Le cadre juridique de la mutualisation des dispositifs de sûreté

mutualisation des dispositifs de sûretéEmmanuel Walle intervient sur le thème du « cadre juridique de la mutualisation des dispositifs de sûreté » lors de la prochaine réunion de l’AN2V  le 6 octobre 2020 à Paris.

L’Association nationale de la vidéoprotection, AN2V, est une association loi 1901 fondée en 2004 qui réunit des fournisseurs et des utilisateurs de technologies de sûreté. L’AN2V organise une réunion par trimestre à Paris, sur un format unique et éprouvé autour :

• de thèmes toujours renouvelés,
• d’intervenants variés, experts dans leur domaine,
• d’interventions courtes et ciblées, un ensemble rythmé, sur le principe d’une table ronde.

La mutualisation des dispositifs de sûreté

La réunion thématique n°3 du 6 octobre 2020 traitera de l’évolution du cadre juridique de la sûreté électronique et de la mutualisation des dispositifs de sûreté, à savoir les partenariats public/public et public/privé qui peuvent être mis en place pour gagner en efficience dans les dispositifs de sûreté. Comment :

  • mutualiser des dispositifs entre acteurs publics ?
  • renforcer les coopérations entre les acteurs publics et privés ?
  • le cadre juridique devrait-il évoluer pour favoriser ces mutualisations ?

Deux tables rondes seront organisées, basées sur des retours d’expérience.

Emmanuel Walle dirige au sein du cabinet Lexing Alain Bensoussan Avocats, le département Droit du travail qui réunit une équipe d’avocats experts en droit social numérique bénéficiant d’une connaissance approfondie de l’impact et de l’évolution des technologies avancées en droit du travail (cybersurveillance, videosurveillance, videoprotection, charte d’utilisation des systèmes d’informations, preuve fichier professionnel/personnel, etc.) et de la protection sociale.

Réunion thématique : « Évolution du cadre juridique de la sûreté électronique »
Le 6 octobre 2020 de 13:00 à 17:30
FFB – 9 Rue La Pérouse 75016 Paris
Programme et inscription
Consultez les conditions de participation, elles varient selon le profil des participants.




Sécurité numérique, où en êtes-vous ?

Sécurité numériqueLe cabinet organise le 21 novembre 2018 un petit-déjeuner débat intitulé : « Sécurité numérique, où en êtes-vous ? », animé par Polyanna Bigle.

Cyberattaque, logiciel malveillant (malware), rançongiciel (ransomware), chaîne de code malveillant (shellcode), et autre type d’attaque et déni de service (Cross-site scrpiting, Fork Bomb, Phishing, DDoS Attack) … vous en avez surement déjà entendu parler. VOUS pensez que cela ne vous concerne pas ? Détrompez-vous !

Le législateur l’a bien compris et impose aux entreprises et organismes publics de mettre en œuvre la sécurité de leurs systèmes d’informations et de leurs réseaux.

RGPD (règlement européen modifiant la loi de 1978), NIS (directive Network and Information Security transposée en droit français par la loi 2018-133 du 26 février 2018), …etc., VOUS êtes tous concernés.

Pour ce petit-déjeuner, Me Polyanna Bigle, Directeur du Département Sécurité Numérique, propose de faire un grand tour des derniers textes en matière de sécurité numérique et leur mise en oeuvre avec des intervenants d’expérience dans le domaine de la SSI.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




L’impact du RGPD sur la DSI, Direction des systèmes d’information

L’impact du RGPD sur la DSILexing Alain Bensoussan Avocats est intervenu sur de la question de l’impact du RGPD sur la DSI Direction des systèmes d’information à la Cité de l’Espace, à Toulouse, dans le cadre d’une conférence organisée par Exaprobe, le 27 septembre 2017.

Ont été évoqués successivement les problématiques liées aux nouvelles obligations en matière de sécurité et de prévention, le cadre juridique particulier des analyses d’impact et les nouvelles règles relatives à la sous-traitance (1).

L’impact du RGPD sur la DSI en matière de sécurité

Il faut rappeler que la sécurité des données fait partie intégrante de l’article 5 du RGPD qui consacre les principes généraux relatifs au droit des données personnelles.

L’article 5, f) du RGPD dispose ainsi que les données à caractère personnel doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées » (intégrité et confidentialité).

Ont également été détaillées les nouvelles obligations en termes de protection d’une part (art. 25 du RGPD) et de sécurisation des données d’autre part (art. 32 du RGPD).

L’impact du RGPD sur la DSI et la nouveauté des PIA

Il a également présenté le droit nouveau des analyses d’impact, aussi connu sous le terme de PIA (art. 35 et 36 du RGPD) que les responsables de traitement devront nécessairement réaliser lorsque le traitement, en particulier par le recours à des nouvelles technologies est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes.

L’impact du RGPD sur la DSI concernant les sous-traitants

Enfin ont été détaillées les nouvelles règles du jeu relatives à la relation entre le responsable de traitement et son ou ses sous-traitant(s) (art. 24 et suivants du GRPD) et notamment :

  • l’obligation, pour le responsable de traitement, de faire « uniquement appel » à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement et garantisse la protection des droits de la personne concernée ;
  • les 8 règles de fond que doivent respecter tous les contrats conclus entre un responsable de traitement et ses sous-traitants ;
  • les nouvelles règles relatives à la sous-traitance en cascade;
  • l’obligation d’alerte spécifique des sous-traitants sur les éventuels manquements au RGPD.

Lexing Alain Bensoussan Avocats
Lexing Droit numérique

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)




Menace informatique : décrypter la recommandation de l’OCDE

Menace informatique : décrypter la recommandation de l'OCDEUne menace informatique peut rendre indisponible les ressources informatiques ou piller le capital informationnel.

Malgré la sensibilisation à marche forcée des décideurs Etatiques et du monde de l’entreprise, les problématiques de cybersécurité sont encore perçues exclusivement comme des questions à caractère technique qui requièrent des solutions de même nature.

Pour sortir de la logique selon laquelle les politiques de cybersécurité sont pilotées par les contraintes, il faut partager le constat qu’un changement de paradigme permettrait de combattre l’idée que le risque de cybersécurité n’appelle qu’une réponse technique.

La Recommandation de l’OCDE et son document d’accompagnement change totalement le paradigme en combattant l’idée selon laquelle le risque de sécurité numérique appelle une réponse de nature fondamentalement différente par rapport aux autres risques.

Pour mieux imprimer ce changement de paradigme, ni le terme de  » cybersécurité  » ni le préfixe  » cyber  » ne sont utilisés.

La Recommandation de l’OCDE sous-tend l’idée qu’une gestion dynamique du risque de sécurité numérique, non perçus ou pilotée exclusivement par les coûts ou les contraintes, permet de ramener à un niveau acceptable ce risque au regard des avantages économiques attendus.

La Recommandation définit un cadre de gestion et d’application de 4 principes :

  • Sensibilisation générale, compétences et autonomisation : Ce principe directeur invite les parties prenantes (gouvernement , organisations publiques ou privées, individus) à mieux comprendre le risque de sécurité numérique et mieux évaluer les impacts notamment quant à la réalisation de leurs objectifs économiques et sociaux.
  • Responsabilité : Ce principe appelle les parties prenantes à faire preuve de responsabilité et de pouvoir répondre de la gestion du risque numérique, tout en admettant qu’un certain niveau de risque de sécurité numérique doit être accepté pour pouvoir atteindre les objectifs économiques et sociaux.
  • Respect des droits de l’Homme et des valeurs fondamentales : La gestion du risque de sécurité numérique devrait être réalisée dans la transparence et le respect des droits de l’Homme et des valeurs fondamentales (liberté d’expression, libre circulation et confidentialité de l’information, protection de la vie privée, etc.).
  • Coopération : Le caractère interconnecté de l’environnement numérique et l’interdépendance des parties prenantes impose une coopération nationale, régionale et internationale (1).

Le texte définit les conditions d’application de 4 principes opérationnels :

  • Cycle d’évaluation et de traitement du risque : Il repose sur une évaluation permanente du risque. Elle doit estimer les conséquences qu’une menace informatique ou une vulnérabilité pourrait avoir sur les activités économiques et sociales.
  • Mesures de sécurité : Elles doivent être appropriées et proportionnées au risque en tenant compte de leurs effets sur les activités économiques et sociales dont la protection est recherchée.
  • Innovation : L’innovation devrait faire partie intégrante de la réduction du risque.
  • Préparation et continuité : Dirigeants et décideurs devraient adopter un plan de préparation et de continuité afin d’atténuer les risques et menaces et prendre en compte la continuité et la résilience des activités économiques et sociales.

La gestion dynamique du risque de sécurité numérique permet de ramener ce risque à un niveau acceptable au regard des avantages économiques qu’il procure en évitant la réalisation de la menace informatique.

Didier Gazagne
Lexing Droit Intelligence économique

(1) Gestion du risque de sécurité numérique pour la Prospérité économique et sociale (Recommandation OCDE).




SNCF : décryptage d’une révolution sécuritaire

SNCF : décryptage d'une révolution sécuritaireSNCF. Déjà dotée de trains intelligents, la SNCF envisage de recourir à des trains plus performants et donc plus intelligents en investissant dans des applications et des technologies numériques visant à faciliter la collecte et la vérification d’information sur ses voies ferrées.

A la suite des récents événements auxquels elle a dû faire face, la SNCF envisage, en effet, d’équiper l’ensemble de ses trains intelligents de wagons de surveillance automatique afin d’améliorer la prise de données et le suivi de la maintenance de ces derniers.

Actuellement en phase d’expérimentation, trois wagons de surveillance appelés « Surveille » ont été mis en place par la SNCF dans ses trains intelligents.

Dès 2015, ces wagons seront équipés d’outils de surveillance intelligents et efficaces tels que des caméras et des lasers, permettant de visualiser les voies parcourues et d’enregistrer les anomalies beaucoup efficacement que l’homme.

Ces informations récoltées permettront, dès lors, de surveiller et de sécuriser ses trains en les rendant encore plus intelligents et performants.

La mise en œuvre de ses nouvelles technologies posera nécessairement la question de la collecte des données.

En effet, ces données, collectées par la SNCF à des fins sécuritaires, pourraient contenir certaines informations qui pourraient fortement intéresser les constructeurs de matériaux des trains puisque cela leur permettrait de les adapter plus facilement aux besoins de la SNCF et de les rendre plus performants.

Il est donc fort probable que l’investissement aujourd’hui réalisé par la SNCF débouchera sur l’ouverture d’un nouveau marché basé sur la commercialisation de ces données, ce qui lui procurera, par la suite, un profit considérable.

Outre la surveillance du réseau et la sécurisation de ses trains, la SNCF souhaite également doter ses trains intelligents de nouveaux services lui permettant, outre d’améliorer son système productif, d’améliorer l’information de ses voyageurs.

Ces différents services, visant à faire évoluer la plateforme d’information de la SNCF en temps réel permettront donc aux voyageurs de situer sur une carte ou encore de suivre le trajet (informations sur la vitesse des trains, leur heure de passage dans les gares…) et amélioreront les performances des trains intelligents.

Marie-Adélaïde de Montlivault-Jacquot
Alexandra Massaux
Lexing Contentieux informatique