Le droit de la cybersécurité
Guide des étapes réglementaires pour protéger les données et les systèmes d'information
François Gorriez
Alexandre Malafaye
nuvis
Préface d'Alexandre Malafaye5
Qu'est-ce que la cybersécurité ?8
Droit de la cybersécurité, avatar juridique de la protection des données et systèmes d'information9
Opportunités du droit de la cybersécurité : la transformation digitale impose une transformation juridique11
Itinéraire juridique à emprunter pour une sécurité optimale12
I. Gouvernance juridique de la cybersécurité14
Exigences documentaires : cartographie des données et charte d'utilisation des systèmes d'information
15
Cartographie des systèmes d'information et des données16
Un inventaire patrimonial16
Cartographie des systèmes d'information et des données sensibles, gage d'une sécurité maîtrisée17
Cartographie des systèmes d'information et des données non sensibles pour optimiser leur exploitation18
Charte d'utilisation des systèmes d'information : un outil de sensibilisation et de diffusion de bonnes pratiques20
Contenu de la charte : définition précise des droits et devoirs des utilisateurs21
Démarches nécessaires pour rendre la charte opposable aux utilisateurs22
Gouvernance juridique des données a caractère personnel
24
Concepts fondamentaux du droit des données à caractère personnel24
Démarches de protection des données dès la conception et par défaut26
Mise en oeuvre des mesures de sécurisation des traitements27
Direction fixée par la CNIL en matière de sécurité des données28
Garanties et engagements du sous-traitant30
Risques de sanction administrative et pénale en cas de non-respect des mesures de sécurité31
Gouvernance juridique des secteurs sensibles
34
Référentiel général de sécurité (RGS), un guide de bonnes pratiques35
Politique de sécurité des systèmes d'information de l'Etat (PSSIE), un outil pour garantir la continuité des activités régaliennes38
Gestion juridique des systèmes d'information classés « sensibles » et « Diffusion restreinte »41
Cybersécurité des opérateurs d'importance vitale (OIV)44
Qualification juridique d'opérateur d'importance vitale44
Obligation de déclaration des systèmes d'information d'importance vitale (SIIV)45
Application de règles spéciales de sécurité46
Obligation de prendre des mesures de détection et de contrôle46
Gestion des prestataires48
Risque d'amendes49
Cybersécurité des opérateurs de services essentiels (OSE) et fournisseurs de service numérique (FSN)49
Qualification juridique d'opérateur de services essentiels et fournisseur de service numérique50
Application de règles spéciales de sécurité52
Identification et déclaration des réseaux et systèmes d'information54
Obligation de prendre des mesures de contrôle54
Risque d'amendes56
Anticipation et gestion juridique des cyberattaques
59
Qualification juridique d'une cyberattaque 59
« L'atteinte à un système de traitement automatisé de données (STAD) » dans le code pénal60
« La violation de données à caractère personnel » dans la loi Informatique et libertés et le RGPD61
« L'incident de sécurité » dans le code de la défense61
« L'incident » dans la directive NIS et sa loi de transposition62
Traitement juridique d'une cyberattaque62
Notification en cas de violation de données à caractère personnel62
Régime spécial applicable aux opérateurs d'importance vitale (OIV) et opérateurs de communications électroniques (OCE)66
Régime spécial applicable aux opérateurs de services essentiels (OSE) et fournisseurs de service numérique (FSN)68
Mise en oeuvre des obligations contractuelles70
Réponse pénale en cas de cyberattaque72
II. Encadrement juridique des outils de cybersécurité76
Optimisation de la sécurité par le recours a des produits et prestataires qualifiés par l'ANSSI
77
Qualification de produits de sécurité, garantie de leur robustesse79
Demande de qualification adressée à l'ANSSI79
Modalités de l'évaluation80
Qualification de prestataires de confiance, garantie de maîtrise des risques et menaces83
Demande de qualification adressée à l'ANSSI83
Modalités de l'évaluation84
Catégories de prestataires de services de confiance86
Mise en oeuvre d'un cadre européen de certification de cybersécurité87
Cryptologie, régime juridique d'une technologie de confiance
91
Liberté d'utilisation des outils de cryptologie93
Définition des notions de « moyen de cryptologie » et de « prestation de cryptologie »93
Consécration d'un régime de liberté93
Démarches spécifiques pour certaines opérations relatives aux moyens de cryptologie (fourniture, transfert, importation et exportation)94
Régime de déclaration préalable94
Régime d'autorisation95
Régime de déclaration préalable pour la fourniture de prestations de cryptologie96
Traitement du dossier de déclaration et de demande d'autorisation par l'ANSSI97
Traitement d'un dossier de déclaration97
Traitement d'un dossier de demande d'autorisation98
Doctrine de l'ANSSI100
Démarches à réaliser en cas de classement en bien à double usage d'un moyen de cryptologie100
Définition d'un bien à double usage101
Moyens de cryptologie relevant de la catégorie des biens à double usage101
Démarches à réaliser auprès du Service des biens double usage101
Sanctions relatives à la cryptologie102
Sanctions administratives102
Sanctions pénales103
Mise au clair des données chiffrées dans le cadre d'une procédure pénale103
Réalisation d'opérations de déchiffrement104
Recours aux moyens de l'Etat pour le déchiffrement104
Sanction en cas de refus de fournir la clé de déchiffrement105
Pseudonymisation et anonymisation des données
107
Distinction anonymisation et pseudonymisation108
Anonymisation des données pour empêcher l'identification des personnes108
Pseudonymisation, une alternative110
Conséquences juridiques de l'anonymisation et de la pseudonymisation des données à caractère personnel111
Anonymisation des données : la perte du caractère de donnée à caractère personnel111
Pseudonymisation des données : l'application du droit des données à caractère personnel113
Filtrage, le droit de limiter internet
117
Mise à disposition de moyens de filtrage par les fournisseurs d'accès à Internet119
Encadrement juridique de la mise en oeuvre du filtrage120
Filtrage dans les secteurs sensibles120
Filtrer pour sécuriser les traitements de données à caractère personnel122
Démarches juridiques connexes à entreprendre122
Traçabilité, visualiser l'activité du système d'information
125
Traçabilité mise en oeuvre par les fournisseurs d'accès à Internet et hébergeurs127
Traçabilité mise en oeuvre par les opérateurs de communications électroniques128
Démarches juridiques à entreprendre pour la mise en oeuvre d'un dispositif de traçabilité129
Respect de la réglementation Informatique et libertés129
Respect du droit du travail130
Biométrie : outil de sécurité pour authentifier et identifier les personnes
132
Un principe d'interdiction du traitement de données biométriques134
Encadrement de l'utilisation de la biométrie sur le lieu de travail135
Finalités du traitement136
Justification du recours à un traitement de données biométriques136
Données collectées et traitées137
Données biométriques autorisées138
Habilitations pour le traitement des données138
Modalités de détention du gabarit138
Sécurité des données139
Modalités et durée de conservation140
Videoprotection : la sécurité numérique au service direct de la sécurité des biens et des personnes
143
Régime juridique différent selon que le système de vidéoprotection implique ou non le traitement de données à caractère personnel144
Enregistrements visuels sur la voie publique ou dans un lieu public sans traitement de données à caractère personnel145
Limitation des cas justifiant le recours à la transmission et l'enregistrement d'images prises au moyen de la vidéoprotection145
Contraintes opérationnelles liées au respect du droit des personnes146
Régime d'autorisation préfectorale pour l'installation d'un système de vidéoprotection146
Contrôle et droit d'accès aux enregistrements151
Vidéoprotection dans le cadre de la lutte contre le terrorisme153
Enregistrements visuels impliquant le traitement de données à caractère personnel154
Vidéoprotection mise en oeuvre par les commerçants155
Vidéoprotection sur le lieu de travail157
Exigences de sécurité pour la mise en oeuvre de dispositifs de vidéoprotection158
III. La cybersécurité dans les relations commerciales161
Centralité de la gouvernance et de la donnée dans les contrats162
Implémenter la gouvernance juridique de la cybersécurité dans les contrats162
Bonnes pratiques contractuelles164
Choix des partenaires et des technologies165
Spécificités contractuelles de la cybersécurité, des clauses « Security by design »166
Obligations des parties166
Gouvernance168
Responsabilité169
Confidentialité170
Contrôle des prestations (audit)172
Fin des relations contractuelles174