil 7.3 Recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . fil Chapitre 8 - L'impact des comptabilités informatisées sur le SI . . fil 8. l Lcscnj eux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . fil m 8.2 l...c contexte ............................................ . 8.2.1 Un cadre réglementaire actualisé depuis 2006 ............ . fil 8.2.2 Établir une carwgraphie des applications.. . . . . . . . . . . . . . . . . .li!. 8.2.3 Les obligations relaûves à la documentation . . . . . . . . . . . . . . . ill 8.2.4 Les obli~tions relatives à l'archivage des documents et données ill 8.2.5 Normes de conservaûon de données comptables ........... . 8.2 .6 Les précautions contractuelles indispensables . . . . . . . . . . . . . . 145 8.2 . 7 La délocalisation ne r~gle pas le problème . . . . . . . . . . . . . . . . . ill 8.2.8 Migration matérielle ou logidelle........................ ill 8.2.9 Impact de la certification NF 203....................... ill 8.2 .10 Les modalités du contrôle de la comptabilité informatisée. .. . .li§. 8.2.11 Les normes IFRS (lntema.tional Finandal Reporting Stantlards)?? . .. . .. .. .. .. . .. .. . .. .. .. . .. .. .. .. . .. .. . .. .li2. 8.3 Recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1iQ Chapitre 9 - Comment faire face aux situations de e-discovery? . fil 9.1 Les enjeux de• e-discovery •.............................. 153 l!] Tobie des motii!res 9.2 Le contexte du • e-discovery • en France................... lli 9.2.1 Le e-discovery US : conséquences en France ............. . 9.2.2 Les ini>estiwitions sur le SI dans le cadre d'une procédure pénale ............................................. . 9 .2.3 Les investiwitions sur le SI dans le cadre d'une procédure civile ~ 9.2.4 Les sa.isies dans le cadre des enqu2tes sur les pratiques anticoncurrentielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . J.QQ. 9 .2.5 Les enqu2tes de l' AMF (Autorité des marchés financiers) . . . .!fil. 9.3 Recommandations pour se préparer au e-discovery. . . . . . . . . . ill 9.3.1 Quelle inforrnatfon conserver!.......................... ill 9.3.2 Pendantcornbien de ternps conse,wr ! . . . . . . . . . . . . . . . . . . . .!fil 9. 3. 3 Cornrnem conserver ' . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IB 9.3.4 Cornrnem supprimer'................................. IB 9.4 Un exemple vécu de• pré-discovery • ..................... M 9 .5 Recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..!..22. Chapitre 10 - Le cloud computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . fil l O. l Les enjeux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . fil l 0.2 Le contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . fil 10.2.1 Une grande di,,ersité.................................. fil 10.2.2 l.aquestiondelasécurité .............................. fil 10.2 .3 Lirnires à l'utilisatfon du doudcornputing liées au type de données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . fil 10.2 .4 Cloud cornputing et e-discovery.. . . . . . . . . . . . . . . . . . . . . . . . .!1§. 10.2 .5 Les données personnelles dans le cloud.. . . . . . . . . . . . . . . . . . fil 10.2 .6 Le conre,te contractuel du c/oud cornputing. . . . . . . . . . . . . . . Jl.2. 10 . 2. 7 1r npact de la normalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ill 10.2 .8 Peut-on utiliser le doudcornputing pour rnerrre en place un systèrne d'archivage nurnérique ' . . . . . . . . . . . . . . . . . . . . . . . . fil l 0.3 Recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . fil 0 -------- Aide-mémoire de droit O fusoge des responsables informatique Chapitre 11 -Traitement assurantiel : de l'anticipation à la réparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ill l l. l Les fondamentaux de l'assurabilité......................... Jfil l l .2 Le contexte de l'assurance des systèmes d'information en France . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .!fil l l .3 Recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . fil 11 .3.1 Mise en place de programmes d: assurance des systèmes d'information . .. .. . .. .. .. . .. .. . .. .. .. .. . .. .. . .. .. .. . . fil 11 .3.2 Un exemple vécu de sinistre............................ fil 11 .3.3 Quelles couvertures du risque pourra.ient 2rre envisagées pour couvrir le détenteur d'information '...................... fil 11 .3.4 Design des programmes d:assurances..................... 1.22. Glossaire. . .. .. .. .. . .. .. . .. .. .. . .. .. . .. .. .. .. . .. .. . .. .. .. . .. .. 1Ql. Webographie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . lQ.1 Index........................................................ 205 Avant-propos Qu'il soit DS11 ou RSS12, cdui que nous appellerons de façon géné rique respon.~ble de système d'infonnation, ou• RSI » est le gardien de l'information avec un grand « I », puisque cette information est de plus en plus riche et structurante du patrimoine de l'entreprise. Le RSI s'interroge à juste titre sur ses risques et ses responsabilités, et ce d'aut'lnt que son rnétier s'est considérablernent con1plexifié ces dernières années, du fait de plusieurs facteurs. Le premier de ces facteurs est cdui de la multiplication des offres de service externalisées. Le système d'information n'a plus un périmètre fermé et maîtrisable, auquel il suffirait d'ajouter les remparr.~ permetmnt de se protéger des atmques extérieures. Les RSI doivent passer de la gestion de la sécurité à la gestion du risque, et assumer le fait que le risque iéro n'existe pas. Les offres de service externalisées pern-1ettent l'accès à des ressources sophistiquées, ,nais dies complexifient le périmètre fonctionnel du Sy~tème d'information et étendent sa localisation géographique de façon incontrôlable. Vexemple le plus récent en est le cloud dan.~s a version Sa.~S (Sofc,vare as a Service). Le deuxième facteur concerne la multiplication des réglemen tations qui ont un ilnpact sur le systèn1e d'infonnation, et qui ont vocation à réguler un secteur d'activités, une fonction de l'entreprise, 1. Dîrecreur des sysrèmes d'infonnarâon. 2. Responsable de la sécudré des sysrè,nes d'informacâon. El -------- Aide-mémoire de droit O fusoge des responsables informatique ou encore con1n1e récen1n1ent à travers la loi Hadopi, de sanctionner l'entreprise pour des componemems de ses utilisateurs. li est difficile de detnander à un respons.able de systètne d'infonnation, qui souvent n'a aucune fonn.'ltion juridique, de connaître toutes ces régle1nenca .. tions et surtout d'en apprécier l'itnpact. Or, la n1éconnaiss.ance de ces règles peut avoir des conséquences lourdes pour l'entreprise dans des situations de plus en plus fréquemes où le système d'information fait l'objet d'audits et de demandes de production forcée de type discovery. Le troisième facteur est la difficulté à maîtriser tant les utili sateurs du système d'information que ses acteurs. Les utilisateurs peuvent créer de graves do1nnuges aux tiers et à l'entreprise par des comportements inappropriés. Quant aux nombreux sous-traitants et prestataires qui interviennent sur le systèn,e d 'infonnation, que ce soit en achninistration, en tnaintenance applicative ou en développelnent, il, sont liés à l'entreprise par des contrar.s qui sont parfois très peu protecteurs des intérêts de l'entreprise. Objectif et organisation de J'ouvrage ).;objectif que nous nous sommes fixé dans cet ouvrage consiste à préscmer au RSI son environnemem de risque et à lui donner les clés qui lui permettrom de l'évaluer de façon réaliste. Bien gérer le risque, n'est-ce pas déjà bien le connaître ? Les différcnr., chapitres de cet ouvrage peuvent être vus comme des fiches indépendantes dont l'objectif est de décrire les aspecr., de l'état de l'art qui ne som pas strictement technologiques, pour donner au RSI les bases qui lui permettront de se les approprier dans le contexte qui est plus précisérnent le sien, et exercer ainsi son 1nétier de la façon la plus éclairée possible . .À. cecœ fin, nous aborderons tout d'abord la signification juridique du terme «responsabilité•, qui a un sens différent dans le langage couram et dans le langage juridique, et est souvent mal compris et/ou mal inœrprété. Responsabilité pénale, civile, disciplinaire, que risque réellement le responsable du SI ? Nous verrons que le RSI doit de se conduire en « bon père de famille• de sa profession afin de limiter son risque. Cela implique de bien connaître l'environnement légal et réglementaire ayant un irnpact sur le système d'infonnation, ce qui n'est pas une 1nince affaire dans une époque qui légifère et réglemente à tour de bras,

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.