Obligations en matière de Sécurité de l’Information · relatif au contrôle interne des...

Une étude menée avec

Obligations en matière

de Sécurité de

l’Information

Forum des Compétences Obligations en matière de Sécurité de l’information

/51

Ce document est la propriété intellectuelle du Forum des Compétences

Dépôt légal chez Logitas. Reproduction totale ou partielle interdite

Le Forum des compétences est une association composée de banques et de sociétés d’assurance qui échangent dans le domaine de la sécurité de

l’information dans l’objectif d’élaborer des bonnes pratiques applicables dans leurs secteurs d’activités. Le résultat de ces échanges fait l’objet de publications sur son site web (www.forum-des-competences.org).

L’organisation d’évènements est l’occasion de partager ces réflexions et d’échanger avec les acteurs de la place, notamment avec les régulateurs et les

prestataires.


/51

Obligations en matière de Sécurité de l’information Quelles sont les obligations qui contraignent les entreprises à sécuriser leurs systèmes d’information ? Face à une matière juridique vaste et évolutive, les entreprises doivent s’informer en permanence. Le Forum des compétences a souhaité élaborer un document de synthèse pour leur permettre de connaître plus aisément les différentes règles applicables à la sécurité de l’information. Le Forum des compétence a souhaité actualiser les fiches pratiques « Obligations en matière de Sécurité des Système d’Information » (OSSI) publiées en 2011. Il a confié au groupe de travail « Informatique et juridique » renouvelé le soin de proposer des éléments de réponse, pour faciliter les recherches des entreprises sur ces sujets. Le Groupe, associant juristes et spécialistes de la sécurité de l’Information assisté par le cabinet d’avocats Caprioli & Associés, propose une synthèse de la réglementation et des obligations relatives à la sécurisation de l’information qui s’imposent aux entreprises et notamment aux établissements financiers. Ce document est conçu pour apporter un éclairage aux professionnels de la sécurité de l’information et aux juristes qui participent aux processus de gestion du risque dans les entreprises. L’analyse des risques juridiques et de sécurité doit être prise en considération du contexte institutionnel et opérationnel de chaque entreprise. Il ne pourra se substituer à l’avis des professionnels du droit.

Le Groupe, animé par Sabine Marcellin, est composé des membres suivants : Xavier BOIDART Crédit Agricole Assurances Eric CAPRIOLI Cabinet d’avocats Caprioli & Associés Agnès CHATELLIER BNP Paribas Mireille DESHAYES Groupama Marianne GERALD BNP Paribas Cardif Wilfrid GHIDALIA Forum des Compétences Antoine GRAVEREAUX Société Générale Aurélie GURFINKIEL Cabinet d’avocats Caprioli & Associés Christophe HISTA La Banque Postale Damien JULLEMIER LCL Sabine MARCELLIN Crédit Agricole Corporate & Investment Bank Martin PAILHES BNP Paribas


/51

Sommaire Contrôle de la Sécurité du SI ....................................................................................... 5 Contrôle interne des établissements bancaires ........................................................... 9 Pratique des contrats ................................................................................................. 16 Cloud computing ........................................................................................................ 25 Cybersurveillance ...................................................................................................... 33 Réseaux sociaux ....................................................................................................... 38 Sécurité des paiements ............................................................................................. 43 Sécurité des données des cartes bancaires .............................................................. 48


/51

Fiche n° 1 A jour au

18/09/2015

Contrôle de la Sécurité du SI

Définitions La sécurité du système d’information doit faire l’objet d’un contrôle permanent. Ce contrôle doit être mené de façon indépendante et objective, afin de donner à l’organisation une assurance sur le degré de maîtrise de son niveau de sécurité et de lui apporter ses conseils pour l’améliorer. Ces contrôles peuvent être internes ou externes. Ils doivent inclure l’ensemble du périmètre lié au S.I., y compris les tiers (sous-traitants, partenaires...).

Problématique Explications

Une appréciation régulière de la sécurité réelle du système d’information doit permettre de détecter d’éventuelles vulnérabilités et d’élaborer un plan d’action pour les éliminer.

Cette appréciation, qui s’inscrit dans le processus de Maîtrise des Risques, peut se positionner tout au long du cycle de vie du S.I. :

• Dans la phase « Build », où les mesures retenues au cours de l’analyse de risques doivent être évaluées en terme d’existence, d’efficience ou de robustesse.

• En phase « Run », le niveau de sécurité évoluant au fil du temps, notamment en raison : -‐ De l’exposition aux risques de certains

de ses composants techniques à travers la mise en exergue de nouvelles vulnérabilités ;

-‐ Du développement de nouvelles menaces ;

-‐ De l’apparition de vulnérabilités inhérentes à des évolutions fonctionnelles ;

-‐ Du durcissement d’exigences réglementaires.

C’est dans ce sens que le législateur et les autorités de régulation ont inscrit la mise en œuvre d’un processus de contrôle en matière de sécurité comme un objectif majeur.

L’obligation de contrôler le niveau de sécurité de son S.I. est présente dans l’ensemble des textes, que ce soit en matière de règlement ou de loi :

• Le contrôle des systèmes d’information doit notamment permettre de s’assurer que le niveau de sécurité des systèmes informatiques est périodiquement apprécié et que, le cas échéant, les actions correctrices sont entreprises (Arrêté du 03 Novembre 2014)

• Des mécanismes de contrôle interne et des dispositifs efficaces de contrôle et de sauvegarde de leurs systèmes informatiques sont mis en œuvre. (Code monétaire et financier)

• Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité (Loi Informatique et Liberté)

• Les opérateurs doivent soumettre leurs systèmes d'information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité.


/51

Analyse (nature des risques, mesures pratiques)

Nature de Risques : Outre le risque réglementaire et juridique :

• non respect du Code monétaire et financier et non respect de l’Arrêté du 03 Novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’autorité de contrôle prudentiel et de résolution (ex Règlement n°97-02). Ces manquements peuvent faire qui peut faire l’objet de sanctions de l’ACPR et de l’AMF allant jusqu’à une amende de 100 millions d’euros et éventuellement d’une publication (articles L. 612-39 et L. 621-15 du CMF) ;

• sanction administrative, voire pénale [et assortie d’une publication], d’une infraction à la loi Informatique & Libertés, passible d’une peine d’emprisonnement de cinq ans et d’une amende pouvant aller, pour une personne morale, jusqu’à 1 500 000 €,

• sanction d’un manquement à la loi de programmation militaire passible d’une amende de 150.000 euros à l’encontre des dirigeants des opérateurs d’importance vitale soit 750.000 euros pour la personne morale (L. 1332-7 du Code de la défense)

La non maîtrise du niveau de sécurité de son S.I. en raison d’une défaillance du contrôle augmente l’occurrence de réalisation de certains évènements associés aux risques opérationnels :

• Fraude interne, • Fraude externe, • Pratiques en matière d'emploi et sécurité sur le lieu de travail, • Utilisation frauduleuse d’informations confidentielles sur la clientèle, • Blanchiment d’argent, • Dysfonctionnement de l'activité et des systèmes, • Dysfonctionnement dans la gestion des processus métiers,

Cet état augmente les impacts de ces évènements, et donc les provisions visant à les couvrir : • Pertes financières, • Atteinte à l’image.

Mesures pratiques : Le processus de contrôle doit répondre à des principes :

• De déontologie • D’impartialité et de transparence • De conscience professionnelle et de compétences

Son approche est fondée sur la preuve, vérifiable, et est basée sur des faits. Il doit aboutir à des plans de remédiation visant à réduire les vulnérabilités ou non-conformités détectées. Le contrôle de sécurité peut être mené à plusieurs niveaux au sein de l’organisation

• Contrôles menés par les opérateurs • Contrôles menés par le management, le métier ou le RSSI • Contrôles menés par une entité dédiée de l’organisation (Audit Interne) • Contrôles menés par une autorité externe à l’organisation (CNIL, ANSSI, ACP, …)

Le contrôle de sécurité peut mettre en œuvre selon plusieurs axes complémentaires :

• Des contrôles de conformité par rapport à un référentiel (Politique de Sécurité, textes réglementaires, contrats, normes, bonnes pratiques, …), qui peuvent s’appuyer sur :

o Des revues critiques des processus clefs de sécurité, tels que la veille vulnérabilité, la mise à jour des composants, la gestion des habilitations et des droits, la gestion des incidents ou la maîtrise de ses externalisations

o Des revues de conformité à un texte réglementaire ou à une loi (exemple : audit I&L) o Des revues de configuration techniques, d’architectures, …

• Des contrôles de robustesse en soumettant le S.I. à des tests de type : o « Social Engineering » visant à tester le facteur humain o « Tests d’Intrusion » visant à identifier et exploiter les vulnérabilités des applications,

systèmes et réseaux


/51

Remarque : Concernant les dispositifs directement exposés sur Internet, il peut être recommandé de mettre en place au titre du contrôle permanent des scanners de vulnérabilité selon des modalités de fréquence ou de profondeur adapté à leurs sensibilités. Tous ces contrôles devront donner lieu à enregistrements afin d’en garder la preuve (traçabilité), Approche prospective

Plusieurs projets de règlements européens (en particulier la proposition de règlement européen sur la protection des données), ainsi que la loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire, renforce la nécessité de mettre en place des mesures de gestion du risque associé au système d’information. En particulier, l’efficacité dans la durée des mesures de sécurité devra être démontrée, grâce à des contrôles réguliers Textes et Jurisprudences Les principaux Textes

Arrêté du 03 Novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’autorité de contrôle prudentiel et de résolution (ex Règlement n°97-02 )

Art 88 – Les entreprises assujetties déterminent le niveau de sécurité informatique jugés souhaitables […] Elles veillent au niveau de sécurité retenu […] Art 89 […] Le contrôle des systèmes d’information doit notamment permettre de s’assurer que : a) Le niveau de sécurité des systèmes informatiques est périodiquement apprécié et que, le cas échéant, les actions correctrices sont entreprises ; […] c) l’intégrité et la confidentialité des informations sont en toutes circonstances préservées […]

Code monétaire et financier, art. L. 533-2

Les prestataires de services d'investissement disposent de procédures administratives saines, de mécanismes de contrôle interne, de techniques efficaces d'évaluation des risques et de dispositifs efficaces de contrôle et de sauvegarde de leurs systèmes informatiques. […]

Loi Informatique et Libertés n°78-17 du 6 janvier 1978, Art. 34 : Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès […]. Art 35 - […] Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant […].Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Loi de Programmation Militaire - loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale

« Art. L. 1332-6-3 du Code de la défense A la demande du Premier ministre, les opérateurs mentionnés aux articles L. 1332-1 du code de la Défense et L. 1332-2 soumettent leurs systèmes d'information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité prévues à l'article L. 1332-6-1. Les contrôles sont effectués par l'autorité nationale de sécurité des systèmes d'information ou par des services de l'Etat désignés par le Premier ministre ou par des prestataires de service qualifiés par ce dernier. Le coût des contrôles est à la charge de l'opérateur. »

Décrets d’application :


/51

-‐ Décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d'information des opérateurs d'importance vitale et pris pour l'application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense

-‐ Décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale

-‐ Décret n° 2015-349 du 27 mars 2015 relatif à l'habilitation et à l'assermentation des agents de l'autorité nationale de sécurité des systèmes d'information et pris pour l'application de l'article L. 2321-3 du code de la défense.

CNIL : Délibération de la formation restreinte n°2014-298 du 7 août 2014 prononçant un avertissement à l'encontre de la société ORANGE (manquement à l’obligation de sécurité ayant pour origine une faille chez un prestataire). Fiche à consulter en liaison avec cette thématique

• Fiche n° 2 : Contrôle interne des établissements bancaires


/51


18/09/2015

Contrôle interne des établissements bancaires

Problématiques Explications

Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution (ex. Règlement CRBF n°97-02) L’Arrêté en date du 3 novembre 2014 est entré en vigueur le 6 novembre 2014. Il abroge le règlement n°97-02 en date du 21 février 1997, lequel avait fait l’objet de nombreuses actualisations depuis son adoption. Reprenant les dispositions relatives au contrôle interne définies par ledit règlement, l’Arrêté apporte en synthèse, des évolutions relatives à la gouvernance, au risque de liquidité, à l'encadrement de la politique de rémunération, à l'effet de levier excessif et au périmètre des risques. De nouvelles dispositions concernent également le risque de crédit et de marché. Par ailleurs, certaines obligations sont mentionnées, notamment une obligation d’information à l’égard de l’organe de surveillance et, le cas échéant, du comité des risques, s’agissant des mesures prises, pour assurer le contrôle des activités externalisées et des risques éventuels qui en résultent pour l'entreprise assujettie. Enfin, le nouvel arrêté intègre l’émission et la gestion de la monnaie électronique dans la définition des prestations essentielles (article 10 r de l’arrêté). L’Arrêté s’applique au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution Il met en place :

- Une obligation de sécurisation des systèmes d’information au sens large ;

- Un plan de continuité d’activité ;

! Définitions : Article 10 q) et r) (ex. Article 4 q) et r) du Règlement) : « q) Activités externalisées : les activités pour lesquelles l'entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisation de prestations de services ou d'autres tâches opérationnelles essentielles ou importantes par sous-traitance au sens de la loi n° 75-1334 du 31 décembre 1975 susvisée, par démarchage au sens des articles L. 341-1 et L. 341-4 du code monétaire et financier, par le recours à des personnes en vue de distribuer de la monnaie électronique pour le compte de l'entreprise assujettie au sens des articles L. 525-8 et suivants du même code, par le recours aux agents liés définis aux articles L. 545-1 et suivants du même code, par le recours aux agents définis aux articles L. 523-1 et suivants du même code ou par toute autre forme ; » « r) Prestation de services ou autres tâches opérationnelles essentielles ou importantes : - les opérations de banque au sens de l'article L. 311-1 du code monétaire et financier, l'émission et la gestion de monnaie électronique au sens de l'article L. 315-1 du même code, les services de paiement au sens du II de l'article L. 314-1 du même code et les services d'investissement au sens de l'article L. 321-1 du même code, pour lesquels l'entreprise assujettie a été agréée ; - les opérations connexes mentionnées aux 1, 2, 3,7 et 8 du I de l'article L. 311-2, aux 1, 2, 5 et 6 de l'article L. 321-2 et aux articles L. 522-2 et L. 526-2 du code monétaire et financier ; - les prestations participant directement à l'exécution des opérations ou des services mentionnés aux deux premiers tirets ; - ou toute prestation de services lorsqu'une anomalie ou une défaillance dans son exercice est susceptible de nuire sérieusement à la capacité de l'entreprise assujettie de se conformer en permanence aux conditions et obligations de son agrément et à celles relatives à l'exercice de


/51

- La responsabilité de l’entreprise en cas de recours à un prestataire ;

- L’élaboration de manuels de procédures.

son activité, à ses performances financières ou à la continuité de ses services et activités. Sans préjudice de l'appréciation de toute autre tâche, les tâches suivantes ne sont pas considérées comme des prestations de services et d'autres tâches opérationnelles essentielles ou importantes : - la fourniture à l'entreprise assujettie de services de conseil et d'autres services ne faisant pas partie des activités couvertes par son agrément ou par son habilitation, y compris la fourniture de conseils juridiques, la formation de son personnel, les services de facturation et la sécurité des locaux et du personnel de l'entreprise ; - l'achat de prestations standard, y compris des services fournissant des informations de marché ou des flux de données sur les prix ; » " L’organisation comptable et le traitement de l’information : Article 84 (ex. Article 12 du Règlement) Les entreprises assujetties doivent respecter les dispositions des articles 1 à 6 du décret n°83-1020 du 29 novembre 1983 susvisé, en tenant compte des précisions ci-après. Article 85 (ex. Article 12 du Règlement) En ce qui concerne l’information comprise dans les comptes de bilan et de résultats publiés ainsi que les informations de l’annexe issues de la comptabilité, l’organisation mise en place garantit l’existence d’un ensemble de procédures, appelé piste d’audit, qui permet :

-‐ de reconstituer dans un ordre chronologique les opérations ;

-‐ de justifier toute information par une pièce d’origine à partir de laquelle il doit être possible de remonter par un cheminement ininterrompu au document de synthèse et réciproquement ;

-‐ d’expliquer l’évolution des soldes d’un arrêté à l’autre par la conservation des mouvements ayant affecté les postes comptables.

En particulier, les soldes des comptes qui figurent dans le plan de comptes prescrit à l’article R 123-175 du Code de commerce se raccordent, par voie directe ou par regroupement, aux postes et sous-postes du bilan et du compte de résultat ainsi qu’aux informations contenues dans l’annexe ; par exception, le solde d’un compte peut être raccordé par éclatement, à condition que l’entreprise puisse en justifier, qu’elle respecte les règles de sécurité et de contrôle adéquates et qu’elle décrive la méthode utilisée


/51

dans le document prescrit à l’article R 123-172 du même code. Article 86 (ex. Article 12 du Règlement) Les informations comptables qui figurent dans les situations destinées à l’Autorité de contrôle prudentiel et de résolution, ainsi que celles qui sont nécessaires au calcul des normes de gestion établies en application du 6 de l’articles L. 611-1, des 6° des articles L. 611-1-1 et L. 611-1-3 et du 2 de l’article L.611-3 du Code monétaire et financier et des dispositions européennes directement applicables ainsi que t des normes de gestion applicables aux entreprises mentionnées aux 3 et 4 de l’article L. 440-2 et aux 4 et 5 de l’article L. 542-1 du même code, respectent, au moins, les conditions décrites aux points a) et b) de l’article 85. En particulier, chaque montant figurant dans les situations, dans les tableaux annexes, dans les déclarations relatives aux normes de gestion et dans les autres documents remis à l’Autorité de contrôle prudentiel et de résolution doit être contrôlable, notamment à partir du détail des éléments qui composent ce montant. Lorsque l’Autorité de contrôle prudentiel et de résolution autorise que des informations soient fournies par une voie statistique, elles doivent être vérifiables sans ressortir nécessairement à la piste d’audit. Article 88 (ex. Article 14 du Règlement) Les entreprises assujetties déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Elles veillent au niveau de sécurité retenu et à ce que leurs systèmes d’information soient adaptés. Article 89 (ex. Article 14 du Règlement) Le contrôle des systèmes d’information doit notamment permettre de s’assurer que :

a) le niveau de sécurité des systèmes informatiques est périodiquement apprécié et que, le cas échéant, les actions correctrices sont entreprises ;

b) des procédures de secours informatique sont disponibles afin d’assurer la continuité de l’exploitation en cas de difficultés graves dans le fonctionnement des systèmes informatiques ;

c) L’intégrité et la confidentialité des informations sont en toutes circonstances préservées.

Article 90 (ex. Article 14 du Règlement) Le contrôle des systèmes d’information s’étend à la conservation des informations et à la documentation relative aux analyses, à la programmation et à l’exécution des traitements.


/51

Article 215 (ex. Article 14-1 du Règlement) Outre les dispositions prévues aux articles 88 à 93, les entreprises assujetties […] disposent de plans d’urgence et de poursuite de l’activité ; […] # Conditions applicables en matière d’externalisation : Article 237 (ex. Article 37-2 du Règlement) Les entreprises assujetties qui externalisent des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes, […], demeurent pleinement responsables du respect de toutes les obligations qui leur incombent […] Article 239 (ex. Article 37-2-3-b) du Règlement) Les entreprises assujetties s'assurent, dans leurs relations avec leurs prestataires externes, que ces derniers : […] b) Assurent la protection des informations confidentielles ayant trait à l'entreprise assujettie et à ses clients ; $ Rôle des dirigeants effectifs et organes de surveillance de l’entreprise assujettie et de l’Autorité de contrôle prudentiel et de résolution Article 253 (ex. Article 39 du Règlement) Les dirigeants effectifs informent régulièrement, au moins une fois par an, l'organe de surveillance et, le cas échéant, le comité des risques :[…] c) Des mesures prises pour assurer le contrôle des activités externalisées et des risques éventuels qui en résultent pour l'entreprise assujettie. Les entreprises assujetties distinguent parmi ces opérations les prestations de services ou autres tâches opérationnelles essentielles ou importantes relevant des trois premiers tirets du r de l'article 10. […] Article 254 (ex. Article 40 du Règlement) Les entreprises assujetties élaborent et tiennent à jour des manuels de procédures relatifs et adaptés à leurs différentes activités. Ces documents doivent notamment décrire les modalités d’enregistrement, de traitement et de restitution des informations, les schémas comptables et les procédures d’engagement des opérations. Article 255 (ex. Article 40 du Règlement) Les entreprises assujetties établissent, dans les mêmes conditions, une documentation qui précise les moyens destinés à assurer le bon fonctionnement du contrôle interne, notamment


/51

[…] les procédures relatives à la sécurité des systèmes d’information et de communication et aux plans d’urgence et de poursuite de l’activité […].

Analyse (mesures pratiques, nature des risques)

Nature des risques : L’application des dispositions prévues par l’Arrêté en date du 3 novembre 2014 est contrôlée par l’Autorité de contrôle prudentiel et de résolution qui peut dans ce contexte adresser des sanctions aux établissements assujettis, à savoir :

1. Lorsque le manquement constaté est de faible importance, et concerne notamment la situation financière, les méthodes de gestion ou l’adéquation de l’organisation de l’établissement assujetti à ses activités ou à ses objectifs de développement, l’Autorité de contrôle prudentiel et de résolution peut émettre une recommandation, une injonction ou une simple mise en garde invitant l’établissement à corriger les insuffisances constatées.

2. Lorsque l’Autorité de contrôle prudentiel et de résolution constate un manquement présentant une certaine gravité de la part d’un établissement assujetti, elle dispose d’un pouvoir juridictionnel l’autorisant à prendre des sanctions contre l’établissement fautif. Ces sanctions peuvent aller de l’avertissement au retrait d’agrément en passant par la démission d’office des dirigeants, sans préjudice d’une possible sanction pécuniaire pouvant aller jusqu’au décuple du capital minimum auquel est astreint l’établissement ou l’entreprise et d’une éventuelle publication de la sanction prise.

Mesures pratiques : Afin de répondre aux obligations instituées par les articles de l’Arrêté en date du 3 novembre 2014 cités plus haut, les établissements doivent mettre en place les principales mesures décrites ci-après. Le dispositif de contrôle interne de ces établissements devra par ailleurs permettre de s’assurer de l’application effective de ces mesures dans les différentes unités, filiales et autres entreprises incluses dans leur périmètre de contrôle interne. 1. Organisation SSI

% Formaliser les responsabilités des acteurs intervenant dans la maîtrise des risques du SI. % Organiser et animer une instance de niveau Direction Générale pilotant la sécurité du SI.

2. Analyse des risques SI

% Les projets informatiques font l'objet d'une analyse de risque suivant la méthode définie dans l’entreprise. Les risques résiduels sont formellement acceptés par le responsable métier concerné.

% Le SI existant (notamment les applications informatiques composant le SI) fait l’objet d’une analyse de risque actualisée annuellement pour tenir compte de l’évolution du contexte réglementaire et technique.

3. Habilitations informatiques

% Les habilitations informatiques font l’objet de revues régulières (au moins annuelles). Le périmètre de ces revues couvre :

o les applications informatiques bancaires, o les fichiers informatiques moins structurés (exemple : fichiers Excel) utilisés par des

métiers pour exercer leur activité (exemple : activités de marchés financiers).


/51

4. Protection des informations sortant de l’entreprise % Identifier les flux d’information sortant de l’entreprise, quel que soit le canal de transport

de l’information (messagerie électronique, ordinateurs portables, tablettes, smartphones, supports amovibles, fax, etc. et quel que soit le mode de sortie de l’entreprise (exemples : ordinateur portable emmené à l’extérieur des sites physiques de l’entreprise, courriel envoyé sur Internet, données d’une clé USB chargées sur l’ordinateur d’un prestataire de service…).

% Protéger ces flux d’informations par des moyens de protection proportionnés à la sensibilité des informations qu’ils transportent (exemples : mise en place de politiques de protection contre la fuite d’information, chiffrement des disques durs des ordinateurs portables, procédure en cas de perte ou de vol de données, blocage des ports USB, suppression définitive des données présentes sur les disques durs sortant du parc de l’entreprise…).

5. Traçabilité et journalisation des opérations (en référence aux articles 84 à 86)

% Disposer de traces informatiques permettant de reconstituer toute opération depuis son origine jusqu’à sa comptabilisation.

6. Externalisation (ou sous-traitance)

% Formaliser dans tous les contrats d’externalisation (ou sous-traitance) des clauses contractuelles portant sur la sécurité du SI, notamment :

- une clause d’audit, - une clause de suite de l’Autorité de contrôle prudentiel et de résolution, - des clauses définissant des indicateurs de maîtrise des risques SI, et les modalités de

leur reporting. % Réaliser des audits de sécurité sur site et à distance (au moins un au démarrage de la

prestation, puis sur une base annuelle). Ces audits comporteront tous (au moins au démarrage) une évaluation de l’organisation de la sécurité du SI chez le prestataire de service (ou sous-traitant). Ils comporteront par ailleurs des tests, plus ou moins techniques (exemples : tests d’intrusion, revue d’habilitations) et plus ou moins poussés suivant, d’une part, la sensibilité des informations gérées par le prestataire (ou sous-traitant), et d’autre part en fonction du résultat de l’évaluation préalable de l’organisation de la sécurité du SI.

7. Plan de Continuité d’Activité

% Dans le cadre des plans de continuité des activités de l’entreprise, et des plans de secours informatique associés, évaluer la Durée d’Indisponibilité Maximale Acceptée (DIMA), ainsi que la Perte de Données Maximale Acceptée (PDMA).

% Tester annuellement les plans de continuité d’activité. 8. Maintien de la documentation du SI

% La documentation du SI doit être maintenue à jour de telle sorte qu’elle permette de répondre aux obligations des articles 254 et 255. A cet égard, cette documentation décrit notamment :

- les modalités d’enregistrement des informations dans les applications informatiques, - les traitements informatiques, - les restitutions d’informations issues des applications et traitements informatiques.

Par ailleurs, la documentation de chaque système ou application inclut l’analyse de risque actualisée, et les mesures de sécurité et de continuité d’activité mises en œuvre. Approche prospective N/A Textes et Jurisprudences (références) • Basel Committee for on Banking Supervision / The Joint Forum : Outsourcing in Financial Services – February 2005 (recommandations en matière d’externalisation pour les services financiers


/51

publiées par le Comité de Bâle pour le Contrôle Bancaire) ;

• CEBS – Committee of European Banking Supervisors (Comité Européen des Superviseurs Bancaires) remplacé depuis le 24/11/2010 par l’Autorité Bancaire Européenne (EBA – European Banking Authority) a défini des standards applicables à l’externalisation de prestations par les établissements financiers ;

• en France, l’arrêté du 3 novembre 2014 « relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution »

Fiches à consulter en liaison avec cette thématique

• Fiche n° 1 : Contrôle de la sécurité du SI • Fiche n° 3 : Pratique des contrats • Fiche n° 4 : Cloud Computing


/51

Fiche n° 3

A jour au 18/09/2015

Pratique des contrats

Définition Attention :

• en droit, le contrat est défini comme « une convention par laquelle une ou plusieurs personnes s'obligent, envers une ou plusieurs autres, à donner, à faire ou à ne pas faire quelque chose » (cf ! ),

• dans le langage quotidien/opérationnel de l’entreprise, un contrat désigne un document écrit

estampillé « contrat » et signé par les parties. Juridiquement :

• un contrat se forme dès accord des parties sur la chose (l’objet du contrat) et le prix, et

• sauf à ce que la loi impose un formalise particulier, la formation d’un contrat entre sociétés commerciales n’est soumise à aucun formalisme ie un écrit n’est pas obligatoire.

Illustration : Un échange téléphonique par lequel un client accepte une offre de services d’un prestataire vaudra donc contrat au sens juridique et ce même si aucun document écrit estampillé « contrat » est signé par les parties.

Problématiques Explications et solutions

L’obligation de conseil par le prestataire informatique

La matière informatique étant par nature particulièrement complexe, une jurisprudence constante oblige le prestataire informatique avant et durant le contrat à une obligation de conseil qui oblige le prestataire à :

• s’informer des besoins de son client,

• lui proposer la solution la plus adaptée à ses besoins, et

• s’assurer de la compatibilité des matériels ou logiciels avec l’environnement de destination

Tout manquement par le prestataire à cette obligation de conseil pourra être sanctionné sur le terrain de la responsabilité contractuelle :

• résolution du contrat, et


/51

• l'attribution de dommages-intérêts et ce, en

vertu de l'article 1184 du Code civil. (pour un exemple de quand l’obligation de conseil est remplie ou pas, cf les différents arrêts de l’affaires IBM / MAIF) Attention : il convient de noter toutefois que si la jurisprudence oblige le prestataire à une obligation de conseil, elle oblige également le client à une obligation de collaboration. En effet le prestataire ne pourra exercer son obligation de conseil pour autant que le client ait exprimé clairement son besoin : ex. via un cahier des charges. Faute de quoi la responsabilité du prestataire pourrait se voir substantiellement atténuée.

La formation tacite du contrat

Comme mentionné dans la partie « Définition » ci-dessus :

• un contrat se forme dès accord des parties sur la chose (l’objet du contrat) et le prix, et

• sauf à ce que la loi impose un formalise

particulier, la formation d’un contrat entre sociétés commerciales n’est soumise à aucun formalisme ie un écrit n’est pas obligatoire.

Il convient donc de payer une attention particulière au contenu et modalités des échanges, notamment écrits (ex emails), en phase de négociations. Ces échanges pourraient ainsi laisser penser qu’il y a eu consentement des parties et donc formation d’un contrat. Attention : la formation tacite du contrat fait peser un certain nombre de risques sur le client :

• risque de non-conformité : en effet la loi peut imposer un formalisme pour la formation de certains contrats, par ex. contrats pour services externalisés qui rentrent dans le champ d’application de de l’arrêté du 3 novembre 2014 (cf " ). Cet arrêté impose : • un contrat écrit entre le prestataire

externe et le client (art 238), et

• un certain nombre d’éléments devant figurer dans ce contrat : cf ci-dessous « le contenu du contrat »


/51

• risques découlant du fait que les

prestations sont régies par les conditions générales de vente (CGV) du prestataire qui n’auront pas été négociées voire lues au préalable par le client :

o en effet la loi prévoit que « Les conditions générales de vente constituent le socle unique de la négociation commerciale » (cf $ Art L. 441-6 du Code de commerce),

o les CGV peuvent potentiellement être défavorables au client en particulier en matière de propriété intellectuelle (ex. régime des œuvres créées pour le prestataire : cession ou concession de droits ? – cf ci-dessous « le contenu du contrat »), de droit applicable et de juridiction compétente, etc …

Le contenu du contrat

Si la loi peut imposer un formalisme pour la formation de certains contrats, elle peut également imposer que le contrat comporte certaines stipulations obligatoires en plus de stipulations standard, par ex :

• pour les contrats portant sur des services externalisés qui rentrent dans le champ d’application de de l’arrêté du 3 novembre 2014 (cf " – article 239). Doit figurer au contrat :

• un niveau de qualité du service,

• des mécanismes de secours,

• l’obligation pour le prestataire de ne

pas modifier substantiellement la prestation sans l'accord préalable du client

• un droit d’audit du client

• l’obligation pour le prestataire d’informer le client de tout événement susceptible d'avoir un impact sur les prestations

• etc …

• pour les contrats portant sur des services qui impliquent des données à caractère personnel, la Loi Informatique et Libertés


/51

(cf # art 35 al. 4). Doit figurer au contrat :

• les obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données

• obligation pour le prestataire de ne pouvoir agir que sur instruction du client

• en matière de propriété intellectuelle (cf à

titre d’exemple & pour le droit d’auteur qui protège notamment le logiciel) : la loi subordonne la transmission de la propriété d’une œuvre créée pour le client à ce dernier à la présence de certaines mentions dans le contrat sous peine de nullité de la cession : droits cédés, périmètre géographie de la cession, durée de la cession. La présence dans le contrat de certaines mentions, à peine de nullité, vaut également pour la concession, c’est à dire lorsque le prestataire autorise le client à utiliser une œuvre qu’il a créée : droits concédés, périmètre géographie de la concession, durée de la concession.

La fin du Contrat

La fin d’un contrat peut résulter :

• de l’échéance de son terme prévu par les parties, ou

• de sa résiliation par une partie pour inexécution par l'autre partie de ses obligations, ou

• de sa résiliation pour convenance par une partie lorsque le contrat

o prévoit un mécanisme de résiliation pour convenance, ou

o a été conclu pour une durée indéterminée (prohibition des engagements perpétuels)

Dans le cas d’une résiliation pour convenance qui serait le fait du client, ce dernier peut voir sa responsabilité engagée pour rupture brutale d’une relation commerciale établie. Une telle rupture étant sanctionnée par le Code de commerce (cf $ Art L. 442-6). Pour ne pas être qualifiée de brutale, la résiliation doit faire l’objet d’un préavis écrit d’une durée


/51

raisonnable qui sera fonction en particulier de :

• La durée, la stabilité, l’intensité de la relation, (caractère « établi »),

• Le chiffre d’affaires réalisé avec le client, • La dépendance économique du

prestataire, • L’existence d’investissements particuliers

réalisés par le prestataire, • L’existence de solutions alternatives pour

le prestataire Attention : Le simple fait de respecter le délai de préavis prévu au contrat pour résilier pour convenance peut ne pas suffire, la loi parlant d’un « durée raisonnable ».

Analyse (mesures pratiques & nature des risques)

Mesures pratiques

• comme mentionné ci-dessus « La formation tacite du contrat », attention au contenu et modalités des échanges, notamment écrits (ex emails), en phase de négociations, qui pourraient laisser penser qu’il y a eu échange des consentements et donc formation d’un contrat. o Pour éviter le risque de formation tacite du contrat, lorsque par ex. vous répondez par

email à une offre de services d’un prestataire pensez à insérer un avertissement du type : « Nous prenons bonne note de votre offre commerciale. Le présent email ne saurait toutefois en aucun cas constituer une acceptation des conditions de votre intervention, qui prendra la forme d’un contrat écrit, sous réserve d’un accord de notre société sur les termes et conditions d’intervention »

o Ne permettez pas au prestataire de démarrer ses prestations avant qu’un contrat écrit

soit finalisé autrement la prestation sera régie par les CGV du prestataire (cf ci-dessus « La formation tacite du contrat ») et il sera extrêmement compliqué de négocier et signer un tel contrat écrit, le client ayant perdu tout effet de levier pour amener le prestataire à signer, ce dernier prestant et devant être payé pour les prestations rendues (cf $ Art L. 441-6 du Code de commerce)

• En cas de résiliation pour convenance d’un contrat veillez à ne pas rompre brutalement,

même partiellement, une relation commerciale en o vérifiant si cette relation pourrait être qualifiée d’établie : ex. durée de la relation,

dépendance économique du prestataire,

o dans le cas où une relation serait « établie », en mettant en place un plan de désengagement visant, sur une période donnée, à

' informer clairement et régulièrement le prestataire qu’à la fin de cette période

les relations commerciale cesseront en tout ou partie ; et

' réduire progressivement les engagements avec le prestataire.


/51

Nature des risques Ces risques (non-exhaustifs) peuvent être regroupés comme suit :

• Risque opérationnel o Ne pas disposer des droits suffisants sur une œuvre créée et donc impossibilité pour le

client de l’exploiter de la manière voulue (cf ci-dessus « La formation tacite du contrat »)

• Risque financier

o Amende : par exemple amende administrative par la CNIL (150 000 € d’amende,

300 000 € en cas de récidive) en cas de non-respect de la Loi Informatique et Libertés (cf infra sur les évolutions à venir en matière d’amende)

• Risque d’image

o Image dégradée suite par exemple à une indisponibilité de certains services rendus à

des clients ou collaborateurs par exemple pour cause d’impossibilité pour le client de d’exploiter une œuvre développée de la manière voulue

• Risque pénal & agrément bancaire

o Utilisation contrevenante d’une œuvre créée sans disposer des droits suffisants sur

ladite œuvre (contrefaçon)

o Non-respect de la réglementation bancaire (ex texte " ) pouvant mettre en jeu l’agrément bancaire

Analyse prospective (texte ci-dessous inspiré du dossier de presse Ministère de la Justice, http://www.justice.gouv.fr/publication/j21_dp_projet_ord_reforme_contrats_2015.pdf) Projet d’ordonnance portant réforme du droit des contrats, du régime général et de la preuve des obligations Le droit des contrats évolue et certains des mécanismes mentionnés ci-dessus vont se retrouver clarifiés, complétés voire codifiés : ex. formation du contrat par le seul échange des consentements (nouv art 1171), dispositif des conditions de validité du contrat électronique complété (art répartis dans sections relatives à la conclusion du contrat), codification du devoir général d’information (nouv art 1129), … Le 25 février 2015 le Gouvernement a ainsi publié un avant-projet d’ordonnance et a lancé une grande consultation publique sur ce texte. Ce projet de mise à jour du droit des contrats découle du constat que « le fondement des échanges économiques qu’est le droit commun des contrats est en effet pour l’essentiel issu du Code Napoléon de 1804. Or, cet instrument, utilisé au quotidien par les citoyens et les acteurs économiques, n’est plus adapté à la réalité des échanges, ni à la réalité de l’activité sociale et économique » Les principaux objectifs de cette réforme sont de :

1. Rendre le droit des obligations plus lisible et plus accessible


/51

« Exemple : En cas d’inexécution suffisamment grave, permettre à une partie de mettre fin à un contrat sans nécessairement passer par une décision judiciaire, par une simple notification au créancier. »

2. Renforcer la protection de la partie faible

Exemple : « ce texte propose de consacrer la notion de bonne foi à tous les stades de la vie du contrat [NB : plus seulement dans son exécution mais également au stade de sa formation], de créer un vice du consentement lié à la violence économique, de corriger les déséquilibres du contrat pour protéger la partie la plus faible et de consacrer le devoir général d’information. »

3. Rendre le droit plus attractif

Exemple : « règle offrant aux parties la faculté de renégocier leur contrat lorsqu’un changement imprévisible de circonstances rend l’exécution de ce dernier excessivement onéreuse. »

La consultation publique s’est achevée le 30 avril 2015. Le projet d’ordonnance devrait être transmis au Conseil d’Etat courant juin 2015 avec une ratification prévue par le Parlement après l’été. Principaux textes pouvant trouvé à s’appliquer (droit français) et documents de référence

! Code Civil

Article 1101 : « Le contrat est une convention par laquelle une ou plusieurs personnes s'obligent, envers une ou plusieurs autres, à donner, à faire ou à ne pas faire quelque chose »

"

Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution – Chapitre II : Conditions applicables en matière d'externalisation :

• article 238 : « L'externalisation d'activité : a) Donne lieu à un contrat écrit entre le prestataire externe et l'entreprise assujettie ; […] »

• article 239 : « Les entreprises assujetties s'assurent, dans leurs relations avec leurs prestataires externes, que ces derniers :

a) S'engagent sur un niveau de qualité répondant à un fonctionnement normal du service et, en cas d'incident, conduisant à recourir aux mécanismes de secours mentionnés au c ;

b) Assurent la protection des informations confidentielles ayant trait à l'entreprise assujettie et à ses clients ;

c) Mettent en œuvre des mécanismes de secours en cas de difficulté grave affectant la continuité du service. A défaut, les entreprises assujetties s'assurent que leur plan d'urgence et de poursuite d'activité tient compte de l'impossibilité pour le prestataire externe d'assurer sa prestation ;

d) Ne peuvent imposer une modification substantielle de la prestation qu'ils assurent sans l'accord préalable de l'entreprise assujettie ;

e) Se conforment aux procédures définies par l'entreprise assujettie concernant l'organisation et la mise en œuvre du contrôle des services qu'ils fournissent ;

f) Leur permettent, chaque fois que cela est nécessaire, l'accès, le cas échéant, sur place, à toute information sur les services mis à leur disposition, dans le respect des réglementations relatives à la communication d'informations ;


/51

g) Les informent de tout événement susceptible d'avoir un impact sensible sur leur capacité à exercer les tâches externalisées de manière efficace et conforme à la législation en vigueur et aux exigences réglementaires ;

h) Acceptent que l'Autorité de contrôle prudentiel et de résolution ou toute autre autorité étrangère équivalente au sens des articles L. 632-7, L. 632-12 et L. 632-13 du code monétaire et financier ait accès aux informations sur les activités externalisées nécessaires à l'exercice de sa mission, y compris sur place. »

#

Loi Informatique et Libertés

• article 35 al. 3 et 4 : (…)

Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

$

Code de Commerce

Article L. 441-6

I. - Tout producteur, prestataire de services, grossiste ou importateur est tenu de communiquer ses conditions générales de vente à tout acheteur de produits ou tout demandeur de prestations de services qui en fait la demande pour une activité professionnelle. Elles comprennent :

- les conditions de vente ;

- le barème des prix unitaires ;

- les réductions de prix ;

- les conditions de règlement.

(…)

Les conditions générales de vente constituent le socle unique de la négociation commerciale. Dans le cadre de cette négociation, tout producteur, prestataire de services, grossiste ou importateur peut convenir avec un acheteur de produits ou demandeur de prestation de services de conditions particulières de vente qui ne sont pas soumises à l'obligation de communication prescrite au premier alinéa.

Sauf dispositions contraires figurant aux conditions de vente ou convenues entre les parties, le délai de règlement des sommes dues est fixé au trentième jour suivant la date de réception des marchandises ou d'exécution de la prestation demandée.

(…)

Article L. 442-6

I.

5° De rompre brutalement, même partiellement, une relation commerciale établie, sans préavis écrit tenant compte de la durée de la relation commerciale et respectant la durée minimale de préavis déterminée, en référence aux usages du commerce, par des accords interprofessionnels. (…)

III.

(…)

Le ministre chargé de l'économie et le ministère public peuvent demander (…) le prononcé d'une amende civile dont le montant ne peut être supérieur à 2 millions d'euros.

& Code la Propriété Intellectuelle

Article L. 131-3


/51

La transmission des droits de l'auteur est subordonnée à la condition que chacun des droits cédés fasse l'objet d'une mention distincte dans l'acte de cession et que le domaine d'exploitation des droits cédés soit délimité quant à son étendue et à sa destination, quant au lieu et quant à la durée


• Fiche n° 4 : Cloud Computing


/51


19/10/2015

Cloud computing

Définition (texte ci-dessous inspiré du document 6 . Pour plus d’informations sur les caractéristiques et enjeux du cloud computing en milieu banque-assurance cf ce document) Le Cloud computing consiste à déporter sur des serveurs distants des données et des traitements informatiques traditionnellement localisés sur des serveurs locaux, voire sur le poste de l’utilisateur. Il permet l’accès via un réseau, généralement entendu comme Internet, à la demande et en libre-service, à des ressources informatiques virtualisées et mutualisées habituellement facturées à l’usage. Le Cloud computing fournit trois grands types de ressources : IaaS (Infrastructure as a Service), PaaS (Platform as a Service) et SaaS (Software as a Service) Ces ressources sont déployées selon quatre modèles : cloud privé interne, cloud privé externe, cloud public et cloud hybride Les avantages attendus du cloud computing par les banques et assurances sont en particulier : des solutions plus souples, un meilleur accès à des technologies de pointe, une diminution des coûts informatiques. Le cloud computing est un mode particulier d’externalisation de l’informatique. S’il peut présenter de nombreuses caractéristiques communes avec l’infogérance, le cloud computing se distingue toutefois de l’externalisation par des risques spécifiques qui s’ajoutent aux risques classiques engendrés par toute externalisation informatique et qu’il convient de maîtriser : cf. infra « nature des risques ». Dans le cadre de cette fiche ne sera abordé que le cas des clouds externes (cloud privé externe, cloud public et cloud hybride), considérés ici comme plus révélateurs des problématiques juridiques existantes. En effet, dans le cas de solutions externes, les entreprises clientes ne sont propriétaires que des données qui y sont hébergées et non plus des applications ou de l’architecture indispensable à leur utilisation ou leur hébergement, qu’elles ne font que louer en fonction de leur usage.

Problématiques Explications

Difficulté à négocier le contrat : un certain nombre de solutions de cloud computing sont encore proposées sous forme de contrat d’adhésion ne permettant parfois pas d’obtenir les engagements rendus obligatoires par la loi.

Du fait qu’une prestation de cloud computing soit un type d’externalisation, il est très probable qu’elle soit sujette (cf 6 p. 13) à ce titre aux dispositions de l’arrêté du 3 novembre 2014 (cf. # ) qui impose un formalisme et des éléments devant figurer dans le contrat. Cette nécessité du contrat, qui doit comporter certains éléments indispensables, est renforcée lorsque des données envoyées « dans le nuage » relèvent de données à caractère personnel : cf. ! art 35 al. 4


/51

Cf. Fiche n° 3 : Pratique des Contrats Il est donc recommandé lors de négociations contractuelles avec un prestataire de cloud de mettre en avant les obligations ci-dessus posées par la loi afin de les intégrer dans le contrat

Partage de responsabilité client / prestataire : le client peut souhaiter vouloir, par des rédactions contractuelles, se décharger de sa responsabilité en la reportant en tout ou partie sur le prestataire.

Là encore, compte tenu du fait qu’une prestation de cloud computing soit un type d’externalisation, il est très probable qu’elle soit sujette (cf. 6 p. 13) à ce titre aux dispositions de l’arrêté du 3 novembre 2014 (cf. # ) qui stipule que le client demeure pleinement responsables du respect de toutes les obligations qui lui incombent (art 237). Ceci est là aussi renforcé lorsque des données à caractère personnel sont envoyées « dans le nuage » concernant les mesures de sécurité et de confidentialité: cf. ! art. 35 al. 3.

Transfert internationaux de données à caractère personnel : tout transfert dans un pays autre que les pays de l’Espace Economique Européen (EEE) est réglementé.

Le transfert des données à caractère personnel en dehors de l’EEE est interdit : cf. ! art 68. Attention : • est considéré comme un transfert le fait

d’envoyer des donner hors de l’EEE mais également d’accéder à des données stockées dans l’EEE depuis un pays tiers par exemple à des fins de support ou maintenance informatique ( cela nécessite d’identifier les sites géographiques entrant dans la prestation de cloud computing (cf. ci-dessous Bonnes Pratiques)

• il y a transfert lorsque les données sont envoyées/accédées par le prestataire ou un de ses sous-traitants ( cela nécessite d’identifier la chaîne des sous-traitant prenant part à la réalisation de la prestation de cloud computing (cf. ci-dessous Bonnes Pratiques)

Il existe toutefois deux possibilités légales pour transférer de telles données hors de l’EEE : • l’envoi de ces données vers un pays assurant

« un niveau de protection suffisant de la vie privée », cf liste limitative de la Commission Européenne, à ce jour : Andorre, Argentine, Canada, Iles Féroé, Ile de Man, de Guernesey, de Jersey, Israël, Uruguay et Suisse ; ou

• l’incorporation dans le contrat avec le prestataire des clauses contractuelles type de la Commission Européenne (Directive 95/46/CE du 24 octobre 1995) et une demande d’autorisation préalable de transfert à la CNIL.


/51

Attention : À la suite de l’arrêt de la CJUE en date du 6 octobre 2015 (C-362/14), l’accord relatif au Safe Harbor a été invalidé. Cet accord permettait aux sociétés de l’Union Européenne de transférer des données à caractère personnel à destination d’une société US lorsque cette dernière était adhérente à ce programme (les sociétés US relevant du Department of Commerce). Le G29 a annoncé qu’il poursuivait son analyse de l’impact de la décision sur les outils de transfert (Binding Corporate Rules - BCR, clauses contractuelles types) mais que durant cette période ces outils pouvaient encore être utilisés. Les autorités de protection des données se réservent la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir

Données couvertes par le secret bancaire

La communication de données couvertes par le secret bancaire à un tiers, comme par exemple un prestataire de cloud, est interdite : cf. " art L. 511-33. Ce même article pose toutefois des exceptions à cette interdiction de communication à un tiers lorsque : • les « personnes concernées (…) ont

expressément permis de le faire »,

• les « contrats de prestations de services conclus avec un tiers [le sont] en vue de lui confier des fonctions opérationnelles importantes »

Accès aux données par des tribunaux ou autorités étrangères

Le prestataire de cloud peut être contraint légalement de transmettre des données envoyées « dans le nuage » à des autorités de son pays. C’est le cas par exemple avec l’USA Patriot Act qui permet de contraindre les prestataires de cloud établis aux Etats-Unis à transmettre des données qu’ils hébergent aux autorités Américaines. De telles dispositions nationales peuvent avoir un caractère extraterritorial c’est-à-dire qu’elles trouvent également à s’appliquer par exemple dans le cas de filiales de sociétés américaines établies à l’étranger : ces dernières pouvant dès lors être contraintes de transmettre des données qu’elles hébergent aux autorités Américaines, cf arrêt de la Cour fédérale de New-York du 25 avril 2014 rejetant la demande Microsoft d’annulation d’un mandat de recherche réclamant la transmission de données hébergées sur les serveurs de sa filiales en Irlande. Face à cela, il est recommandé : • en phase de sélection d’un prestataire d’une

offre de cloud, de bien identifier le niveau de


/51

sensibilité des données envoyées « dans le nuage » et de s’interroger sur l’opportunité de confier des données stratégique pour l’entreprise à un prestataire, ou à une de ses filiales, dont les lois de son pays d’établissement permettent un tel accès ;

• d’aménager contractuellement :

o la possibilité de résilier le contrat sans frais en cas de changement de contrôle du prestataire dans le cas où ce dernier viendrait à être contrôlé par un prestataire, ou à une de ses filiales, dont les lois de son pays d’établissement permettent un tel accès ; et

o l’obligation pour le prestataire d’alerter rapidement le client dans le cas où une telle demande de transmission de données serait effectuée afin de lui permettre de la combattre ou de contester toute interdiction faite au prestataire de mentionner cette demande au client afin de pouvoir l’alerter et permettre à ce dernier de combattre cette demande.

Analyse (Mesures pratiques & nature des risques)

Mesures pratiques

• Identifier les données à envoyer « dans le nuage » et leur degré de sensibilité pour l’entreprise

• Cartographier

o les sites géographiques d’hébergement, de transit ou d’accès des données, et

o la chaîne de sous-traitance prenant part à la prestation

cf supra « Transfert internationaux de données à caractère personnel » Cette cartographie sera à contractualiser et tout changement devra faire l’objet d’un avenant entre les parties

• Vérifier que le modèle de déploiement envisagé (cloud privé interne, cloud privé externe, cloud public et cloud hybride) soit acceptable compte tenu: o de la sensibilité des données à envoyer, et

o des exigences par exemple en matière de sécurité et d’IT : plus le modèle tend vers le

cloud public et moins il sera personnalisable (et donc le contrat du prestataire ne pourra pas ou peu être négocié), à l’inverse plus le modèle tend vers le cloud privé et plus il le sera (et donc le contrat du prestataire sera négociable)

• Prévoir dans le contrat (non-exhaustif) et en plus des éléments obligatoires cf supra

« Difficulté à négocier le contrat »


/51

o une convention de niveaux de services et de pénalités afférentes ;

o des mesures permettant le traçage des données ;

o des procédures d’autorisations, d’habilitations et de contrôle d’accès pour le personnel

concerné ;

o les conditions de réversibilité prévoyant toutes les modalités pratiques de fonctionnement du système d’information pendant la durée de la phase de réversibilité et le format de restitution des données qui doit être un format exploitable ;

o des clauses spécifiques « sécurité des données » et « confidentialité des données »

pouvant prévoir par exemple la notification obligatoire par le prestataire au client de toute faille de sécurité (cf infra sur les évolutions à venir en matière de notification) ;

o Clause contractuelle spécifique « audit SSI » afin de permettre de vérifier, en pratique,

la sécurité assurée et le respect de la loi de 1978 ;

o Utilisation de solution d’anonymisation irréversible des données à caractère personnel chaque fois que cela est possible ;

• Suivre l’exécution du contrat dans sa durée, avec exercice effectif et régulier des audits et contrôles prévus

• Modifier le cas échéant le cadre ou montant des polices souscrites, en fonction des prestations opérées dorénavant dans le cloud, certains assureurs commençant à proposer des polices spéciales cyber.

Nature des risques Ces risques (non-exhaustifs) peuvent être regroupés comme suit :

• Risque opérationnel o Blocage de l’activité : dû par exemple à la perte des données, leur altération, leur non

restitution ou restitution dans un format non exploitable en fin de prestation

o Perte de compétitivité : due par exemple à l’accès par un autre pays aux données, vol de propriété intellectuelle, secrets, etc.

• Risque financier

o Perte de revenu : par exemple suite au blocage de l’activité

o Amende : par exemple amende administrative par la CNIL (150 000 € d’amende,

300 000 € en cas de récidive) en cas de non-respect de la Loi Informatique et Libertés (cf infra sur les évolutions à venir en matière d’amende)

• Risque d’image

Image dégradée suite par exemple à une indisponibilité de certains services rendus à des clients ou collaborateurs et basé sur une offre de cloud computing.

• Risque pénal & agrément bancaire o Poursuite pénale du responsable de traitement (qui n’est pas le CIL, mais pas

forcément le chef d’entreprise non plus, éventuellement le RSSI mais plus souvent le responsable métier) avec une peine maximale de 5 ans de prison et de 300 000 €


/51

d’amende pour les particuliers, 1 500 000 € d’amende pour les entreprises

o Non-respect de la réglementation bancaire (ex texte # ) pouvant mettre en jeu l’agrément bancaire

Approche prospective Deux évolutions notables sont à prendre d’ores et déjà en compte :

• L’obligation de notifier

o Failles de sécurité En France elle est obligatoire pour les Opérateurs d’Importance Vitale depuis la Loi de Programmation Militaire du 18 décembre 2013 (LPM) qui prévoit : « Les opérateurs mentionnés […] informent sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité des systèmes d'information […] » (article 22). Cette obligation a été précisée le Décret no 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale (Sous-section 4 « Déclaration des incidents de sécurité »). A la date de publication de cette fiche les arrêtés sectoriels (ex pour les institutions financières) n’ont par encore été publiés. Elle anticipe l’obligation de notifier les failles de sécurité contenue dans le projet de Directive Européenne « NIS » (2013/0027 (COD) – en particulier article 14-2)

o Atteinte aux données personnelles A l’obligation de notifier les failles de sécurité il est prévu que vienne s’ajouter une obligation de notifier en cas d’atteinte aux données personnelles. Cette obligation découle de l’actuel projet de Règlement Européen sur la protection des données personnelles (2012/0011 (COD) – article 31 et 32)

Il convient donc dès à présent d’intégrer ces obligations de notifier dans tout contrat de cloud computing.

• Durcissement des sanctions

o Failles de sécurité En cas de non-respect de l’obligation de notifier l’article 22 de la LPM prévoir : « une amende de 150 000 € »

o Atteinte aux données personnelles

Là où actuellement en France le non-respect de la Loi Informatique et Libertés expose le responsable de traitement à une amende administrative par la CNIL de 150 000 € d’amende voire 300 000 € en cas de récidive, le projet actuel de Règlement Européen porte cette amende à 5% du chiffre d’affaire mondial de l’entreprise (article 79)

Il convient donc d’alerter les décideurs sur cette augmentation significative du risque. Principaux textes pouvant trouvé à s’appliquer (droit français) et documents de référence


/51

!

Loi Informatique et Libertés

• article 3. I : « Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens »

• article 34 : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. […] »

• article 35 al. 3 et 4 : « Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

(…) »

• article 68 : « Le responsable d’un traitement ne peut transférer des données à caractère personnel vers un État n’appartenant pas à la Communauté européenne que si cet État assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet.

Le caractère suffisant du niveau de protection assuré par un État s’apprécie en fonction notamment des dispositions en vigueur dans cet État, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l’origine et de la destination des données traitées. »

"

Code monétaire et financier :

• articles L 511-33 : « I. I.-Tout membre d'un conseil d'administration et, selon le cas, d'un conseil de surveillance et toute personne qui à un titre quelconque participe à la direction ou à la gestion d'un établissement de crédit, d'une société de financement ou d'un organisme mentionné au 5 de l'article L. 511-6 ou qui est employée par l'un de ceux-ci est tenu au secret professionnel. […] Les établissements de crédit et les sociétés de financement peuvent par ailleurs communiquer des informations couvertes par le secret professionnel […] aux personnes avec lesquelles ils négocient, concluent ou exécutent les opérations ci-après énoncées, dès lors que ces informations sont nécessaires à celles-ci : […] 6° Contrats de prestations de services conclus avec un tiers en vue de lui confier des fonctions opérationnelles importantes (…)

Outre les cas exposés ci-dessus, les établissements de crédit et les sociétés de financement peuvent communiquer des informations couvertes par le secret professionnel au cas par cas et uniquement lorsque les personnes concernées leur ont expressément permis de le faire.»

#

Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution – Chapitre II : Conditions applicables en matière d'externalisation :

• article 237 : « Les entreprises assujetties qui externalisent […], demeurent pleinement responsables du respect de toutes les obligations qui leur incombent. […] »

$ CNIL – « Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing » (juin 2012) / recommandations pratiques et modèles de clauses contractuelles


/51

& Groupe de l’Article 29 – « Avis 05/2012 sur l’informatique en nuage » (juillet 2012) / définition du cloud computing, risques de l’informatique en nuage pour la protection des données, cadre juridique, recommandations

6 ACPR – « Analyses et Synthèses : les risques associés au Cloud computing » (juillet 2013) / définition du cloud computing, mise en œuvre, mesures d’accompagnement, adéquation de l’environnement réglementaire, principaux enseignements et bonnes pratiques


• Fiche n° 3 : Pratique des Contrats


/51


18/09/2015

Cybersurveillance

Définitions La cybersurveillance se caractérise par la surveillance et le contrôle, par l’employeur, de l’usage des ressources du système d’information par ses utilisateurs (salariés, stagiaires, intérimaires, salariés de prestataires, etc.).

Problématiques Explications Plusieurs raisons rendent nécessaire la cybersurveillance des utilisateurs des ressources du système d’information. Le développement des menaces et des risques de fuites d’information, la multiplication des obligations de sécurité à la charge de l’employeur (ex. article 34 de la loi informatique et libertés), les risques de demandes d’informations des autorités administratives (ex. L. 621-10 du Code monétaire et financier pour l’AMF, L. 450-3 du Code de commerce pour l’Autorité de la concurrence) et judiciaires (ex. art. 60-2 du Code de procédure pénale, art. 57-1 du Code pénal), le risque de mise en cause de la responsabilité de l’entreprise du fait des salariés (art. 1384. al. 5 du Code civil) impliquent d’encadrer les usages négligents ou malveillants des utilisateurs. En application de son pouvoir de direction, l’employeur a la possibilité de contrôler l’activité de ses salariés. A ce titre, il peut collecter un certain nombre de traces permettant d’imputer des agissements à un salarié déterminé. Toutefois ce contrôle implique de concilier les exigences de sécurité et le respect des droits des salariés, principalement le droit au respect de sa vie privée (art. 9 du Code civil). Si la règlementation encadre en partie ce pouvoir, de nombreuses questions restent en suspends : les contenus privés et professionnels peuvent-il être contrôlés ? comment distinguer un contenu professionnel d’un contenu privé ? les règles sont-elles les mêmes pour tous les outils ? à partir de quand l’usage abusif d’un outil est-il constaté ? quid du télétravail ?

! Toutes les ressources, fixes ou mobiles, mises à disposition par l’employeur sont susceptibles de faire l’objet d’un contrôle, que l’utilisateur se trouve dans les locaux de l’entreprise ou à l’extérieur (mobilité, détachement, télétravail, etc.). "Le contrôle du salarié implique le respect de règles issues des principes « Informatique et Libertés » et du Code du travail : - La réalisation de formalités administratives auprès de la CNIL (art. 22 et suivants de la loi du 6 janvier 1978) ; - L’information préalable du Comité d’entreprise et du Comité d’hygiène, de sécurité et des conditions de travail (art. L. 2323-13, L. 2323-32 et L. 4612-9 du Code du travail) ; - L’information des salariés (art. L. 1222-4 du Code du travail). Le respect des principes informatiques et libertés implique que la collecte des données soit proportionnelle au but recherché et que les données soient conservées pour une durée limitée (art. 6 de la loi du 6 janvier 1978). Il en résulte que le contrôle par l’employeur doit s’opérer de façon générale, statistique et anonyme via notamment la mise en place d’outils de recueil et d’analyse des logs. C’est uniquement en cas d’éléments objectifs caractérisant un comportement abusif (ex : alerte de sécurité) qu’il sera possible de contrôler un salarié en particulier.

#Les contours du contrôle, à savoir la possibilité de contrôler les contenus professionnels et privés, ont été précisés par la jurisprudence. Les messages électroniques et les fichiers créés à partir de l'outil mis à disposition par l'employeur sont, sauf si le salarié


/51

les identifie comme étant privés, présumés professionnels et peuvent être consultés par l'employeur sans restrictions particulières (1). Toutefois, si le contenu relève effectivement de la vie privée, l’employeur ne peut l’utiliser pour sanctionner le salarié (2).

Les contenus labélisés privés par l’utilisateur peuvent, quant à eux, être contrôlés « en cas de risque ou d'événement particulier » ou « en présence du salarié » ou celui-ci « dûment appelé » (3). Cependant, la labellisation ne doit pas être fantaisiste (refus du terme « perso » (4), contenant les initiales du salarié (5), le prénom du salarié (6), « Mes documents » (7) ou encore du disque dur « D:/données personnelles » (8)). En cas de non respect du terme imposé par l’entreprise dans le cadre de la charte informatique, le fichier est présumé professionnel et peut être contrôlé (9). $ Pour Internet, la question de la distinction « professionnel » ou « privé » ne se pose pas. Il est admis que les connexions à l'Internet réalisées par un salarié sur son lieu de travail et pendant ses heures de travail sont présumées professionnelles, ce qui permet à l’employeur de les rechercher et de les identifier en l'absence du salarié (10). Ainsi, l'inscription d'un site sur la liste des « favoris » de l'ordinateur ne lui confère aucun caractère personnel (11).

& Le contrôle du téléphone fixe et mobile a fait l’objet de règles spécifiques. Les quatre derniers chiffres des numéros doivent êtres occultés sur les relevés justificatifs, sauf contestation par l'employé du remboursement qu'il doit faire auprès de son employeur pour les communications privées ou constat par l’employeur d’une utilisation « manifestement anormale au regard de l'utilisation moyenne constatée au sein de l'entreprise ». Les salariés protégés doivent disposer d’une ligne « excluant toute possibilité d'interception de leurs communications ou d'identification de leurs correspondants » (12) (CNIL, délib. n° 2005-019, 3 févr. 2005, JO du 1er mars 2005 instituant la norme simplifiée n°47). Par ailleurs, l’employeur peut enregistrer les conversations sous réserve que le contrôle ne soit pas continu et que le salarié ainsi que son interlocuteur en ait été informé. Les salariés doivent disposer d’une ligne non surveillée pour les conversations non-liées au motif de l’écoute. Il y aura atteinte à la vie privée si les enregistrements ont « par leur conception, leur objet et leur durée, nécessairement conduit leur auteur à pénétrer dans la vie privée des personnes écoutées » (13). Toutefois s’agissant du contrôle des SMS, la jurisprudence a appliqué le


/51

principe retenu pour les fichiers et les courriers électroniques : les SMS envoyés ou reçus par le salarié sur le téléphone mis à sa disposition par l'employeur pour les besoins de son activité sont présumés avoir un caractère professionnel, en sorte que l'employeur est en droit de les consulter en dehors de la présence de l'intéressé, sauf s'ils sont identifiés comme étant personnels (20).

) A la suite de contrôles révélant des usages abusifs de la part d’un salarié, l’employeur peut le sanctionner (usage à des fins personnelles, illicites, concurrence déloyale, etc.). L’abus se caractérise par un faisceau d’indices (temps passé, caractère licite ou non des consultations, risques pour la sécurité de l'entreprise ou de mise en cause de la responsabilité de l'entreprise et de son image, diminution de la productivité du salarié, etc.). Qu’il s’agisse des messages électroniques (14) ou d’Internet (15), l’abus est généralement constitutif d’une faute grave. S’agissant des utilisateurs non liés par un contrat de travail, les mesures prises pour sanctionner les usages abusifs sont d’ordre contractuel.


Nature des risques : Il revient à l’employeur de rapporter la preuve des agissements commis par les utilisateurs. Or, à défaut du respect des exigences légales et jurisprudentielles, la preuve sera, en matière civile, illicite et non recevable (art. 9 du Code de procédure civile et art. 8 de la CEDH). La sanction prise à l’encontre du salarié sera donc invalidée. A titre d’exemple, le contrôle des connexions à l’Internet d’un salarié et le licenciement qui s’en est suivi a été invalidé en l’absence de preuve de remise par l’employeur d’un « règlement intérieur contenant les dispositions et un document relatif à l'utilisation des moyens informatiques » (17). Il en est de même du contrôle effectué avant la réalisation des formalités administratives auprès de la CNIL (18). En matière pénale, le principe de liberté de la preuve permet la production de preuve obtenue de façon illicite (article 427 du Code pénal) ce qui n’assure pas le gain du procès. En cas de contrôle illicite de contenus privés, l’employeur pourra également, en fonction des situations, être condamné sur le plan civil à des dommages et intérêts ou sur le plan pénal à 1 an d’emprisonnement et jusqu’à 45 000 euros d’amende (soit 225 000 euros d’amende pour la personne morale) pour atteinte à la vie privée (article 226-1 du Code pénal) ou au secret des correspondances (article 226-15 du Code pénal). L’employeur s’expose également à des sanctions pour manquement aux obligations « Informatique et Libertés ». La CNIL peut prononcer des mesures administratives (avertissement, injonction de cesser le traitement, publication de la sanction, amendes, etc.). Ces obligations sont également susceptibles de sanctions pénales prévues aux articles L. 226-16 et suivants du Code pénal (jusqu’à 5 ans d'emprisonnement et 300 000 € d'amende soit 1 500 000 € pour les personnes morales).


/51

Mesures pratiques :

• Mettre en place des mesures technologiques particulières (outil de contrôle et de suivi des actions sur le système d’information, mesures de filtrage, etc.),

• Mettre en place les mesures adéquates au sein du règlement intérieur ou d’une charte informatique : * Ces mesures encadrent les usages des ressources du système d'information :

-‐ Elle précise les devoirs des utilisateurs, les interdictions d’usages des ressources (poste de travail, internet, messagerie électronique, serveurs de fichiers, supports de stockage, etc.) ;

-‐ Elle précise ce qui relève des contenus privés ou professionnels ; -‐ Elle précise une règle de labellisation des contenus privés avec un mot-clé unique.

* Ces mesures informent des procédures de contrôle : - Elle rappelle les principes d’un contrôle statistique, puis, si nécessaire dans un second

temps, nominatif ; - Elle offre une visibilité sur le type de traces collectées avec une liste non limitative ; - Elle n’a pas à préciser le détail des modalités d’investigation.

* Ces mesures sont conformes aux autres documents existant dans l’entreprise et notamment le Règlement intérieur, la Politique de sécurité des systèmes d’information (PSSI) et ses documents d’application.

* Ces mesures sont juridiquement opposables aux utilisateurs des ressources du système d’information : -‐ Pour les salariés, la méthode la plus recommandée consiste à intégrer les dispositions

dans le règlement intérieur ou dans une charte qui y sera annexée afin que ces dispositions aient la valeur de règlement intérieur et que les manquements puissent faire l’objet de sanctions disciplinaires.

-‐ Pour les prestataires, il est recommandé d’intégrer ces mesures comme annexe au contrat de prestation pour lui donner une valeur contractuelle, à charge pour le prestataire de former ses salariés à ces règles et de les faire respecter.

• Mettre en œuvre des actions de formation et de sensibilisation.

• Appliquer ces mesures : en tolérant des usages contraires aux règles prévues dans la

charte, l’employeur risque de voir la sanction prononcée invalidée par les juridictions (16).

• Selon les situations, envisager le recours à un huissier ou solliciter sa désignation en justice sur le fondement de l’article 145 du Code de procédure civile pour faire conserver et établir la preuve des faits.

Sur la charte informatique, le Groupe renvoie aux développements figurant dans le livrable « La « Charte Informatique » par l’exemple de décembre 2006 (disponible sur le site du Forum des compétences). Approche prospective Pour être efficace, la charte doit être adaptée à l’entreprise et aux comportements qu’elle encadre. Le contrôle des ressources implique une veille technologique, règlementaire et jurisprudentielle afin de pouvoir réaménager la charte en fonction des nouveaux usages et des modifications des conditions de contrôle :

• L’utilisation des terminaux personnels, des réseaux sociaux ou encore le droit à la déconnexion sont des pratiques qui ne cessent de se développer et dont l’usage doit être encadré par l’entreprise en fonction de ses pratiques internes.

• Si la charte contient des dispositions restreignant le pouvoir de contrôle de l’employeur de façon plus favorable au salarié en le soumettant à d’autres conditions que celles prévues dans la jurisprudence, la charte s’applique (19).

• La charte informatique doit également évoluer en fonction des évolutions de la législation.


/51

Par ailleurs, la loi de programmation militaire du 18 décembre 2013 a prévu la possibilité pour l’ANSSI d’imposer aux Opérateurs d’importance vitale, un certains nombre de mesures de sécurité et notamment l’installation d’équipements de sécurité labellisés, tels que des sondes de détection. Des arrêtés sectoriels, en cours de discussion viendront apporter des précisions. Références (textes, jurisprudences…)

1. Cass. soc., 18 oct. 2006, n° 04-48.025, Bull. civ., V, n° 308. 2. Cass. soc. 5 juillet 2011, n° 10-17.284, M.X c/ GAN Assurances. 3. Cass. soc., 17 mai 2005, n° 03-40.017, Philippe X. c/ Société Cathnet-Science, Bull. civ., V, n°

165, Cass. soc., 17 juin 2009, n° 08-40.274, FS-P+B, SA Sanofi chimie c/ X. et Y. 4. CA Paris, Pôle 6, chambre 7, 10 avril 2014, n° 11/04388, Dampierre c/ SARL Dubbing

Brothers International. 5. Cass. soc., 21 oct. 2009, n° 07-43.877, Bull. civ., V, n° 226. 6. Cass. soc., 8 déc. 2009, n° 08-44.840. 7. Cass. soc., 10 mai 2012, n° 11-13.884. 8. Cass. soc., 4 juill. 2012, n° 11-12.502. 9. Cass. Soc. 4 juill. 2012, n° 11-12.502. 10. Cass. soc., 9 juill. 2008, n° 06-45.800. 11. Cass. soc., 9 févr. 2010, n° 08-45.253. 12. Cass. soc. 4 avr. 2012, n° 10-20.845, JurisData n° 2012-006380. 13. Cass. crim. 7 octobre 1997, n° 96-81.485, Bull. crim., n° 324, p. 1069. 14. Cons. prud'hommes Angers, 30 janv. 2009, G. c/ AGC Maine-et-Loire, n° 07-00427, Cass.

soc., 18 décembre 2013, n° 12-17832. 15. Cass. Soc., 18 mars 2009, n° 07-44.247, Cass. soc. 26 février 2013, n°11-27.372. 16. Cass. Soc. 10 mai 2012, n° 11-11.060. 17. CA Paris 15 novembre 2011, n° 09/09398, JurisData : 2011-02510. 18. Cass. soc., 8 octobre 2014, n° 13-14.991. 19. Cass. soc., 26 juin 2012, n° 11-15.310. 20. Cass. Soc, 29 octobre 2014 avril, n° 13-18.173


• Fiche n° x : Protection des données personnelles • Fiche n° x : Bring your own device (BYOD) • Fiche n° 6 : Réseaux sociaux


/51


18/09/2015

Réseaux sociaux

Définitions Les réseaux sociaux désignent « des plates-formes de communication en ligne permettant à des personnes de créer des réseaux d'utilisateurs partageant des intérêts communs » (Avis 5/2009 du groupe de l’article 29 sur les réseaux sociaux en ligne du 12 juin 2009 qui définit les « services de réseautage social (SRS) »). L’avis précise qu’il s’agit de services de la société de l’information et qu’ils « partagent certaines caractéristiques :

- les utilisateurs sont invités à fournir des données à caractère personnel permettant de donner une description ou un « profil ».

- les services de réseautage social mettent également à disposition des outils permettant aux utilisateurs de mettre leur propre contenu en ligne (contenu généré par l'utilisateur tel que des photos, des chroniques ou des commentaires, de la musique, des vidéos ou des liens vers d'autres sites) ;

- les « réseaux sociaux » fonctionnent grâce à l'utilisation d'outils mettant à disposition une liste de contacts pour chaque utilisateur avec une possibilité d'interaction ».

Parmi les différents types de réseaux sociaux on retrouve les réseaux d’anciens, les réseaux de rencontre, les réseaux regroupant les personnes aux affinités communes, les réseaux professionnels ou encore les réseaux sociaux d’entreprise.

Problématiques Explications L’usage des réseaux sociaux s’est développé de façon exponentielle depuis quelques années et, avec, la multiplication des cas d’abus de la liberté d’expression et d’atteintes à la e-reputation de l’entreprise et de ses dirigeants : les salariés se moquent des clients, de leurs collègues, de leur direction, voire de leurs concurrents, etc. Les réseaux sociaux constituent également un vecteur de fuite d’informations confidentielles parfois protégées au titre du secret professionnel (secret bancaire ou médical par exemple) et dont l’entreprise est tenue d’assurer la sécurité et la confidentialité (réglementation sur les données à caractère personnel, réglementation prudentielle, etc.). Ces comportements, préjudiciables à la sécurité de l’entreprise et à sa réputation, impliquent aujourd’hui une vigilance de sa part. En effet, l’employeur étant responsable en tant que « commettant » du fait de ses « préposés » (salariés), c’est-à-dire des fautes commises par

Comme tout contrôle par l’entreprise, les informations sur les réseaux sociaux privés ou professionnels, externes ou internes à l’entreprise, peuvent être exploitées dans le respect des dispositions du droit du travail et de la loi « Informatique et libertés » (cf. fiche n° X : Cybersurveillance). !Réseaux externes : S’agissant du contrôle sur les réseaux externes, les données doivent être directement liées à l’activité professionnelle du salarié. En effet, deux tempéraments existent au principe selon lequel un salarié ne peut être sanctionné pour un fait tiré de la vie personnelle : - Si cet abus crée un trouble caractérisé au sein de l’entreprise. Un licenciement pour motif personnel pourra être prononcé (1). - Si les faits sont en réalité constitutifs d’une faute professionnelle (2). Ainsi, même en dehors de l’entreprise, le salarié reste tenu à ses obligations


/51

ceux-ci dans le cadre de leur vie professionnelle (article 1384, al. 5 du Code civil), un suivi des contenus mis en ligne apparaît essentiel qu’ils s’agissent des réseaux externes (Facebook, Twitter, Linkedin, Viadéo, etc.) ou du réseau social interne à l’entreprise. Cependant, le réseau social se révèle être un lieu où il n’est pas évident de tracer la frontière entre vie privée et vie publique ou professionnelle. En effet, le réseau social externe se situe par essence en dehors de l’entreprise et donc du lien de subordination de l’employeur. De par sa nature, le réseau social a également pour objectif de permettre à chacun de s’exprimer en diffusant des contenus. Quant aux réseaux sociaux d’entreprise, quelles que puissent être les fonctionnalités offertes par eux (simples fonctionnalités de travail collaboratif ou véritable réseau social intégré), ils sont souvent l’occasion de modifications organisationnelles parfois profondes. Les problématiques juridiques soulevées à cette occasion sont également nombreuses (sécurité des systèmes d’information, protection des données à caractère personnel, droit de la presse, droit des communications électroniques, droit de la propriété intellectuelle, droit à l’image, droit social, etc.) et imposent de prendre quelques précautions préalables. Si certaines règles classiques de la cybersurveillance trouvent à s’appliquer (cf. fiche n° 5 : Cybersurveillance), les réseaux sociaux, en raison de leur spécificité soulèvent de nouvelles questions. Nous renvoyons par ailleurs le lecteur intéressé par ces problématiques aux travaux plus spécifiques réalisés par le Groupe de travail du Forum des Compétences « Réseaux sociaux et Entreprise – Quels enjeux et quels risques ? FAQ »

de loyauté et de confidentialité inhérentes à son contrat de travail. De plus, les propos doivent avoir été rendus accessibles à un large public ou au minimum à un cercle plus élargi que des individus reliés par une communauté d’intérêt. Si la majorité des décisions se sont montrées en faveur de la présomption de caractère public des pages des personnes sur les réseaux sociaux (3), la question n’est pas tranchée et fait l’objet de quelques décisions divergentes qui tendent à considérer qu’il s’agit d’un espace privé (4). La recevabilité de la preuve dépendra donc du degré de visibilité choisi par le titulaire de la page sur laquelle les contenus sont publiés (paramétrage du mur et de son accès). Il faut en outre que l’employeur puisse prouver l’imputabilité des propos ou actes reprochés au salarié (5). En cas de propos illicites, afin d’éviter qu’ils ne se répandent, l’entreprise peut notifier le contenu au réseau social afin qu’il procède à sa suppression. En tant qu’hébergeur, les réseaux sociaux sont tenus de supprimer les contenus illicites ou préjudiciables qui leur seraient notifiés (article 6 de la loi 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique). "Réseaux sociaux d’entreprise (RSE) La question de la publicité des propos et de l’accès à ceux-ci n’a plus d’objet dans le cadre des RSE. L’exploitation des informations récoltées sur les réseaux internes ou dans les espaces de communauté organisés autour de sujets (professionnels ou non) est possible et sera beaucoup plus large. Toutefois, les principes relatifs à la liberté d’expression et à ses limites restent applicables. A ce titre, si un salarié peut tenir des propos critiques (6), il ne saurait tenir des propos injurieux et excessifs qui seraient caractéristiques d’un abus de la liberté d’expression (7) et les diffuser au delà d’une communauté restreinte. De plus, en application de l’article L. 1121-1 du Code du travail, la liberté d’expression du salarié dans l’entreprise peut être soumise à des restrictions justifiées par la nature de la tâche à accomplir sous réserve d’être proportionnées au but recherché. La sécurité de la plateforme sera un élément crucial dont dépendra la fiabilité de la preuve. Le RSE étant en principe amené à contenir un certain nombre de données à caractère personnel, le respect de la réglementation


/51

« Informatique et Libertés » devra être assuré par l’entreprise (sécurité des données, formalités administratives auprès de la CNIL, information des personnes, etc.) (cf. fiche n° X : Protection des données personnelles). De la même manière, les entreprises traitant de données médicales ou bancaires devront être vigilantes lors de la mise en œuvre du RSE de sorte que le secret professionnel soit respecté (L. 511-33 du Code monétaire et financier ; L. 1110-4 du Code de la santé publique ; L. 127-7 du Code des assurances pour la protection juridique). Enfin, en cas de recours à un prestataire pour la fourniture de la plateforme, certaines clauses devront être prévues notamment afin d’envisager au mieux la protection des données (localisation des données, sécurité, notification de la violation de données, audit, contrôle ou encore pénalités et réversibilité, etc.) (pour une plateforme en mode SaaS, cf. fiche n° 4 : Cloud computing).


Nature des risques : Il revient à l’employeur de rapporter la preuve des agissements commis par les utilisateurs. Or, à défaut du respect des exigences légales et jurisprudentielles, la preuve sera, en matière civile, illicite et non recevable (art. 9 du Code de procédure civile). La sanction prise à l’encontre du salarié risquera d’être invalidée. A titre d’exemple, le contrôle des connexions à l’Internet d’un salarié et le licenciement qui s’en est suivi a été invalidé en l’absence de preuve de remise par l’employeur d’un « règlement intérieur contenant les dispositions et un document relatif à l'utilisation des moyens informatiques » (8). Il en est de même du contrôle effectué avant la réalisation des formalités administratives auprès de la CNIL (9). L’absence de fiabilité de la preuve expose également l’employeur à son rejet des débats. En matière pénale, le principe de liberté de la preuve permet la production de preuve obtenue de façon illicite (article 427 du Code pénal) ce qui ne garantit en rien le résultat escompté. En cas de contrôle illicite de contenus privés, l’employeur pourra également, en fonction des situations, être condamné sur le plan civil à des dommages et intérêts ou sur le plan pénal à 1 an d’emprisonnement et jusqu’à 45 000 d’amende (225 000 euros d’amende pour les personnes morales) pour atteinte à la vie privée (article 226-1 du Code pénal) ou au secret des correspondances (article 226-15 du Code pénal). L’employeur s’expose également à des sanctions pour manquement aux obligations « Informatique et Libertés ». La CNIL peut prononcer des mesures administratives (avertissement, injonction de cesser le traitement, publication de la sanction, amendes, etc.). Ces obligations sont également susceptibles de sanctions pénales prévues aux articles L. 226-16 et suivants du Code pénal (jusqu’à 5 ans d'emprisonnement et 300 000 € d'amende, soit 1 500 000 € pour les personnes morales). Mesures pratiques :

• Mettre à jour la documentation relative à l’utilisation des moyens informatiques afin d’y intégrer


/51

cet usage (CGU spécifiques au RSE, règlement intérieur, charte informatique, etc.) ;

• Validation hiérarchique préalable des contenus pour les réseaux sociaux externe dès lors que le salarié s’exprime au nom de l’entreprise, à défaut interdiction ;

• En cas de propos préjudiciables pour l’entreprise, réaliser un constat d’huissier des propos litigieux en respectant la norme AFNOR NF Z67-147 Mode opératoire de procès-verbal de constat sur internet effectué par Huissier de justice ;

• En cas de propos préjudiciables pour l’entreprise, envisager une notification au réseau social ;

• Et plus particulièrement pour le RSE : * Réaliser en amont un audit des fonctionnalités envisagées ; * Saisir les directions concernées par le projet (communication interne, ressources

humaines, juridique, conformité, CIL ou DPD, DSI, etc.) ; * Mettre en place des conditions générales d’utilisation spécifiques à ce service et prévoir les

conditions d’adhésion pour leur opposabilité ; * Réaliser un guide d’information à destination des salariés et des actions de sensibilisation ; * Renforcer l’encadrement contractuel des prestataires pouvant accéder au réseau ; * Définir une classification des informations et un dispositif de gestion des habilitations ; * Mettre en place des mesures de protection des données à caractère personnel afin d’en

assurer la confidentialité et la sécurité ; * Analyser précisément les contrats de licence d’utilisation des logiciels de la plateforme

choisie. Approche prospective La future norme ISO sur la réputation en ligne devrait apporter un certain nombre de clés pour l’entreprise dans la gestion de leur e-reputation. Cette norme portera sur les méthodes, outils et bonnes pratiques relatives à la réputation en ligne des organismes, entreprises, services, produits et/ou personnes dans les média sociaux. La préservation de la e-reputation et de la responsabilité de l’entreprise implique également une certaine vigilance en cas de partenariat réalisé avec un réseau social dans le but de proposer de nouveaux services (promotion d’applications, mise en place de solutions de paiement, etc.). Un tel partenariat nécessite un encadrement contractuel strict avec le réseau social. Références (textes, jurisprudences…)

1. Cass. Soc. 9 mars 2011, n° 09-42.150, Bull. civ. V, n° 69. 2. Cons. prud’h. Boulogne-Billancourt, 19 nov. 2010, n° F 09/00343, CA Versailles, 17e ch.,

22 févr. 2012. www.legalis.net (qui a requalifié la sanction en licenciement sans cause réelle et sérieuse à cause d’un vice de forme).

3. CA Besançon, 15 novembre 2011, n° 10/02642 ; CA Lyon, 22 novembre 2012, n° 11/05140 ; Cass. Civ 1re, 10 avril 2013, n° 11-91.530 ; CA Lyon, 28 janvier 2014, n° 13/03907.

4. CA Rouen, 15 novembre 2011, n° 11/01827. 5. CA Versailles, 12 novembre 2013, n° 12/03153 et 12/03151, CA Versailles, 20 novembre

2013, n° 12/03396. 6. Cass. Soc., 10 novembre 2009, n° 08-43.065 7. Cass. Soc., 15 décembre 2009, n° 07-44.264 ; CA Dijon, 30 juin 2011, n° 10/00707 ; Cass.

Soc, 28 mars 2012, n° 11-10.513. 8. CA Paris 15 novembre 2011, n° 09/09398, JurisData : 2011-02510. 9. Cass. Soc., 8 octobre 2014, n° 13-14.991.


/51


• Fiche n° 4 : Cloud computing • Fiche n° 5 : Cybersurveillance


/51


18/09/2015

Sécurité des paiements

Définitions Les paiements entrant dans le périmètre concerné ici sont tous les paiements traités sous forme informatique, qu’il s’agisse de virements ou de paiements par carte bancaire (physiques ou sur Internet).

Problématiques Explications La dématérialisation croissante des paiements et la généralisation des services offerts sur internet (virements et paiements par cartes) ont ouvert la voie à un développement considérable de la fraude. C’est pourquoi le législateur et les autorités régulatrices ont jugé nécessaire d’établir un certain nombre d’exigences en matière de sécurité. La Directive sur les services de paiements (DSP) de 2007 a ainsi introduit des exigences sur les dispositifs de sécurité associés aux moyens de paiement. Plus récemment, la BCE (2013) et l’ABE (2014) ont édicté des règles relatives à la sécurité des paiements sur Internet. Les principales exigences portent sur la nécessité de protéger l’initiation des paiements sur internet et l’accès aux données sensibles concernant les paiements par une authentification forte du client afin de garantir que l’initiateur d’un paiement est un utilisateur autorisé et non un fraudeur.

! Le Code monétaire et financier impose aux prestataires de services de paiement de s’assurer de la sécurité des moyens d’authentification offerts aux utilisateurs de ces services de paiement (par exemple « l’authentification non rejouable » aux sites de banque en ligne offrant la possibilité d’effectuer des virements). " Les « Orientations » de l’ABE contiennent 14 règles principales et 53 règles détaillées. Elles sont structurées en trois chapitres principaux : Environnement général de contrôle et de sécurité

• Gouvernance d'entreprise • Évaluation des risques • Suivi et déclaration des incidents • Contrôle et atténuation des risques • Traçabilité

Mesures de contrôle et de sécurité spécifiques pour les paiements sur internet

• Identification initiale du client, informations • Authentification forte du client • Demande et fourniture d'outils

d'authentification et/ou logiciel livré au client

• Tentatives de connexion, délais d’expiration des sessions, validité de l'authentification

• Suivi des opérations • Protection de données sensibles de

paiement Sensibilisation et éducation du client et communication avec le client

• Éducation du client et communication avec le client

• Notifications, fixation de limites • Accès du client aux informations sur le


/51

statut de l'initiation et de l'exécution du paiement

# La date de mise en œuvre des « Orientations » par les autorités de surveillance et par les établissements financiers est fixée au 1er août 2015.


Nature des risques : En ce qui concerne les dispositifs de sécurité personnalisés des instruments de paiement tout comme le respect des exigences formulées dans les Orientations de l’ABE, la Banque de France, étant chargée par l’article L. 141-4 du Code monétaire et financier de veiller au bon fonctionnement et à la sécurité des systèmes de paiement, peut recommander à l’établissement de prendre toutes mesures destinées à y remédier. Si ces recommandations n'ont pas été suivies d'effet, elle peut, après avoir recueilli les observations de l'établissement, décider de formuler un avis négatif publié au Journal officiel. Mesures pratiques : De nombreuses mesures doivent être mises en place pour respecter les exigences des Orientations de l’ABE. Certaines relèvent depuis un certain temps de « l’état de l’art » et sont déjà assez largement généralisées, d’autres sont plus nouvelles. Exemple d’une exigence nouvelle :

« Exigence 10.1 : Les PSP doivent utiliser des systèmes de détection et de prévention de la fraude pour détecter les opérations suspectes avant que le PSP n'autorise définitivement les opérations ou les mandats électroniques. Ces systèmes doivent reposer par exemple sur des règles paramétrées (telles que des listes noires de données de cartes compromises ou volées), et utiliser des outils de détection des comportements anormaux concernant le client ou le dispositif d'accès du client (tel un changement d'adresse Internet Protocol [IP] ou de plage IP pendant la session du service de paiement internet, détecté parfois par un contrôle de géolocalisation IP, des catégories atypiques de commerçants en ligne pour un client spécifique ou des données d'opération inhabituelles, etc.). De tels systèmes doivent également être en mesure de détecter des signes d'infection par un logiciel malveillant pendant la session (par exemple, à l’aide d’outils permettant de déterminer si l’interlocuteur est un homme ou une machine) et des scénarios de fraude connus. Tout en respectant la réglementation pertinente en matière de protection des données, l'étendue, la complexité et l'adaptabilité des solutions de suivi doivent être proportionnelles au résultat de l'évaluation du risque ».

Approche prospective La deuxième directive sur les services de paiement (DSP II) est en cours d’élaboration, suite à une proposition de la Commission européenne du 24 juillet 2013. Elle devrait selon toute vraisemblance renforcer les exigences de sécurité (par exemple, le texte de compromis de la présidence italienne du Conseil du 1er décembre 2014 contient une exigence d'authentification forte du client dès l’entrée de la banque en ligne).


/51

Références (textes, jurisprudences…) CODE MONÉTAIRE ET FINANCIER Transposant l’article 57 de la directive européenne 2007/64/CE sur les services de paiement, le Code monétaire et financier impose aux prestataires de services de paiement de s’assurer de la sécurité des moyens d’authentification offerts aux utilisateurs de ces services de paiement. Livre Ier : La monnaie Titre III : Les instruments de la monnaie scripturale Chapitre III : Les règles applicables aux autres instruments de paiement

Article L.133-15 :

« I – Le prestataire de services de paiement qui délivre un instrument de paiement doit s'assurer que les dispositifs de sécurité personnalisés de cet instrument tels que définis à l'article L. 133-4 ne sont pas accessibles à d'autres personnes que l'utilisateur autorisé à utiliser cet instrument. […] » Article L. 133-4 : Pour l'application du présent chapitre : « a) Un dispositif de sécurité personnalisé s'entend de tout moyen technique affecté par un prestataire de services de paiement à un utilisateur donné pour l'utilisation d'un instrument de paiement. Ce dispositif, propre à l'utilisateur de services de paiement et placé sous sa garde, vise à l'authentifier ; […] c) Un instrument de paiement s'entend, alternativement ou cumulativement, de tout dispositif personnalisé et de l'ensemble de procédures convenu entre l'utilisateur de services de paiement et le prestataire de services de paiement et auquel l'utilisateur de services de paiement a recours pour donner un ordre de paiement ; […] » ORIENTATIONS DE L’ABE Dans une première phase, suite aux travaux du SecuRe Pay Forum regroupant les 17 banques centrales nationales de l’Eurosystème et à une consultation publique, une version finale du document « Recommendations for the security of internet payments » avait été publiée par la Banque centrale européenne le 31 janvier 2013, avec une date de mise en œuvre fixée au 1er février 2015. Elle a été suivie en février 2014 par un « Assessment guide for the security of internet payments ». La responsabilité de ces règles est désormais reprise par l’Autorité bancaire européenne (ABE) qui, après une consultation publique, a publié le 19 décembre 2014 la version finale des « Guidelines on the security of internet payments » dont la date de mise en application est désormais fixée au 1er août 2015. La version française des « Orientations sur la sécurité des paiements sur Internet » a été publiée par l’ABE en mars 2015 et mise à jour en mai 2015. Fondement légal des « Orientations » Ces « Orientations » sont émises par l’ABE en vertu de l’article 16 du règlement n° 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), qui précise dans son (1) « Afin d’établir des pratiques de surveillance cohérentes, efficientes et effectives au sein du SESF [Système européen de surveillance financière] et d’assurer une application commune, uniforme et cohérente du droit de l’Union, l’Autorité émet des orientations et des recommandations à l’intention des autorités compétentes ou des établissements financiers. » et dans son (3) « Les autorités compétentes et les établissements financiers mettent tout en œuvre pour respecter ces orientations et recommandations. »


/51

Ceci est précisé dans le projet de deuxième directive sur les services de paiement. La proposition de directive de la Commission européenne du 24 juillet 2013 dispose dans l’alinéa 2 de l’article 86 : « Sans préjudice des articles 14 et 15 de la [directive SRI], l’ABE élabore, en étroite collaboration avec la BCE, des orientations concernant l’établissement, l'application et le suivi des mesures de sécurité, y compris, le cas échéant, des procédures de certification. L'ABE tient compte, notamment, des normes et/ou spécifications publiées par la Commission en vertu de l’article 16, paragraphe 2, de la [directive SRI]. 3. L’ABE, en étroite collaboration avec la BCE, réexamine ces orientations à intervalles réguliers, et au moins tous les deux ans. » Ces Orientations ne sont pas néanmoins directement juridiquement contraignantes, contrairement aux « Normes techniques réglementaires » ou aux « Normes techniques d’exécution ». Selon l’article 16 du règlement n° 1093/2010 précité, « Dans un délai de deux mois suivant l’émission d’une orientation ou d’une recommandation, chaque autorité compétente indique si elle respecte ou entend respecter cette orientation ou recommandation. Si une autorité compétente ne la respecte pas ou n’entend pas la respecter, elle en informe l’Autorité en motivant sa décision. » Cette décision de chaque autorité compétente (en France, la Banque de France) est rendue publique par l’ABE : « L’Autorité publie le fait qu’une autorité compétente ne respecte pas ou n’entend pas respecter cette orientation ou recommandation. L’Autorité peut également décider, au cas par cas, de publier les raisons invoquées par l’autorité compétente pour ne pas respecter l’orientation ou la recommandation en question. L’autorité compétente est avertie, au préalable, de cette publication. » De la même manière, « Si l’orientation ou la recommandation le requiert, les établissements financiers rendent compte, de manière précise et détaillée, de leur respect ou non de cette orientation ou recommandation. » Évolution prospective des « Orientations » Les Orientations seront revues après l’adoption de la DSP II (suite au choix de la « two-step approach » après consultation publique, il a été décidé par l’ABE de ne pas inclure dans la première version des Orientations de nouvelles exigences en anticipation de la DSP II, mais de prévoir la publication d’une nouvelle version des Orientations postérieurement à l’adoption de la version définitive de la DSP II). Ces « Orientations » pourraient par ailleurs se muer en « Normes techniques d’exécution » (NTE, adoptées par la Commission sous formes de règlements ou de décisions) conformément à l’article 15 du règlement n° 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), qui précise dans son (1) : « L’Autorité peut élaborer des normes techniques d’exécution, par la voie d’actes d’exécution en vertu de l’article 291 du traité sur le fonctionnement de l’Union européenne, dans les domaines expressément prévus par les actes législatifs visés à l’article 1er, paragraphe 2. Les normes techniques d’exécution sont des normes techniques qui n’impliquent aucune décision stratégique ni aucun choix politique et dont le contenu détermine les conditions d’application de ces actes. L’Autorité soumet ses projets de normes techniques d’exécution à la Commission pour approbation. » En effet, suite aux amendements adoptés par le Parlement européen le 3 avril 2014 en première lecture, l’alinéa 2 de cet article 86 s’écrirait désormais ainsi : « L'ABE élabore, en étroite collaboration avec la BCE, des normes techniques d'exécution concernant l'établissement, l'application et le suivi des mesures de sécurité, y compris, le cas échéant, des procédures de certification. L'ABE tient compte, notamment, des normes et/ou spécifications publiées par la Commission ainsi que des recommandations de l'Eurosystème de la BCE relatives à la sécurité des paiements sur l'internet formulées dans le cadre du forum SecuRe Pay . L'ABE soumet ces projets de normes techniques d'exécution à la Commission au plus tard le […]*.


/51

La Commission a compétence pour adopter les normes techniques d'exécution visées au premier alinéa conformément à l'article 15 du règlement (UE) n° 1093/2010. »


/51


18/09/2015

Sécurité des données des cartes bancaires

Problématiques Explications Les compromissions de données des cartes bancaires, et les fraudes qu’elles permettent, s’étant multipliées au cours de la première décennie du siècle, il devenait nécessaire de renforcer la sécurité, notamment dans le « domaine acquéreur » (commerçants et fournisseurs de services de paiements monétiques). C’est pourquoi le PCI Security Standards Council qui réunit les grands réseaux émetteurs de cartes (Visa, MasterCard, American Express, Discover, JCB) a développé la norme PCI DSS (Payment Card Industry Data Security Standard) dans le but de renforcer la sécurité des données des titulaires de cartes et de faciliter l'adoption de mesures de sécurité uniformes à l’échelle mondiale. Il ne s’agit pas d’une obligation réglementaire stricto sensu, mais d’une obligation contractuelle incontournable compte tenu de la place prise par les réseaux émetteurs.

! Champ d’application : Dans un premier temps, l’exigence de certification PCI-DSS se focalise sur les commerçants (selon 4 niveaux d’exigence, en fonction du nombre de transactions) et les fournisseurs de services de paiement [PSP - Payment Service Providers] (selon 2 niveaux d’exigence, en fonction du nombre de transactions). Les commerçants et leurs fournisseurs de services doivent faire certifier leur conformité à PCI-DSS. À ce stade, les obligations qui pèsent sur une banque acquéreur sont donc les suivantes :

• s’assurer que ses commerçants et ses fournisseurs de services monétiques sont conformes aux exigences PCI-DSS

• déclarer le statut de PCI-DSS de ses commerçants en fonction des volumes et des types de transaction traités

• mentionner le nom des fournisseurs de services monétiques de ses commerçants

En ce qui concerne la banque elle-même, elle n’a pas d’obligation de certification (pour le moment…), mais elle a bien une obligation de conformité. " Les 12 conditions de PCI-DSS : La norme PCI DSS s’organise en 12 « conditions » (ou « clauses » ou « exigences) : Création et gestion d’un réseau sécurisé Condition 1 : Installer et gérer une configuration

de pare-feu pour protéger les données des titulaires de cartes

Condition 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur

Protection des données des titulaires de cartes de crédit


/51

Condition 3 : Protéger les données des titulaires de cartes stockées

Condition 4 : Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts

Mise à jour d’un programme de gestion des vulnérabilités Condition 5 : Utiliser des logiciels antivirus et les mettre à jour régulièrement Condition 6 : Développer et gérer des systèmes et des applications sécurisés Mise en œuvre de mesures de contrôle d’accès strictes Condition 7 : Restreindre l'accès aux données des

titulaires de cartes aux seuls individus qui doivent les connaître

Condition 8 : Affecter un ID unique à chaque utilisateur d’ordinateur

Condition 9 : Restreindre l’accès physique aux données des titulaires de cartes

Surveillance et test réguliers des réseaux Condition 10 : Effectuer le suivi et surveiller tous

les accès aux ressources réseau et aux données des titulaires de cartes

Condition 11 : Tester régulièrement les processus et les systèmes de sécurité

Gestion d’une politique de sécurité des informations Condition 12 : Gérer une politique qui assure la

sécurité des informations des employés et des sous-traitants

# Les conditions qui sont vraiment spécifiques à l’activité cartes sont les conditions 3 (Protéger les données des titulaires de cartes stockées) et 4 (Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts). Les autres conditions font partie de « l’état de l’art » de la maîtrise des risques SI, mais elles deviennent ici exigibles. On peut enfin rappeler que les données cartes constituent des « données à caractère personnel » et, comme telles, sont soumises à la loi Informatiques et Libertés (cf. la fiche correspondante).



/51

Nature des risques : En cas de non-respect des obligations déclaratives et/ou en cas de compromission de carte chez les commerçants clients de la banque ou chez la banque elle-même, des pénalités financières sont applicables à la banque acquéreur. La sanction maximale est le retrait de la licence d’exploitation Visa et/ou Mastercard. Mesures pratiques : Vis-à-vis des commerçants :

• les sensibiliser et les inciter à se mettre en conformité avec PCI-DSS • s’assurer qu’ils sont conformes (et si nécessaire certifiés) PCI-DSS • déclarer le statut de PCI-DSS des commerçants en fonction des volumes et des types de

transactions traitées Vis-à-vis des fournisseurs de services monétiques :

• s’assurer qu’ils sont certifiés PCI-DSS Pour les banques : Même si elles ne sont pas soumises à une exigence de certification PCI-DSS, les banques sont d’ores et déjà soumisses à une obligation de conformité et doivent donc mettre en œuvre les actions nécessaires pour atteindre le niveau de conformité permettant d’obtenir la certification, d’autant plus que celles-ci peuvent s’avérer longues et coûteuses :

• procéder à une analyse d’écart (pré-audit) • réduire le périmètre « monétique » autant que possible • éliminer toute manipulation des données cartes qui ne serait pas nécessaire aux

processus opérationnels • masquer partiellement (selon la règle PCI-DSS) les affichages ou impressions des

numéros de carte bancaire chaque fois que possible • chiffrer les données stockées ou transférées, en veillant tout particulièrement à rester à

l’état de l’art en matière de protocoles et d’algorithmes de chiffrement (la version 3.1 a ainsi eu pour principal objet l’éradication de SSL et des « premiers » TLS (TLS 1.0 à la date de publication de cette fiche) et la migration vers TLS 1.2)

Approche prospective Le fait que la version 3.1 soit sortie trois mois et demi seulement après le début de la validité exclusive de la version 3.0 semble dénoter une volonté de suivre de près l’évolution des menaces et de l’état de l’art (en l’occurrence les vulnérabilités du protocole SSL et des premiers protocoles TLS). Références (textes, jurisprudences…) Le document de référence s’intitule Conditions et procédures d’évaluation de sécurité de la norme PCI DSS (Requirements and Security Assessment Procedures). La version 3.1 a été publiée le 15 avril 2015 et est entrée en vigueur le même jour. La version 3.0 a été publiée le 6 novembre 2013, est entrée en vigueur le 1er janvier 2014 et sera


/51

retirée le 30 juin 2015. La version 2.0 d’octobre 2010 pouvait encore être utilisée comme référence de validation jusqu’au 31 décembre 2014. Fiches à consulter en liaison avec cette thématique

• Fiche n° 1 : Contrôle de la sécurité du SI • Fiche n° 3 : Pratique des contrats

Obligations en matière de Sécurité de l’Information · relatif au contrôle interne des...

Documents

Transcript of Obligations en matière de Sécurité de l’Information · relatif au contrôle interne des...