A vos agendas : les interventions ATIPIC sont à l’honneur en juin !

A vos agendas : les interventions ATIPIC sont à l’honneur en juin !

Le nombre des colloques, ateliers, tables rondes et conférence sur des sujets de droit IP/IT ne cesse de croître et l’on peut s’en féliciter compte tenu de l’importance de certains sujets évoqués.

Me François Coupez, associé d’ATIPIC Avocat interviendra ainsi :

  • Le 1er juin, à l’atelier organisé par l’Association Nationale des Juristes de Banque (ANJB) organisé à Paris sur « le vol d’information : théorie et pratique » avec Sylvie Sanchis, Commissaire de Police, Chef de la Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information (BEFTI) ;
  • Le 7 juin, lors de la conférence sur « le rôle des normes pour la prévention et le transfert du risque » organisé par l’Institut des actuaires ;
  • Le 9 juin, à la conférence Cyber Day organisée par Novidys à Paris sur « Panorama du droit de la SSI : la conformité par les entreprises, premières concernées ! » (Plus de détails et inscription) ;
  • Le 15 juin à l’occasion du séminaire organisé par la Chaire Cyber Défense et Cyber Sécurité Saint-Cyr SOGETI THALES ;
  • Le 16 juin,  à la table ronde organisée par Global Business learning network (GBLN) à Paris sur « Big Data & HR Analytics 2016 » (Plus de détails et inscription) ;
  • Le 22 juin lors d’un atelier sur le « Blockchain », organisé par l’Association Européenne pour le Droit Bancaire et Financier (AEDBF), aux côtés Emmanuel Jouffin, Responsable du département « Veille Règlementaire » du Groupe La banque Postale ;
  • Le 28 juin lors de l’évènement CNIS Event organisé autour de la thématique « cyber risques & assurance » (Plus de détails et inscription).

N’hésitez pas dès à présent à venir suivre l’une de ces interventions !

 

Hackers éthiques, défaut de sécurité et République numérique

Hackers éthiques, défaut de sécurité et République numérique

Le sujet des lanceurs d’alerte occupe le devant de la scène médiatique. Qu’en est-il quand des white hats ou hackers éthiques alertent de l’existence d’un défaut de sécurité ?

Les magistrats avaient pourtant déjà répondu à cette question en traçant des lignes claires (cf. notre commentaire de l’affaire Bluetouff), mais le projet de loi Lemaire ne pouvait décemment pas être adopté sans aborder (aussi) cette question.

C’est l’objet de l’article 20 septies du projet de loi dont le contenu a été profondément remanié au Sénat.

Contrairement à la rédaction proposé par l’Assemblée nationale en première lecture, En insérant un nouvel article L. 2321-4[1] à la suite de ces dispositions, les sénateurs prévoient ainsi non seulement des conditions très claires de « lancement de l’alerte » en matière de SSI, mais surtout un point d’entrée unique en insérant un nouvel article L. 2321-4[1] dans le Code de la défense.. En synthèse, cet article ouvre la possibilité d’avertir l’ANSSI de l’existence de vulnérabilités affectant un système d’information. Si le white hat est de bonne foi et n’a pas préalablement rendu l’information publique, l’ANSSI se charge alors de préserver son identité confidentielle, ainsi que les conditions d’obtention de l’information, et avertit l’hébergeur, l’opérateur ou le responsable du système d’information de la menace, une fois le risque caractérisé.

Comment et pourquoi en est-on arrivé là ? Vous trouverez toutes les réponses à ces questions dans notre chronique publiée sur silicon.fr.

Le Règlement européen sur les données personnelles adopté ! [Edit du 4 mai 2016]

Le Règlement européen sur les données personnelles adopté ! [Edit du 4 mai 2016]

[Edit 4 mai 2016 : le règlement 2016/679 vient d’être publié ce jour au Journal Officiel de l’Union Européenne !]

Enfin !

Le Parlement européen a adopté, il y a quelques heures, le Règlement européen relatif à la protection des données à caractère personnel et à la libre circulation de ces données (dit aussi  « RGDP »). Pour applaudir et saluer cette adoption comme il se doit, il faut en comprendre la genèse.

Retour sur l’histoire de ce Règlement européen…

Souhaitant réformer la protection des données à caractère personnel pour aboutir à un ensemble de règles uniques, la Commission européenne a proposé un Règlement européen le 25 janvier 2012. Cette proposition a pour objectif de remplacer la Directive 95/46/CE du 24 octobre 1995 afin de mettre à jour les règles qu’elle prévoyait, de l’adapter aux nouveautés technologiques mais surtout de lutter contre la disparité des règles sur la protection des données à caractère personnel pouvant exister entre plusieurs pays européens, du fait de leur transposition. Rappelons en effet que (…)

J-7 / 3E Rencontres parlementaires de la Cybersécurité #RPCyber du 21 octobre 2015

J-7 / 3E Rencontres parlementaires de la Cybersécurité #RPCyber du 21 octobre 2015

Retrouvez notamment : Guillaume POUPARD, DG de l’ANSSI, le Préfet Jean-Yves LATOURNERIE, en charge de la lutte contre les cybermenaces au ministère de l’intérieur, Jean-Baptiste CARPENTIER, délégué interministériel à l’intelligence économique, Thierry DELVILLE, délégué ministériel aux industries de sécurité, l’ICA Frédéric VALETTE, Responsable du Pôle SSI à la DGA…
…et les parlementaires qui animeront les travaux : Jean-Marie BOCKEL, sénateur du Rhin, Francis HILLMEYER, député du Rhin, Eduardo RIHAN CYPEL, député de Seine-et-Marne, et Gwendal ROUILLARD, député du Morbihan.

Le Cabinet ATIPIC Avocat, partenaire de ces Rencontres, (…)

Jurisprudence vol de données : un train de retard ?

Jurisprudence vol de données : un train de retard ?

Le 20 mai 2015, la Cour de cassation a rendu un arrêt concernant la délicate question de la reconnaissance de la notion de « vol » appliquée à des données informatiques, donc immatérielles (merci à Marc Rees pour la mise à disposition de la décision).

Vous l’aurez reconnue, il s’agit bien sûr de « l’affaire Bluetouff ».

Avec cet arrêt, la Cour de cassation prend très clairement position : pour elle, une donnée peut être volée, c’est-à-dire que l’article 311-1 du Code pénal réprimant la « soustraction frauduleuse de la chose d’autrui » est pleinement applicable à la copie et l’exfiltration depuis un extranet de fichiers informatiques. Le vol est retenu car, selon les magistrats, Bluetouff a

« soustrait des données qu’il a utilisées sans le consentement de leur propriétaire »

Alors, est-on devant une évolution majeure du droit de la sécurité des systèmes d’information ?

Pas vraiment : cette décision arrive (…)

Protection du « secret d’affaires » : la contre-attaque du retour de la revanche ?

Protection du « secret d’affaires » : la contre-attaque du retour de la revanche ?

Le sujet de la protection du secret d’affaires – et la nécessité de lui accorder un sanctuaire législatif – s’est imposé crescendo à coup de proposition de loi, d’une directive, et finalement du rapport de la délégation parlementaire au renseignement, du 18 décembre 2014 mettant en lumière l’accroissement exponentiel de la prédation du patrimoine informationnel de nos entreprises.

Rappelons l’enjeu : protéger des actifs intellectuels considérés comme sensibles par l’entreprise via un cadre juridique permettant d’assurer leur confidentialité et de réprimer les atteintes, sachant que ces actifs ne peuvent être protégés en tant que tels par la propriété intellectuelle (comme le seraient des marques, des brevets, etc.).

Ce projet s’est toutefois heurté de plein fouet à la pression médiatique autour de la proposition de loi Macron.

Est-ce la fin pour cette législation cruciale ?

Heureusement non, en tout cas on peut l’espérer.

Mais pour connaître l’historique et deviner l’avenir de ces dispositions, il faut se plonger dans la lecture du « sujet du mois » du second numéro de la Newsletter ATIPIC, disponible gratuitement en cliquant ici.

Crédits photo : @alphaspirit – Fotolia.com 

Transformation digitale et risques juridiques: à découvrir sur butter-cake.com !

Transformation digitale et risques juridiques: à découvrir sur butter-cake.com !

Youmna Ovazza, grande expert des problématiques de transformation numérique et qui propose sur son blog, avec brio et entrain, des nourritures digitales pour l’esprit, s’est penchée sur le sujet de la cybersécurité dans le cadre de la transformation numérique. Elle a ainsi interviewé Diane Rambaldini et Hadi El Khoury, co-fondateurs du chapitre français de l’ISSA.

Elle a également interviewé François Coupez, Avocat à la Cour associé d’ATIPIC Avocat sur la transformation digitale et les risques juridiques.

A noter : les agences de notation auront prochainement un critère de notation lié au risque et aux mesures prises par les entreprises pour lutter contre la cyber criminalité. Une incitation à l’action certaine pour ceux qui ne sont pas encore sensibilisés au sujet !

Crédits photo : © Thomas R. – Fotolia.com

SMS présumés professionnels par la chambre commerciale: que dit la chambre sociale ?

SMS présumés professionnels par la chambre commerciale: que dit la chambre sociale ?

On parle beaucoup ces derniers jours de la décision de la Cour de cassation du 10 février 2015 dans l’affaire opposant deux sociétés de courtage financier (GFI Securities Limited et Newedge Group), concernant l’accusation de désorganisation de l’activité et de débauchage d’un grand nombre de salariés de la seconde par la première.

Dans cette affaire, la chambre commerciale a décidé que les SMS « envoyés ou reçus par le salarié au moyen du téléphone mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l’employeur est en droit de les consulter en dehors de la présence de l’intéressé, sauf s’ils sont identifiés comme étant personnels ». En l’espèce, n’étant pas identifiés comme personnels, les SMS présumés professionnels pouvaient être produits en justice par Newedge.

Question cependant : cette décision a été rendue par la Chambre commerciale de la Cour de cassation. Or, c’est la chambre sociale qui fixe ce type de principes. Peut-on anticiper une opposition de deux chambres et donc des solutions différentes en fonction des contentieux, comme cela a déjà pu arriver dans d’autres sujets ?

[edit] C’est la question qui est traitée dans « l’addition du mois » de la Newsletter ATIPIC de mars/avril 2015, qui vient de paraître.

Pour recevoir gratuitement ce numéro, il vous suffit (…)

Prochain évènement : #SecurityTuesday « Celui qui ne file pas Droit » – 17 mars 2015

Prochain évènement : #SecurityTuesday « Celui qui ne file pas Droit » – 17 mars 2015

Le 17 mars 2015 aura lieu à Paris le prochain Afterwork  #SecurityTuesday organisé par l’ISSA France : « Celui qui ne file pas Droit ».
Cet afterwork sera l’occasion de dissiper le flou entre les sphères privée et professionnelle : chartes, droits et obligations des salariés, « droit » à la déconnexion, …

Il sera animé par François Coupez, Avocat à la Cour, spécialiste en droit des nouvelles technologies et associé d’ATIPIC Avocat.

Le lieu sera (…)

Espionnage dans l’entreprise : le DSI prenait ses aises

Espionnage dans l’entreprise : le DSI prenait ses aises

Licencié pour faute grave, sera-t-il sauvé par le malentendu autour de la Norme simplifiée 46 en matière de sécurité des SI de l’entreprise ?

En matière de « cybersurveillance sur le lieu de travail » (mais on peut aussi parler de « cyberprotection de l’employeur »), on trouve de nombreuses décisions de justice sur les abus perpétrés d’un côté par les salariés mettant en danger la sécurité du SI de l’employeur ou abusant de son utilisation, et de l’autre côté par les employeurs dépassant les limites de leurs prérogatives de contrôle de l’activité du salarié pour l’accomplissement des tâches confiés. Quant aux administrateurs des systèmes informatiques, chargés en pratique s’assurer la sécurité et le bon fonctionnement des SI, s’il leur arrive d’être la cible de procès d’intention sur la façon dont ils exercent leur activité, certains d’entre eux abusent effectivement de leur droits d’accès privilégiés au SI, la plupart du temps dans leur propre intérêt.

Or, dans l’affaire tranchée par la Cour d’appel de Versailles le 4 février 2015, c’est à un DSI beaucoup trop curieux (à dire le moins) que les magistrats ont dû s’intéresser. Et si la décision renvoit de façon fréquente aux formalités « informatique et libertés » accomplies mais non respectées (en particulier la Norme Simplifiée 46), il est intéressant de noter tout le paradoxe de la situation : l’employeur sanctionne le salarié qui a violé une déclaration ne permettant aucun contrôle sérieux du SI… en effectuant des opérations techniques d’audit elles-mêmes non couvertes par ladite déclation… sachant que c’est ce salarié qui s’est occupé de la déclaration insuffisante ! Mais revenons au détail de l’affaire avant de (…)