Le droit de la cybersécurité : guide des étapes réglementaires pour protéger les données et les systèmes d'information

Auteur(s) :

Gorriez, François Découvrir l'auteur

Résumé

Présentation de l'encadrement et de la gouvernance juridiques de la cybersécurité, notamment pour les relations commerciales. L'auteur passe en revue les différentes étapes nécessaires à une sécurité technique et juridique optimale dans ce domaine, telles que la charte d'utilisation des systèmes d'information, les qualifications possibles ou les sanctions administratives et pénales. ©Electre 2020

Éditeur(s)
- Nuvis
- Impr. Corlet numéric
Date
- DL 2019
Notes
- Bibliogr.
Langues
- Français
Description matérielle
- 1 vol. (213 p.) : ill. ; DL 2019
Sujet(s)
Lieu
- France
ISBN
- 978-2-36367-117-2
Indice
- 346.2 Droit du multimédia et de l'Internet
Quatrième de couverture
- Espace continu et mondialisé, le cyberespace est aussi caractérisé par un paysage de menaces qui se densifient. Les incidents de cybersécurité et le coût de la cybercriminalité représentent aujourd'hui un défi de taille pour les organisations publiques et privées.
  La cybersécurité est un écosystème établi pour contrer la menace numérique. Il bénéficie de règles juridiques particulières qui lui sont applicables : c'est le droit de la cybersécurité.
  Cet ouvrage a pour objet de présenter les étapes réglementaires visant à protéger les données et les systèmes d'information. Il s'articule autour de trois axes :
  
  la gouvernance juridique de la cybersécurité ;
  
  l'encadrement juridique des outils de cybersécurité ;
  
  la cybersécurité dans les relations commerciales.
  
  La grille de lecture de cet ouvrage inscrit le droit non comme une règle bloquante mais plutôt en tant que système agile et réactif, devenant un levier stratégique, technologique et de bonne gouvernance.
  Le droit de la cybersécurité s'apparente à un chemin constitué d'étapes par lesquelles le passage est nécessaire afin de justifier d'une sécurité technique et juridique optimale.
  Ce droit est présenté ici dans le cadre d'une vision englobante (présentation des règles et bonnes pratiques) et dynamique (formulation de cas pratiques, d'exemples et de recommandations élémentaires). Les recommandations opérationnelles, visant à aider les décideurs dans les choix stratégiques et techniques, accompagnent ainsi les descriptions analytiques et schématiques.
Tables des matières
- - Le droit de la cybersécurité
  - Guide des étapes réglementaires pour protéger les données et les systèmes d'information
  - François Gorriez
  - Alexandre Malafaye
  - nuvis
  - Préface d'Alexandre Malafaye5
  - Qu'est-ce que la cybersécurité ?8
  - Droit de la cybersécurité, avatar juridique de la protection des données et systèmes d'information9
  - Opportunités du droit de la cybersécurité : la transformation digitale impose une transformation juridique11
  - Itinéraire juridique à emprunter pour une sécurité optimale12
  - I. Gouvernance juridique de la cybersécurité14
  - Exigences documentaires : cartographie des données et charte d'utilisation des systèmes d'information 15
  - Cartographie des systèmes d'information et des données16
  - Un inventaire patrimonial16
  - Cartographie des systèmes d'information et des données sensibles, gage d'une sécurité maîtrisée17
  - Cartographie des systèmes d'information et des données non sensibles pour optimiser leur exploitation18
  - Charte d'utilisation des systèmes d'information : un outil de sensibilisation et de diffusion de bonnes pratiques20
  - Contenu de la charte : définition précise des droits et devoirs des utilisateurs21
  - Démarches nécessaires pour rendre la charte opposable aux utilisateurs22
  - Gouvernance juridique des données a caractère personnel 24
  - Concepts fondamentaux du droit des données à caractère personnel24
  - Démarches de protection des données dès la conception et par défaut26
  - Mise en oeuvre des mesures de sécurisation des traitements27
  - Direction fixée par la CNIL en matière de sécurité des données28
  - Garanties et engagements du sous-traitant30
  - Risques de sanction administrative et pénale en cas de non-respect des mesures de sécurité31
  - Gouvernance juridique des secteurs sensibles 34
  - Référentiel général de sécurité (RGS), un guide de bonnes pratiques35
  - Politique de sécurité des systèmes d'information de l'Etat (PSSIE), un outil pour garantir la continuité des activités régaliennes38
  - Gestion juridique des systèmes d'information classés « sensibles » et « Diffusion restreinte »41
  - Cybersécurité des opérateurs d'importance vitale (OIV)44
  - Qualification juridique d'opérateur d'importance vitale44
  - Obligation de déclaration des systèmes d'information d'importance vitale (SIIV)45
  - Application de règles spéciales de sécurité46
  - Obligation de prendre des mesures de détection et de contrôle46
  - Gestion des prestataires48
  - Risque d'amendes49
  - Cybersécurité des opérateurs de services essentiels (OSE) et fournisseurs de service numérique (FSN)49
  - Qualification juridique d'opérateur de services essentiels et fournisseur de service numérique50
  - Application de règles spéciales de sécurité52
  - Identification et déclaration des réseaux et systèmes d'information54
  - Obligation de prendre des mesures de contrôle54
  - Risque d'amendes56
  - Anticipation et gestion juridique des cyberattaques 59
  - Qualification juridique d'une cyberattaque 59
  - « L'atteinte à un système de traitement automatisé de données (STAD) » dans le code pénal60
  - « La violation de données à caractère personnel » dans la loi Informatique et libertés et le RGPD61
  - « L'incident de sécurité » dans le code de la défense61
  - « L'incident » dans la directive NIS et sa loi de transposition62
  - Traitement juridique d'une cyberattaque62
  - Notification en cas de violation de données à caractère personnel62
  - Régime spécial applicable aux opérateurs d'importance vitale (OIV) et opérateurs de communications électroniques (OCE)66
  - Régime spécial applicable aux opérateurs de services essentiels (OSE) et fournisseurs de service numérique (FSN)68
  - Mise en oeuvre des obligations contractuelles70
  - Réponse pénale en cas de cyberattaque72
  - II. Encadrement juridique des outils de cybersécurité76
  - Optimisation de la sécurité par le recours a des produits et prestataires qualifiés par l'ANSSI 77
  - Qualification de produits de sécurité, garantie de leur robustesse79
  - Demande de qualification adressée à l'ANSSI79
  - Modalités de l'évaluation80
  - Qualification de prestataires de confiance, garantie de maîtrise des risques et menaces83
  - Demande de qualification adressée à l'ANSSI83
  - Modalités de l'évaluation84
  - Catégories de prestataires de services de confiance86
  - Mise en oeuvre d'un cadre européen de certification de cybersécurité87
  - Cryptologie, régime juridique d'une technologie de confiance 91
  - Liberté d'utilisation des outils de cryptologie93
  - Définition des notions de « moyen de cryptologie » et de « prestation de cryptologie »93
  - Consécration d'un régime de liberté93
  - Démarches spécifiques pour certaines opérations relatives aux moyens de cryptologie (fourniture, transfert, importation et exportation)94
  - Régime de déclaration préalable94
  - Régime d'autorisation95
  - Régime de déclaration préalable pour la fourniture de prestations de cryptologie96
  - Traitement du dossier de déclaration et de demande d'autorisation par l'ANSSI97
  - Traitement d'un dossier de déclaration97
  - Traitement d'un dossier de demande d'autorisation98
  - Doctrine de l'ANSSI100
  - Démarches à réaliser en cas de classement en bien à double usage d'un moyen de cryptologie100
  - Définition d'un bien à double usage101
  - Moyens de cryptologie relevant de la catégorie des biens à double usage101
  - Démarches à réaliser auprès du Service des biens double usage101
  - Sanctions relatives à la cryptologie102
  - Sanctions administratives102
  - Sanctions pénales103
  - Mise au clair des données chiffrées dans le cadre d'une procédure pénale103
  - Réalisation d'opérations de déchiffrement104
  - Recours aux moyens de l'Etat pour le déchiffrement104
  - Sanction en cas de refus de fournir la clé de déchiffrement105
  - Pseudonymisation et anonymisation des données 107
  - Distinction anonymisation et pseudonymisation108
  - Anonymisation des données pour empêcher l'identification des personnes108
  - Pseudonymisation, une alternative110
  - Conséquences juridiques de l'anonymisation et de la pseudonymisation des données à caractère personnel111
  - Anonymisation des données : la perte du caractère de donnée à caractère personnel111
  - Pseudonymisation des données : l'application du droit des données à caractère personnel113
  - Filtrage, le droit de limiter internet 117
  - Mise à disposition de moyens de filtrage par les fournisseurs d'accès à Internet119
  - Encadrement juridique de la mise en oeuvre du filtrage120
  - Filtrage dans les secteurs sensibles120
  - Filtrer pour sécuriser les traitements de données à caractère personnel122
  - Démarches juridiques connexes à entreprendre122
  - Traçabilité, visualiser l'activité du système d'information 125
  - Traçabilité mise en oeuvre par les fournisseurs d'accès à Internet et hébergeurs127
  - Traçabilité mise en oeuvre par les opérateurs de communications électroniques128
  - Démarches juridiques à entreprendre pour la mise en oeuvre d'un dispositif de traçabilité129
  - Respect de la réglementation Informatique et libertés129
  - Respect du droit du travail130
  - Biométrie : outil de sécurité pour authentifier et identifier les personnes 132
  - Un principe d'interdiction du traitement de données biométriques134
  - Encadrement de l'utilisation de la biométrie sur le lieu de travail135
  - Finalités du traitement136
  - Justification du recours à un traitement de données biométriques136
  - Données collectées et traitées137
  - Données biométriques autorisées138
  - Habilitations pour le traitement des données138
  - Modalités de détention du gabarit138
  - Sécurité des données139
  - Modalités et durée de conservation140
  - Videoprotection : la sécurité numérique au service direct de la sécurité des biens et des personnes 143
  - Régime juridique différent selon que le système de vidéoprotection implique ou non le traitement de données à caractère personnel144
  - Enregistrements visuels sur la voie publique ou dans un lieu public sans traitement de données à caractère personnel145
  - Limitation des cas justifiant le recours à la transmission et l'enregistrement d'images prises au moyen de la vidéoprotection145
  - Contraintes opérationnelles liées au respect du droit des personnes146
  - Régime d'autorisation préfectorale pour l'installation d'un système de vidéoprotection146
  - Contrôle et droit d'accès aux enregistrements151
  - Vidéoprotection dans le cadre de la lutte contre le terrorisme153
  - Enregistrements visuels impliquant le traitement de données à caractère personnel154
  - Vidéoprotection mise en oeuvre par les commerçants155
  - Vidéoprotection sur le lieu de travail157
  - Exigences de sécurité pour la mise en oeuvre de dispositifs de vidéoprotection158
  - III. La cybersécurité dans les relations commerciales161
  - Centralité de la gouvernance et de la donnée dans les contrats162
  - Implémenter la gouvernance juridique de la cybersécurité dans les contrats162
  - Bonnes pratiques contractuelles164
  - Choix des partenaires et des technologies165
  - Spécificités contractuelles de la cybersécurité, des clauses « Security by design »166
  - Obligations des parties166
  - Gouvernance168
  - Responsabilité169
  - Confidentialité170
  - Contrôle des prestations (audit)172
  - Fin des relations contractuelles174
Origine de la notice:
- FR-751131015 ;
- Electre