Veille Juridique

Veille Juridique

RGPD, cybersécurité dans le droit français et droit du numérique

RGPD Droit numérique Cybersécurité BTS SIO SISR

01. Pourquoi la veille juridique pour un SISR ?

Responsabilité légale

Un technicien SISR configure des systèmes qui traitent des données personnelles. Une mauvaise configuration peut engager sa responsabilité pénale et celle de son employeur.

Conformité réglementaire

RGPD, NIS2, LPM... Les obligations légales pour les organisations gérant des SI sont nombreuses et croissantes. Les techniciens SISR sont en première ligne pour les mettre en oeuvre.

Exigences professionnelles

Les recruteurs attendent des techniciens qu'ils connaissent les bases légales : licences logicielles, obligations de signalement des incidents, SLA, et clauses contractuelles.

02. Le RGPD — Règlement Général sur la Protection des Données

Règlement (UE) 2016/679 — Applicable depuis le 25 mai 2018

Les 6 principes fondamentaux (Art. 5 RGPD)

1

Licéité, loyauté, transparence

Le traitement doit avoir une base légale valide (consentement, contrat, obligation légale, intérêt vital, mission d'intérêt public, intérêt légitime). La personne doit être informée clairement.

2

Limitation des finalités

Les données collectées ne peuvent être utilisées que pour les finalités explicitement définies au moment de la collecte. Tout nouveau traitement incompatible est interdit sans nouveau consentement.

3

Minimisation des données

Seules les données strictement nécessaires à la finalité déclarée doivent être collectées. Le principe de "privacy by design" impose de penser la minimisation dès la conception du système.

4

Exactitude

Les données doivent être exactes et tenues à jour. Des procédures de mise à jour et de correction doivent exister. La personne a le droit de demander la rectification de ses données inexactes.

5

Limitation de conservation

Les données ne peuvent être conservées que le temps nécessaire à la finalité. Des durées de conservation doivent être définies et respectées. La purge automatique est une bonne pratique RGPD.

6

Intégrité & Confidentialité

Les données doivent être protégées contre tout accès non autorisé, perte ou destruction. Chiffrement, contrôle d'accès, journalisation, et sauvegardes sont les mesures techniques attendues.

Les droits des personnes concernées

Droit d'accès (Art. 15)

Obtenir une copie de toutes les données personnelles détenues, leurs finalités, destinataires et durée de conservation. Réponse obligatoire sous 1 mois.

Droit de rectification (Art. 16)

Corriger des données inexactes ou compléter des données incomplètes. Le responsable de traitement doit informer les tiers auxquels les données ont été transmises.

Droit à l'effacement (Art. 17)

Le "droit à l'oubli" : suppression des données lorsque le consentement est retiré, ou si les données ne sont plus nécessaires à la finalité initiale.

Droit à la portabilité (Art. 20)

Recevoir ses données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON). Permet le changement de service sans perdre ses données.

Droit d'opposition (Art. 21)

S'opposer au traitement de ses données pour des raisons tenant à sa situation particulière. Droit absolu contre le marketing direct, y compris le profilage.

Limitation du traitement (Art. 18)

Geler un traitement contesté sans pour autant supprimer les données. Les données peuvent être conservées mais leur utilisation est suspendue pendant la vérification.

Obligations des responsables de traitement

DPO — Délégué à la Protection des Données

Obligatoire pour : organismes publics, entreprises dont l'activité principale nécessite un suivi régulier et systématique à grande échelle, et celles traitant des données sensibles à grande échelle.

Le DPO informe, conseille et contrôle le respect du RGPD. Il est le point de contact de la CNIL. Il ne doit pas avoir de conflit d'intérêt avec ses autres fonctions.

Registre des traitements (Art. 30)

Document interne obligatoire listant tous les traitements de données personnelles. Contient : finalités, catégories de données, destinataires, transferts hors UE, durées de conservation.

Pour les collectivités comme le Département 66, ce registre peut contenir des centaines d'entrées : paie des agents, suivi des usagers, caméras de surveillance, applications métier...

AIPD — Analyse d'Impact (Art. 35)

Obligatoire pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes : vidéosurveillance, données biométriques, profilage, données de santé.

L'AIPD analyse les risques et propose des mesures d'atténuation. Si le risque reste élevé après mesures, consultation préalable de la CNIL obligatoire avant lancement.

Notification des violations — 72h (Art. 33)

En cas de violation de données personnelles (piratage, perte de disque, accès non autorisé...), notification obligatoire à la CNIL dans les 72 heures après prise de connaissance.

Si la violation présente un risque élevé pour les personnes concernées, elles doivent également être informées directement dans les meilleurs délais.

Sanctions & La CNIL

Sanctions maximales

20 M€
ou 4% du chiffre d'affaires mondial annuel
(le montant le plus élevé s'applique)

Pour les violations les plus graves (art. 83 §5) : principes fondamentaux, droits des personnes, transferts vers pays tiers. Les montants intermédiaires (10M€ / 2% CA) s'appliquent aux violations techniques.

La CNIL : exemples d'amendes récentes

  • TikTok (2023) 5 M€
  • Clearview AI 20 M€
  • Doctissimo 380 K€
  • Amazon France (cookies) 35 M€

La CNIL dispose de pouvoirs d'investigation, de mise en demeure et de sanction. Elle peut également prononcer des injonctions de mise en conformité sous astreinte.

03. Textes Fondamentaux du Droit Numérique Français

1988

Loi Godfrain — Loi n°88-19

Première loi française sur la fraude informatique, intégrée au Code Pénal (Art. 323-1 à 323-7). Elle crée le délit d'accès frauduleux à un Système de Traitement Automatisé de Données (STAD).

  • Accès/maintien frauduleux (Art. 323-1) : jusqu'à 3 ans et 100 000€
  • Entrave au fonctionnement (Art. 323-2) : jusqu'à 5 ans et 150 000€
  • Introduction/suppression de données (Art. 323-3) : jusqu'à 7 ans
  • Aggravation si STAD de l'État ou OIV
Source : legifrance.gouv.fr — Code Pénal
1978/2018

Loi Informatique et Libertés (modifiée)

Texte fondateur de la protection des données en France, créant la CNIL. Profondément révisée en 2018 pour être mise en conformité avec le RGPD et transposer ses dispositions dans le droit national.

  • Création et organisation de la CNIL (composition, missions, pouvoirs)
  • Définit les données sensibles spécifiques au contexte français
  • Procédure de sanction et de mise en demeure CNIL
  • Dispositions spécifiques mineurs, données judiciaires, numéro NIR
Source : legifrance.gouv.fr — Loi n°78-17, CNIL.fr
2013

Loi de Programmation Militaire (LPM)

Son article 22 impose des mesures de cybersécurité aux Opérateurs d'Importance Vitale (OIV) et aux opérateurs de Systèmes d'Information d'Importance Vitale (SIIV). Secteurs couverts : énergie, eau, transport, santé, alimentation, défense...

  • Qualification SIIV par arrêté ministériel confidentiel
  • Obligation de règles de sécurité imposées par l'ANSSI
  • Déclaration obligatoire des incidents de sécurité à l'ANSSI
  • Audits de sécurité imposés par l'ANSSI
Source : legifrance.gouv.fr, anssi.gouv.fr/OIV
2022

Directive NIS2 (2022/2555/UE)

Refonte de la directive NIS de 2016, NIS2 élargit considérablement le périmètre des entités concernées (EE : entités essentielles, EI : entités importantes) et renforce les obligations de sécurité dans l'UE.

  • ~30 000 entités concernées en France (vs ~100 en NIS1)
  • Notification incidents sous 24h (alerte précoce) puis 72h
  • Responsabilité personnelle des dirigeants
  • Sanctions : jusqu'à 10M€ ou 2% CA mondial pour les EE
Source : eur-lex.europa.eu, anssi.gouv.fr/NIS2
Actualisé

Code Pénal — Art. 323-1 à 323-7

Les infractions informatiques dans le Code Pénal couvrent un large spectre, des tentatives de piratage aux actes de sabotage en passant par le vol et la modification de données.

  • 323-1 : Accès frauduleux STAD — 2 ans / 60 000€
  • 323-2 : Entrave fonctionnement STAD — 5 ans / 150 000€
  • 323-3 : Introduction/suppression/modification données — 7 ans
  • 323-3-1 : Détention/diffusion de logiciels malveillants
Source : legifrance.gouv.fr — Code Pénal
2018

RGPD — Règlement (UE) 2016/679

Texte phare de la protection des données en Europe, directement applicable dans tous les États membres sans transposition. Il crée un cadre harmonisé pour toute l'UE et au-delà (effet extraterritorial).

  • 99 articles, 173 considérants, applicable depuis mai 2018
  • Portée extraterritoriale : s'applique aux entreprises non-UE
  • Privacy by design et by default obligatoires
  • Voir section RGPD dédiée ci-dessus pour les détails
Source : eur-lex.europa.eu, CNIL.fr/RGPD

04. Droit du Logiciel — Licences & Propriété intellectuelle

Licences libres et open source

GPL (GNU General Public License) COPYLEFT FORT

Obligation de redistribuer les modifications sous GPL. Partage à l'identique obligatoire. Incompatible avec la propriété commerciale.

LGPL (Lesser GPL) COPYLEFT FAIBLE

Permet l'utilisation en bibliothèque dans des logiciels propriétaires. Les modifications de la bibliothèque elle-même restent LGPL.

MIT License PERMISSIVE

Licence ultra-permissive : utilisation, modification, distribution libre, y compris dans des produits commerciaux. Seule obligation : conserver le copyright.

Apache 2.0 PERMISSIVE + BREVETS

Permissive comme MIT mais inclut une protection contre les litiges de brevets. Idéale pour les entreprises qui veulent contribuer sans risque de poursuites.

Propriété intellectuelle du code

  • Protection automatique dès la création (Code de la Propriété Intellectuelle, Art. L111-1). Pas de dépôt nécessaire.
  • Durée : 70 ans après décès de l'auteur (droits patrimoniaux). Les droits moraux sont perpétuels et inaliénables.
  • En entreprise : le code produit dans le cadre du travail appartient à l'employeur (art. L113-9 CPI).
  • Open source ≠ gratuit : un logiciel open source peut être payant. La licence définit les droits d'usage, pas le prix.

Cas pratique : Medulla (DSI Département 66)

La DSI utilise Medulla, un outil de gestion de parc informatique distribué sous licence GPL v2. Implications concrètes :

  • Usage interne gratuit et légal
  • Modifications autorisées pour les besoins internes
  • Si redistribution externe des modifications : obligation GPL
  • Communauté active, support GPEC interne possible

05. Droit des Contrats Informatiques

SLA — Service Level Agreement

Contrat de niveau de service définissant les engagements de qualité et de disponibilité d'un prestataire informatique. Fondamental dans les contrats cloud, hébergement, réseau et support.

  • Disponibilité (Uptime)99.9% = 8h/an de coupure max
  • Temps de réponseGTI : 4h, GTR : 8h
  • PerformanceLatence, débit, IOPS
  • PénalitésAvoir financier ou résiliation

TMA — Tierce Maintenance Applicative

Contrat par lequel un prestataire externe prend en charge la maintenance d'applications développées en interne ou par un tiers. Fréquent dans les collectivités.

  • Corrective : correction des bugs et anomalies détectés en production
  • Évolutive : nouvelles fonctionnalités selon les besoins métier
  • Adaptive : adaptation aux changements d'environnement (OS, BD, réglementaires)

PCA / PRA — Continuité et Reprise

Pour les collectivités, les OIV et les entités NIS2, la mise en place d'un Plan de Continuité d'Activité (PCA) et d'un Plan de Reprise d'Activité (PRA) est une obligation légale ou contractuelle forte.

RTO
Recovery Time Objective
Durée max d'interruption acceptable
RPO
Recovery Point Objective
Perte de données maximale acceptable

Contrat de prestation informatique

Les clauses essentielles à vérifier avant tout contrat informatique :

  • Propriété du code et des données à la fin du contrat
  • Clause de confidentialité et NDA (Non-Disclosure Agreement)
  • Responsabilité en cas de violation de données (RGPD)
  • Clause de réversibilité et portabilité des données
  • Sous-traitance et traitement de données (DPA RGPD)

06. Cas Concrets — Incidents & Jurisprudence

CH Corbeil-Essonnes — Ransomware

Août 2022

Le Centre Hospitalier de Corbeil-Essonnes a été victime d'une cyberattaque par le groupe LOCKBIT 3.0. La rançon de 10M$ n'a pas été payée, résultant en la publication de données médicales de patients sur le dark web.

Enseignements juridiques :

  • Obligation RGPD : notification CNIL dans les 72h (respectée)
  • Données de santé = données sensibles RGPD (protection renforcée)
  • Hébergement HDS obligatoire pour les données de santé
  • Plainte pénale obligatoire (Art. 323 Code Pénal)

Leçon SISR : les sauvegardes offline et la segmentation réseau auraient limité l'impact de cette attaque.

Clearview AI — Amende CNIL 20 M€

Octobre 2022

L'entreprise américaine Clearview AI scrape des milliards de photos depuis les réseaux sociaux pour alimenter sa base de données de reconnaissance faciale vendue aux forces de l'ordre. La CNIL a prononcé une amende maximale de 20 M€.

Violations constatées :

  • Traitement sans base légale valide (pas de consentement)
  • Non-respect du droit à l'effacement (réponses non données)
  • Données biométriques = données sensibles (protection spéciale RGPD)
  • Transferts illicites hors UE vers les USA

Portée extraterritoriale du RGPD : Clearview n'a pas de siège en France mais traite des données de résidents français.

Active Directory & Sécurisation DSI

Recommandations ANSSI

La quasi-totalité des grandes cyberattaques contre les collectivités françaises (Vincennes, Caen, La Rochelle...) ont exploité des failles dans l'Active Directory. L'ANSSI a publié des recommandations spécifiques (CERT-FR-2023-AVI-AD).

  • Tiering AD : séparer admin de domaine des comptes métier
  • Dépréciation NTLM, désactivation SMBv1
  • Journalisation avancée (4688, 4625, 4648, 4776...)
  • GPO de sécurité selon guides ANSSI

Données de santé COVID & Certification HDS

2020-2022

La pandémie a mis en lumière les enjeux juridiques de l'hébergement des données de santé. La certification HDS (Hébergeur de Données de Santé) est obligatoire pour tout hébergeur de données personnelles de santé en France.

  • Certification HDS délivrée par des organismes accrédités COFRAC
  • Données de santé doivent rester sur le territoire français/européen
  • Violation HDS : CNIL + AMF + sanctions pénales potentielles

07. Sources Juridiques de Référence

Légifrance

legifrance.gouv.fr
Textes officiels français

CNIL

cnil.fr
Guides RGPD, délibérations

ANSSI

anssi.gouv.fr
Guides techniques, alertes

EUR-Lex

eur-lex.europa.eu
Droit de l'UE, RGPD, NIS2

Dalloz

dalloz.fr
Doctrine, jurisprudence

Journal du Net Droit

journaldunet.com
Actualité juridique IT

Parcourir les autres sections du portfolio

Veille Techno Mes Projets Compétences