Le management de la sécurité des SI normalisé par l’AFNOR
Le management de la sécurité des SI enfin normalisé par l’AFNOR ! La norme NF ISO/CEI 27001 : 2007-12 homologuée
Informatique
Informatique, Informatique, Sécurité des SI
tarification des interceptions de communications électroniques
Sécurité des systèmes d’information Ecoutes téléphoniques Clarification de la rémunération des opérateurs de communications électroniques sur les Interceptions La loi prévoit que les opérateurs de communications électroniques sont rémunérés pour les frais occasionnés par les différents types d’interceptions de communications électroniques. Deux décrets viennent de paraître au journal officiel du 25 octobre 2007. Ils visent à traduire sur les plans technique et financier la rémunération des opérateurs de communications électroniques dans le cadre des interceptions de sécurité et judiciaires. Deux arrêtés sont également parus au journal officiel du même jour. Ils fixent le barème des prestations. L’Autorité de régulation des communications électroniques et des postes a été consultée en mars 2007 pour avis sur les deux projets de décrets ainsi que sur deux projets d’arrêtés. Décret n° 2007-1520 du 22 octobre 2007 portant modification du code de procédure pénale et relatif à la tarification des interceptions judiciaires (JO n° 248 du 25 octobre 2007 page 17485) Décret n° 2007-1519 du 22 octobre 2007 portant modification du code des postes et des communications électroniques et relatif à la tarification des interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17485) Arrêté du 22 octobre 2007 pris en application de l’article R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17486) Arrêté du 22 octobre 2007 pris en application de l’article D. 98-7 du code des postes et des communications électroniques fixant la tarification applicable aux demandes ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17514) (Mise en ligne Octobre 2007) Autres brèves Création de la délégation aux interceptions judiciaires (Mise en ligne Novembre 2006)
Gouvernance, Informatique, Informatique
Chartes d’entreprises et fraude informatique
Usurpation de codes informatiques, détournement des systèmes de protection, introduction d’opérations fictives dans le système d’information, autant de pratiques relancées par les récents événements survenus dans le secteur bancaire. Ces agissements sont susceptibles de recevoir une qualification pénale.Ainsi, de nombreuses dispositions (1) répriment avec rigueur la fraude informatique. Articulée autour de quatre incriminations,
La responsabilité du DSI en matière de système d’information
Le nombre croissant de contraintes légales accroissent de plus en plus la responsabilité du DSI.
Informatique, Informatique, Sécurité des SI
Cryptologie:contenu des dossiers de déclaration et autorisation
Constructeurs ITE – Règlementation Cryptologie : contenu des dossiers de déclaration et d’autorisation L’arrêté du 25 mai 2007 pris en application du décret du 2 mai 2007 vient préciser les caractéristiques techniques qui peuvent être demandées par la Direction centrale de la sécurité des systèmes d’information (DCSSI), dans le cas d’une déclaration ou d’une demande d’autorisation d’opérations relatives à des moyens et des prestations de cryptologie. Les six arrêtés issus du régime antérieur sont abrogés. Les formulaires de déclaration préalable (DM et DP) et de demande d’autorisation (AM) dont les modèles sont annexés à l’arrêté, sont à adresser en trois exemplaires au secrétariat général de la défense nationale, direction centrale de la sécurité des systèmes d’information. Arrêté du 25 mai 2007 (Mise en ligne Mai 2007)
Informatique, Informatique, Sécurité des SI
Rémunération des opérateurs sur les interceptions
Constructeurs ITE – Libertés publiques Interceptions judiciaires Clarification de la rémunération des opérateurs de communications électroniques sur les Interceptions La loi prévoit que les opérateurs de communications électroniques sont rémunérés pour les frais occasionnés par les différents types d’interceptions de communications électroniques. Deux décrets viennent de paraître au journal officiel du 25 octobre 2007. Ils visent à traduire sur les plans technique et financier la rémunération des opérateurs de communications électroniques dans le cadre des interceptions de sécurité et judiciaires. Deux arrêtés sont également parus au journal officiel du même jour. Ils fixent le barème des prestations. L’Autorité de régulation des communications électroniques et des postes a été consultée en mars 2007 pour avis sur les deux projets de décrets ainsi que sur deux projets d’arrêtés. Décret n° 2007-1520 du 22 octobre 2007 portant modification du code de procédure pénale et relatif à la tarification des interceptions judiciaires (JO n° 248 du 25 octobre 2007 page 17485) Décret n° 2007-1519 du 22 octobre 2007 portant modification du code des postes et des communications électroniques et relatif à la tarification des interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17485) Arrêté du 22 octobre 2007 pris en application de l’article R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17486) Arrêté du 22 octobre 2007 pris en application de l’article D. 98-7 du code des postes et des communications électroniques fixant la tarification applicable aux demandes ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17514) (Mise en ligne Octobre 2007) Autres brèves Données de connexion : l’arrêté sur la tarification des réquisitions entaché d’illégalité (Mise en ligne Août 2007)
Informatique, Informatique, Sécurité des SI
e-administration législation comparée vote électronique
Vote électronique Législation comparée du Sénat sur le vote électronique Le service des études juridiques du Sénat vient de publier une étude de législation comparée sur le vote électronique. L’étude porte sur l’analyse des textes et de la pratique dans neuf pays européens : l’Allemagne, l’Angleterre et le pays de Galles, la Belgique , l’Espagne, l’Irlande, l’Italie, les Pays-Bas, le Portugal et la Suisse. L’étude révèle que : une partie plus ou moins importante du corps électoral vote à l’aide de dispositifs électroniques aux Pays-Bas, en Belgique et en Allemagne ; le vote électronique est instauré de façon très progressive en Suisse depuis 2003 ; l’Irlande a commencé à introduire le vote électronique en 2002, mais a suspendu son expérience ; en Angleterre et au pays de Galles, le vote électronique est expérimenté depuis 2000 à l’occasion d’élections locales dans plusieurs collectivités, mais sa généralisation n’est plus envisagée ; en Espagne, en Italie et au Portugal, le vote électronique ne donne pour l’instant lieu qu’à des tests sans valeur juridique.L’étude montre de façon générale, que le vote électronique ne paraît pas répondre aux espoirs qu’il a nourris. La Suisse, où l’instauration du vote par Internet s’effectue de façon très pragmatique et répond a priori à un réel besoin puisque les citoyens sont appelés à se rendre aux urnes plusieurs fois par an, semble cependant constituer une exception. Rapport d’information du Sénat sur le vote électronique (Mise en ligne Septembre 2007)
Informatique, Informatique, Sécurité des SI
Interceptions : rémunération des opérateurs
Internet contentieux Interception judiciaire Clarification de la rémunération des opérateurs de communications électroniques sur les Interceptions La loi prévoit que les opérateurs de communications électroniques sont rémunérés pour les frais occasionnés par les différents types d’interceptions de communications électroniques. Deux décrets viennent de paraître au journal officiel du 25 octobre 2007. Ils visent à traduire sur les plans technique et financier la rémunération des opérateurs de communications électroniques dans le cadre des interceptions de sécurité et judiciaires. Deux arrêtés sont également parus au journal officiel du même jour. Ils fixent le barème des prestations. L’Autorité de régulation des communications électroniques et des postes a été consultée en mars 2007 pour avis sur les deux projets de décrets ainsi que sur deux projets d’arrêtés. Décret n° 2007-1520 du 22 octobre 2007 portant modification du code de procédure pénale et relatif à la tarification des interceptions judiciaires (JO n° 248 du 25 octobre 2007 page 17485) Décret n° 2007-1519 du 22 octobre 2007 portant modification du code des postes et des communications électroniques et relatif à la tarification des interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17485) Arrêté du 22 octobre 2007 pris en application de l’article R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17486) Arrêté du 22 octobre 2007 pris en application de l’article D. 98-7 du code des postes et des communications électroniques fixant la tarification applicable aux demandes ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17514) (Mise en ligne Octobre 2007) Autres brèves Création de la délégation aux interceptions judiciaires (Mise en ligne Novembre 2006) Commercialisation de matériels d’interception de communications électroniques (Mise en ligne Septembre 2006)
Informatique
Abus de position dominante sur le marché des navigateurs web
La Commission européenne a fait part de son acceptation des engagements proposés par Microsoft en vue de permettre aux utilisateurs de choisir leur navigateur web. Elle a adopté une décision qui rend juridiquement contraignants les engagements offerts par Microsoft afin de dynamiser la concurrence sur le marché des navigateurs web.
Actualités, Informatique, Informatique
Révision du règlement d’exemption sur les accords verticaux
La Commission européenne a lancé, cet été, une consultation publique, ouverte jusqu’au 28 septembre 2009, sur la révision du règlement d’exemption sur les accords verticaux. Ce règlement, qui expire le 31 mai 2010, crée une zone de sécurité, en fixant les conditions dans lesquelles les accords de distribution échappent à la prohibition des ententes anticoncurrentielles.
Gouvernance, Informatique, Informatique
La directive protection des programmes d’ordinateur
Expertises judiciaires ICE et Audit Gouvernance des systèmes d’information La directive protection des programmes d’ordinateur Un objectif affiché de « clarté et de rationalité » La directive européenne du 23 avril 2009 relative à la protection des programmes d’ordinateur remplace la directive du 14 mai 1991 (1) qui avait déjà été transposée dans le Code de la propriété intellectuelle (2). A première lecture, il y a peu de modification. Le nouveau texte réaffirme le principe d’une protection du logiciel par le droit d’auteur en tant qu’œuvre littéraire tout comme l’affirmait déjà la directive de 1991. Elle ne modifie pas la définition même du « programme d’ordinateur », terme qui recouvre « les programmes sous quelque forme que ce soit », ainsi que « les travaux préparatoires de conception aboutissant au développement d’un programme, à condition qu’ils soient de nature à permettre la réalisation d’un programme d’ordinateur à un stade ultérieur ». On note toutefois certains changement de terminologie. Ainsi le terme « déroulement » a été remplacé par « exécution » et ceux d’ « acquéreur légal » par « acquéreur légitime ». Les actes soumis à restriction et leurs exceptions sont aussi intégralement repris de la directive remplacée. Le principe de l’autorisation « d’une » copie de sauvegarde qui a pu faire couler tant d’encre sur la question des copies illicites reste donc inchangé. Sauf disposition contractuelle différente qu’il conviendra de prévoir, l’exploitant d’un progiciel ne devrait pas pouvoir réaliser de multiples copies de sauvegarde, ce qui est contraire à la pratique et aux exigences de sécurité et de continuité d’exploitation qui commandent la définition et la mise en place d’un plan de sauvegarde total des serveurs sur de multiples supports. L’enjeux : L’adoption de cette directive est motivée par un objectif de « clarté et de rationalité », le contenu de la directive de 1991 ayant été modifié en 1993 par la directive 93/98/CEE sur l’harmonisation de la durée de protection du droit d’auteur et de certains droits voisins. Peu de changement au cadre juridique La directive en vigueur depuis le 25 mai 2009, apporte relativement peu de changement au cadre juridique de la protection des programmes d’ordinateurs. Par ailleurs, elle ne prévoit toujours pas les modalités d’accès aux codes sources pour exercer les droits conférés à l’acquéreur légitime, tels que par exemple, la réalisation de l’interopérabilité de programmes. Enfin, la directive ne contient plus aucune disposition sur la durée de protection, qui couvre donc soixante-dix ans à compter du 1er janvier de l’année civile suivant l’année de la publication du programme, conformément à la directive du 29 octobre 1993 relative à l’harmonisation de la durée de protection du droit d’auteur et de certains droits voisins. Rappelons que la date de publication est déterminée par tout mode de preuve de droit commun, et notamment par le dépôt légal. Les conseils : Comme par le passé, il demeure très important d’apporter des précisions dans les contrats sur les modalités de corrections des erreurs. (1) Directive 2009/24/CE du 23-4-2009. (2) Art. L. 122-6 et s. (Mise en ligne Novembre 2009) Paru dans la JTIT n°94/2009 Autres brèves La responsabilité du DSI en matière de SI : les mesures de préventions à prendre (Mise en ligne Mars 2006) Gérer la convergence des systèmes d’information (Mise en ligne Juin 2006 ) Renforcer sa politique de sécurité : une préocupation constante de l’entreprise (Mise en ligne Mars 2006) Les implications de la SOX sur les SI (Mise en ligne Juillet 2002)
Informatique, Informatique, Sécurité des SI
Les 10 conseils de la Cnil pour sécuriser son système d’information
Les 10 conseils de la Cnil pour sécuriser son système d’information La Cnil a publié sur son site web « 10 conseils pour sécuriser votre système d’information », le 12 octobre dernier. Ces 10 conseils s’inscrivent naturellement dans le cadre de la loi Informatique et libertés. Pour mémoire, cette loi organise la gestion des données personnelles autour de quatre axes : les formalités préalables (déclarations normales, simplifiées, autorisations,…) ; le droit des personnes (droit à l’information, droit d’accès, droit de modification,…) ; les flux transfrontières de données ; la sécurité des traitements et de leurs données. Ce dernier axe relatif à la sécurité, bien trop souvent ignoré, repose essentiellement sur les articles 34 et 35 de la loi Informatique et libertés. L’article 34 de la loi dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. […] ». Pour sa part, l’article 35 vise les cas où le responsable du traitement sous-traite tout ou partie de ses traitements automatisés de données auprès d’un tiers et définit les relations entre le sous-traitant et le responsable du traitement, pour ce qui concerne la sécurité. Ces 10 conseils s’intègrent donc dans le cadre des conditions d’application des articles 34 et 35 de la loi. Si la Commission s’est déjà prononcée de très nombreuses fois sur les questions de sécurité, lorsqu’un dossier ou un projet lui est soumis, c’est en revanche la première fois ou l’une des premières fois que la Commission se penche sur cette question en l’abordant selon une approche générale. S’agissant du statut du document lui-même, il s’agit de « conseils » et non d’une « délibération ». Ces « conseils » ne sont pas liants au plan juridique, mais leur portée ne sauraient être pour autant sous-estimée. A tout le moins, ces conseils s’intègrent dans ce qu’on pourrait qualifier de référentiel de « bonnes pratiques ». Ainsi, les entreprises, sans y être contraintes sont vivement invitées à suivre ces conseils de la Cnil, gardienne de la loi Informatique et libertés. Sans entrer dans le détail de ces dix conseils, il convient de relever que le conseil n°2 « Concevoir une procédure de création et de suppression des comptes utilisateurs » doit être mis en place au sein des entreprise, mais également intégré dans la charte de l’utilisation des systèmes d’information. S’agissant des conseils n°9 et 10, respectivement « Anticiper et formaliser une politique de sécurité du système d’information » et « Sensibiliser les utilisateurs aux risques informatiques et à la loi informatique et libertés », ils imposent à l’entreprise de dépasser le stade de la simple charte et de passer à celui d’une véritable gouvernance de la sécurité au sein de laquelle on retrouvera la charte des personnels pour l’utilisation des systèmes d’information mais aussi la charte « administrateur», la charte « accès », ou encore la charte « Informatique et libertés ». De même que le conseil n°10 impose également le passage d’une gouvernance statique à une gouvernance dynamique à travers des plans de formations ou de sensibilisation encore bien peu nombreux dans les entreprises. Les 10 conseils de la Cnil. (Mise en ligne Novembre 2009)
Gouvernance, Informatique, Informatique
Outsourcing et informatique offshore
La délocalisation de tout ou partie d’un projet informatique (externalisation par une entreprise de tout ou partie de son informatique, opérations de tierce maintenance applicative, développement d’applications…) à l’étranger(Inde, Chine, Maroc, Tunisie)est de plus en plus prisée,
Informatique, Informatique, Sécurité des SI
L’Agence nationale de la sécurité des systèmes d’information
Sécurité des systèmes d’information Autorité de régulation Création de l’Agence nationale de la sécurité des systèmes d’information Une nouvelle structure nationale ayant pour objet d’assurer la sécurité des systèmes d’information a été créée par décret n°2009-834 du 7 juillet 2009, paru au journal officiel du 8 juillet 2009. Cette nouvelle institution, appelée Agence nationale de la sécurité des systèmes d’information, remplace l’ancienne Direction centrale de la sécurité des systèmes d’information (DCSSI). L’Agence de la sécurité des systèmes d’information s’est vue attribuer pour mission de détecter au plus tôt et de réagir rapidement en cas d’attaque informatique, prévenir la menace informatique en contribuant au développement d’une offre de produit de haute sécurité pour les administrations et les acteurs économiques, jouer un rôle de conseil et de soutien aux administrations et aux opérateurs d’importance vitale, informer régulièrement le public sur les menaces existantes par le biais du site internet gouvernemental de la sécurité informatique. La création de cette agence a été décidée par le Président de la République, à la suite des travaux du livre blanc sur la défense et la sécurité nationale, publié le 17 juin 2008, préconisant que l’expertise de l’Etat en matière de sécurité des systèmes d’information soit fortement développée. Le livre blanc sur la défense et la sécurité nationale mettait en effet en avant l’existence d’un risque d’attaque informatique majeure à prévoir dans les 15 années à venir. Le site créé pour l’ANSSI est accessible à l’adresse suivante : www.anssi.gouv.fr. Décret 2009-834 du 7 juillet 2009 (Mise en ligne Juillet 2009)
Informatique, Informatique, Sécurité des SI
le vote électronique lors d’élections des Français de l’Étranger
Internet conseil Vote électronique Le vote électronique pour les élections des Français de l’Étranger Le décret du 11 mai 2009, relatif au vote par voie électronique pour l’élection des membres de l’Assemblée des Français de l’Étranger, vient d’être publié au Journal Officiel. Il est complété par un arrêté du même jour. Ces textes précisent, notamment, les conditions dans lesquelles se déroulent les opérations de vote électronique, la constitution et la mission du bureau de vote par voie électronique, et les règles attachées à la création de traitements automatisés de données à caractère personnel. Ce dispositif réglementaire vient compléter la loi du 28 mars 2003 autorisant le vote à distance, incluant le vote par correspondance, mais également le vote électronique, dans le cadre du développement de l’e-administration. Le 7 juin 2009 sont renouvelés les conseillers de l’Assemblée des Français de l’Étranger (AFE) ( Zone Afrique et Amérique), composée de 150 représentants qui sont élus au suffrage universel direct par les Français établis hors de France. L’option de vote électronique ainsi proposée aux Français établis à l’Étranger dans le cadre de cette élection est confiée à un prestataire technique. La gestion, notamment, de la sécurisation et la diffusion des codes personnels d’authentification des électeurs tient compte des recommandations de la Cnil, validées dans un contexte national, pour une élection à valeur légale, depuis les ordonnances de juillet 2003 et la délibération n°2006-042 du 23 février 2006. Le décret du 11 mai 2009 précise que le vote des Français à l’Étranger peut s’exercer selon trois modes de scrutin : personnellement, dans les bureaux de vote ; par correspondance ; par Internet.Deux traitements automatisés de données à caractère personnel, distincts, dédiés et isolés, dénommés « fichier des électeurs » et « urne électronique », ont été créés puis validés par la Cnil pour le vote électronique. Il est indiqué également que les Français inscrits sur les listes électorales consulaires pourront voter par voie électronique pour l’élection des membres de l’Assemblée des Français de l’Étranger, à moins que leur pays de résidence ne soit inscrit sur la liste de ceux depuis lesquels la transmission de flux informatiques chiffrés est impossible ou interdite. L’électeur ayant opté pour le vote électronique ne sera, en revanche, plus admis à voter, ni par correspondance sous pli fermé, ni à se présenter dans l’un des bureaux de vote ouverts le jour du scrutin. Préalablement à sa mise en oeuvre, le système de vote par voie électronique devra faire l’objet d’une expertise indépendante portant sur les garanties apportées à la confidentialité, la sécurité, la sincérité et au contrôle du scrutin. L’expert indépendant aura seul accès au code source du système de vote. Il remettra son rapport au Ministre des Affaires Étrangères, au bureau du vote par voie électronique, et à la Cnil. Également, un bureau du vote électronique a été mis en place afin de contrôler l’ensemble des opérations de vote par voie électronique et du dépouillement du scrutin. Décret n°2009-525 du 14 mai 2009 Arrêté du 13 mai 2009 Arrêté du 11 mai 2009 Délibération 2009-210 du 30 avril 2009 (Mise en ligne Juin 2009) Autres brèves Le vote électronique et la modernisation du processus électoral : les machines à voter (Mise en ligne Septembre 2008)
Informatique, Informatique, Sécurité des SI
Sécurité informatique : le rapport Clusif 2008
Le Clusif (club de la sécurité de l’information français) a publié enjuin 2008 son rapport annuel sur la sécurité des systèmes d’information : « menaces informatiques et pratiques de sécurité en France ». Ce rapport, qui couvre un large spectre, repose sur une enquête détailléemenée auprès d’entreprises de plus de 200 salariés
Informatique, Informatique, Sécurité des SI
Sécurité des systèmes d’information sinistralité
Sécurité des systèmes d’information Sinistralité Aspects juridiques de la sécurité informatique : le rapport Clusif 2008 Le Clusif (club de la sécurité de l’information français) a publié au mois de juin 2008 son rapport annuel sur la sécurité des systèmes d’information : « menaces informatiques et pratiques de sécurité en France ». Ce rapport couvre un large spectre puisqu’il repose sur une enquête détaillée menée auprès d’entreprises de plus de 200 salariés couvrant de nombreux secteurs d’activités mais aussi des collectivités locales et des internautes. Les indicateurs nombreux et précis présentés dans le rapport permettent de constater « un inquiétant sentiment de stagnation » selon les termes du rapport, dans la mise en application concrète des politiques de sécurité. Les constats du Clusif sont en effet relativement inquiétants lorsqu’il est mentionné que 40 % des entreprises ne disposent pas de plan de continuité d’activité pour traiter les crises majeures et 30 % admettent ne pas être en conformité avec la loi Informatique et libertés. Pour autant, c’est fort justement que le Clusif souligne que les risques ne faiblissent pas et deux exemples récents dont la presse s’est fait l’écho illustrent la menace que fait peser sur une entreprise une malveillance sur un système d’information ou une défaillance affectant la disponibilité des services. Ainsi le 3 septembre 2008 la société Dassault Systems a indiqué qu’un fichier comportant les adresses de 3 216 clients et un ensemble secrets commerciaux avait été diffusé sur l’intranet d’une filiale du groupe Siemens et ce alors que ces données étaient protégées. Plus récemment, le 8 septembre, une panne informatique de près de sept heures a contraint le London Stock Exchange à suspendre les cotations de la bourse de Londres. Ces deux incidents sont emblématiques en ce qu’ils concernent des acteurs qui disposent sans doute des politiques de sécurité parmi les plus sophistiquées et ceci rappelle que le risque zéro n’existe pas. Pour autant, une telle actualité montre l’impérieuse nécessité de se doter des moyens techniques organisationnels, budgétaires mais aussi juridiques permettant de minorer si ce n’est d’éliminer de tels risques. Le volet juridique est bien une composante structurelle des politiques de sécurité en ce qu’il ne doit pas seulement être le recours ultime quand le risque s’est réalisé mais un ensemble de mesures et pratiques concourrant à la gestion de ce risque. Les aspects juridiques divers et variés concourrant à une politique de sécurisation des systèmes d’information peuvent être implémentés à des fins préventives, de manière évolutive et enfin de manière curative. En effet, l’exploitation d’un système d’information s’inscrit dans un contexte légal et réglementaire plus ou moins complexe selon les secteurs d’activités concernés. Un système d’information est juridiquement sensible, notamment en ce qu’il met en œuvre des éléments logiciels des données et des bases de données. Du point de vue des éléments logiciels, ceux-ci présentent la particularité d’être soumis à la protection par le droit d’auteur, ce qui confère à leurs auteurs ou éditeurs des prérogatives extrêmement larges du point de vue de leurs conditions d’utilisation et de maintenance. Des pratiques de commercialisation ou de distribution extrêmement variées sont ainsi développées : de la licence propriétaire la plus stricte jusqu’aux licences de logiciels libres les plus libérales. La disponibilité des droits d’exploitation des logiciels concourrant au bon fonctionnement des systèmes d’information constitue une mesure de base indispensable à la garantie de la continuité du service. A titre d’exemple d’une politique juridique des systèmes d’information, le contrôle des droits d’exploitation des composants logiciels semble être une précaution élémentaire et indispensable. Il en est de même pour les données et les bases de données qui, sous certaines conditions (notamment d’originalité), peuvent être qualifiées d’œuvres de l’esprit protégeables par la législation sur le droit d’auteur. L’importation et la diffusion par exemple sur l’intranet de l’entreprise de données protégées ne sont a priori pas libres et doivent donc faire l’objet de mesures préventives pour éviter des téléchargements illicites et des mesures de contrôle pour valider les droits d’exploitation des données utilisées. Enfin, même non originales, les bases de données considérées comme des collections de données bénéficient d’une protection juridique particulière permettant à leur producteur de définir les conditions d’utilisation qualitativement ou quantitativement substantielles de leur base de données. Le contrôle des politiques de liens sur les bases de données à usage restreint fait aussi parti des mesures juridiques concourrant à une politique de sécurité des systèmes d’information. Ces quelques exemples ne portent que sur la gestion des droits de propriété intellectuelle dans les composants des systèmes d’information. Cependant, les aspects juridiques de la sécurité ne se limitent pas à ces risques de non-respect des droits de propriété intellectuelle et l’on peut également évoquer l’obligation de conformité de la collecte et des traitements de données à caractère personnel par rapport à la loi Informatique et libertés ou encore les exigences de traçabilité et de transparence des systèmes et des traitements au regard des dispositions légales relatives aux comptabilités informatisées ou de la loi sur la sécurité financière. De même, peut être intégrée dans les processus concourrant à une politique de sécurité la vérification des impacts de l’évolution ou de la modification des systèmes d’information en vue notamment de déclencher les procédures d’information ou de consultation des institutions représentatives des personnels quand il y a lieu. Le rapport du Clusif souligne qu’un certain nombre d’entreprises et de collectivités locales organisent leur politique de sécurité conformément à un environnement normatif de type ISO 17799 ou 27001, ce qui paraît encourageant à la condition que les aspects juridiques de la sécurité soient pris en compte et intégrés le plus en amont possible dans les systèmes de management de la sécurité de l’information. Rapport 2008 du Clusif disponible sur www.clusif.asso.fr (Mise en ligne Septembre 2008)
Informatique
Le « référentiel à grande échelle » du SIG de l’IGN ne porte pas atteinte à la concurrence
Propriété intellectuelle Concurrence Le « référentiel à grande échelle » que représente le SIG de l’IGN ne porte pas atteinte à la concurrence Le système intégré d’informations géographiques appelé « référentiel à grande échelle » (RGE) de l’IGN (Institut géographique national) et composé de quatre bases de données, numérisées et interopérables ne porte pas atteinte à la concurrence. C’est ce que vient de juger le Conseil d’Etat, dans un arrêt du 26 janvier 2007 opposant l’IGN au Syndicat professionnel de la géomatique, concernant le monopole conféré par le décret du 22 novembre 2004. Il rappelle que les dispositions du décret du 12 mai 1981 modifié en 2004, loin d’interdire à des entreprises concurrentes du secteur de constituer et de commercialiser des bases de données géographiques, organisent au contraire, à cet effet, leur accès aux données du référentiel à grande échelle. Le Conseil d’Etat considère que l’octroi à l’IGN d’un droit exclusif limité, consistant à imposer aux services et établissements publics de l’Etat, d’une part, de lui communiquer les données dont ils disposent, et d’autre part, d’avoir recours aux données du référentiel, lorsqu’elles leur conviennent, n’est pas sans rapport avec l’objet même du système d’information géographique en cause, qu’il a reçu la mission d’intérêt général de constituer, de mettre à jour et de diffuser et qui vise à être un « référentiel ». Il en résulte que le décret attaqué n’a porté d’atteinte illégale ni à la liberté d’entreprendre ni, en tout état de cause, à la liberté d’accès à la commande publique. Il ajoute que les services de l’Etat et ceux de ses établissements publics ne sont tenus d’y recourir que lorsque les données qu’il contient « correspondent à leurs besoins ». Par conséquent, le Conseil d’Etat considère que le droit exclusif ainsi conféré à l’IGN n’excède pas les nécessités des services d’intérêt général auxquels l’outil est destiné. Par ailleurs, le Conseil d’Etat juge que le décret ne contrevient pas aux règles européennes de passation de la commande publique et ne méconnaît pas les principes du droit de la concurrence. Il reconnaît que si les droits exclusifs accordés à l’IGN par le décret attaqué lui confèrent une position dominante sur les marchés concernés, cette circonstance ne le place pas pour autant en situation d’en abuser automatiquement. En conséquence, il rejette le recours en annulation du décret du 22 novembre 2004. Conseil d’État 26 janvier 2007
Informatique, Informatique
Distribution en ligne de produits cosmétiques
Dix entreprises bien connues du secteur de la cosmétique et des produits d’hygiène corporelle, qui distribuent leurs produits par des réseaux de distribution sélective, font actuellement l’objet d’une procédure devant le Conseil de la concurrence, concernant la vente sur internet de leurs produits.