Denaris_0411_Fanti
-
Upload
sebastien-fanti -
Category
Documents
-
view
219 -
download
0
Transcript of Denaris_0411_Fanti
-
8/3/2019 Denaris_0411_Fanti
1/2
28 denaris 04 | 2011
espionnage des donnes
Vol de donnes, perte de conanceMe Sbastien Fanti, avocat et notaire, Expert IT Confdration Suisse
Depuis 2005, les rapports semestriels de la Centrale MELA NI voquent,de manire rcurrente, le vol de donnes. Nonobstant cette tendanceinquitante, la rponse lgale est souvent imparfaite, voire insolite.
Il convient, liminairement, de relever quavant
que le vol de donnes ne survienne, souvent
celui-ci a t prcd dun hacking, soit dun
accs indu un systme informatique.
Le vol de donnes, respectivement linfrac-
tion de soustraction de donnes fait lobjetdun article spcique du Code pnal, larti-
cle 143 qui stipule: Celui qui, dans le dessein
de se procurer ou de procurer un tiers un
enrichissement illgitime, aura soustrait, pour
lui-mme ou pour un tiers, des donnes en-
registres ou transmises lectroniquement
ou selon un mode similaire, qui ne lui taient
pas destines et qui taient spcialement
protges contre tout accs indu de sa part,
sera puni dune peine privative de libert de
cinq ans au plus ou dune peine pcuniaire.
A la premire lecture de la disposition lgale,on peroit la difcult dapplication lie, no-
tamment, aux conditions mises par le lgis-
lateur. Les donnes doivent faire lobjet dune
protection informatique, voire physique, vi-
sant proscrire une soustraction de donnes
diligente de lextrieur (rewall, antivirus,
etc.), mais galement de lintrieur (de la part
de collaborateurs ou de consultants no-
tamment). Une interdiction contractuelle ou
morale daccder aux donnes est donc to-
talement insufsante dans ce dernier cas de
gure.
Une clause dans le contrat de travail
ne suft pas
Ainsi, une clause gurant dans un contrat de
travail et proscrivant aux employs dacc-
der aux donnes qui ne les concernent pas
doit-elle tre concrtise dans les faits par
une barrire informatique et/ou physique. A
dfaut, en cas de soustraction de donnes,
lissue sera dfavorable sur le plan pnal,
tout le moins.
Demeure galement ouverte la question de
savoir si la personne qui procde par ingnie-rie sociale est punissable, ce qui ne semble
pas tre lavis de la majorit de la doctrine.
En sus, cette infraction nest poursuivie que
sur plainte, ce qui signie que le dlai pour
soumettre de tels comportements la justice
pnale est trs bref (3 mois). En cas de doute
sur lexistence dun cas de vol de donnes, il
convient donc de dposer une plainte contre
inconnu pour prserver lensemble de ses
droits.
Moyens lgaux dpasss
En dnitive, les conditions actuelles dappli-
cation de cette disposition lgale sont si
restrictives que nombre de comportements
chappent une sanction pnale qui parat
chacun justie. Ainsi, dans une affaire va-
laisanne, un employ qui avait soustrait les
donnes relatives des abonns un service
de messagerie (login et mot de passe) a-t-il
t acquitt de cette infraction, car aucune
mesure de scurit spcique navait entrav
son accs aux logiciels du back ofce, no-
tamment. Cela nest pas acceptable et le Tri-
bunal la lui-mme dplor en ces termes:On peut sinterroger sur le sens de la pro-
tection restreinte accorde par le lgislateur
dans sa volont de renoncer rprimer ce
En cas de doute sur
lexistence dun cas
de vol de donnes, il
convient de dposer
une plainte contre
inconnu.
i
Stockphoto
-
8/3/2019 Denaris_0411_Fanti
2/2
denaris 04 | 2011 29
qui quivaut un abus de conance au sens
large du terme. Les moyens lgaux mis enuvre, ds 1995, pour lutter contre la crimi-
nalit informatique sont donc non seulement
dpasss au vu de lvolution technologique,
mais galement au vu des comportements
adopts (vol didentit numrique non punis-
sable dans notre pays en vertu dune dispo-
sition topique). Le Code pnal doit donc faire
lobjet dune rvision urgente et les nouveaux
types de dlinquance informatique y tre
sanctionns, par le biais de normes techno-
logiquement neutres permettant une adap-
tation plus rapide dans un domaine o lesrvolutions numriques se succdent la
fulgurance du net.
Conseils pour viter le vol de donnes
Lune des consquences msestimes dun
vol de donnes est celle de la perte de
conance si, daventure, un tel vol devait tre
connu de tiers, voire de clients. La procdure
pnale ne permet pas de rparer le dom-
mage caus limage de lentreprise. Mieux
vaut donc faire appel un professionnel pour
la gestion de la communication de crise.
Auparavant, il convient de prendre les mesu-
res suivantes en application du principe de
prcaution:
Adopter une charte sur lutilisation des
moyens informatiques et lectroniques et
ladapter rgulirement en fonction de
lvolution des technologies implmentes
(tablettes, cloud, etc.): mme si cela ne suf-
t pas pour faire sanctionner un voleur de
donnes sur le plan pnal, la voie civile
ncessite un tel cadre juridique;
Intgrer cette charte au contrat de travail
qui doit, de surcrot, prvoir les sanctionsen cas de violation;
Scuriser les donnes tant contre une in-
trusion externe que contre un vol surve-
nant au sein mme de lentreprise: lex-
prience enseigne que le danger quereprsente linsider est connu, mais peu
analys en termes de scurit informat-
ique; des logiciels spcialiss (Data Loss
Prevention) existent et leur cot est faible
par rapport celui dun cas de vols avec
toutes les consquences envisageables
(action civile des clients dont les donnes
ont t voles, dnonciation au Prpos
fdral pour violation des normes garan-
tissant la scurit des donnes, procdure
disciplinaire, etc.);
Interdire ou limiter lutilisation des sup-
ports de donnes amovibles (principale-
ment les cls USB) qui ne laissent que peu
de traces dans les systmes dexploitation;
linstallation dun logiciel de surveillance
est une fois encore conseille;
Soumettre au Prpos fdral la protec-
tion des donnes pour validation tant les
documents relatifs la surveillance mise
en place, que les procdures de surveillan-
ce et les outils utiliss: il faut viter que
lemploy indlicat puisse faire invalider
les preuves recueillies au motif que la sur-
veillance tait illicite;
En cas de doute sur lexistence dun vol de
donnes, ne rien modier (prservation des
preuves) et faire appel immdiatement la
police: les spcialistes se dplacent volon-
tiers pour aider sur le terrain les entrepri-
ses prendre les mesures qui simposent.
En dnitive comme en toute chose, la voie
mdiane doit tre privilgie: utiliser les der-
nires technologies tout en se montrant res-
pectueux de la vie prive et du droit de la
personnalit. Cela passe par un usage accru
de technologies susceptibles de collecter demanire automatise les indices. Linterven-
tion automatise ne peut se voir reprocher
dtre oriente.
An dviter de
mauvaises surprises,
il peut tre envisagea-
ble dinterdire ou de
limiter lutilisation des
supports de donnes
amovibles.i
Stockphoto