11 janvier 2022

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#371 ré-utiliser les data d'un leak, c'est pénal ou c'est légal ?

Utiliser les data d’un leak, c’est pénal ou c’est légal[mise à jour du 25 avril 2022] La vidéo est maintenant accessible directement dans ce post de blog.

Evidemment, écrit comme ça, le sujet n’est pas très parlant, sauf pour les RSSI et les pro de la cyber-sécurité qui pratiquent massivement la collecte de leak… sans savoir ce qu’ils/elles risquent…

Evidemment, si c’était légal, je n’aurais pas préparé quelques slides en BD pour la réunion de l’OSSIR du 11 janvier 2022…

L’OSSIR ? C’est l’Observatoire de la Sécurité des Systèmes d’information et des Réseaux.

Mais de quoi parle-t-on au juste ?

Un « leak » ? C’est le résultat d’une « fuite » de données, qu’il s’agisse de données à caractère personnel ou pas. Car il n’y a pas que le RGPD dans la vie… Il y a aussi le Code pénal, très fourni en France…

Je vous prépare à ce que vous devriez retenir ?

Avant de dérouler la litanie des délits auxquels les RSSI et les pro de la cyber-sécurité s’exposent (sans apparemment toujours le savoir (hum…), commençons par un rappel des principes de responsabilité, civile et pénale, et leur application pratique entre employeur et salarié(e)s.

Nous verrons ensuite ce qu’il faut comprendre – juridiquement – par « leak » . 

Pour vous rendre parlants les risques d’ incrimination pénale que nous allons passer en revue, je les ai classées en « Legal CVSS » de 1 à 9 sur 10. Vous ne devriez ne pas être dépaysé(e)s…

D’abord, 3 « petits » délits qui ne devraient pas concerner celles et ceux qui vont « récupérer » des leaks accessibles depuis le (clear) web ou un darknet

Surtout et enfin, nous terminerons par l’analyse de 5 délits, majeurs, qui exposent à des peines de prison et à des amendes allant jusqu’à 750.000 €uros… Tout de même…

Ne pensez pas plaider la bonne foi si vous vous faites attraper avec une série de leaks stockés dans votre SI : certains de ces délits vous exposent pénalement par la simple détention de certains types de données. Nous verrons bien sur lesquelles.

Je vous le rappelle : « nul n’est censé ignorer la loi » … et la Cour de Cassation l’a rappelé encore en 1986 : « l’ignorance de la loi ne saurait être une cause de justification » .

utiliser les data d'un leak, c'est pénal ou c'est légal ? la vidéo+BD de la conférence pour l'OSSIR

utiliser les data d'un leak, c'est pénal ou c'est légal ? RAPPEL des principes de la responsabilité pénale et civile côté employeur et côté salarié(e)

2 principes à retenir :

 

  • l’employeur est responsable pénalement des délits commis par ses salarié(e)s;

 

  • l’employeur est responsable des fautes civiles de ses salarié(e)s à l’égard des tiers ou des partenaires contractuels de l’entreprise.

 

ATTENTION, un salarié qui comment un délit commet aussi une faute civile, dont le poids est porté par l’employeur personne morale (ou physique d’ailleurs).

Cette faute civile a de très importantes conséquences contractuelles pour la personne morale employeur : celle de ne pas pouvoir appliquer la clause limitative de responsabilité conclue avec les partenaires contractuels (les clients du prestataire).

Et si un(e) salarié(e) commet une faute civile dans le cadre de son contrat de travail, il/elle risque le licenciement pour faute ? 

Vous voulez en savoir plus ? Allez lire les slides ci-dessous !

utiliser les data d'un leak, c'est pénal ou c'est légal ? Mettons-nous d'accord pour définir ce qu'est un leak (pour les juristes surtout...)

Dans notre présentation, distinguons deux catégories de « personnes » : celles qui vont « voler » des data, celles qui sont à l’origine d’un leak (nous n’en parlerons pas aujourd’hui) et celles qui « trouvent » les data d’un leak, qui les collectent et qui les stockent dans le SI (par exemple, de leur entreprise…).

Nous nous cantonnerons à envisager l’éventuelle responsabilité de celles et ceux qui accèdent à des leaks déjà réalisés.

Commençons par voir quels types de data figurent dans les leaks (merci sur ce point @Vlad « Volodia » Kolla).

La nature des data contenues dans un leak aura une influence majeure sur le type de délit pénal probablement constitué…

LEAK PENAL pour RSSI © Ledieu-Avocats technique droit numérique BLOG BD

 

Dernier point, d’importance : vous ne serez pas jugé(e) de la même manière si vous avez payé pour un leak ou si vous y avez accédé gratuitement…

Vous trouverez tous les détails qui devraient vous intéresser dans les slides ci-dessous.

utiliser les data d'un leak, c'est pénal ou c'est légal ? 3 petites incriminations pénales à ne pas retenir...

Voici résumé en 1 slide les trois « incriminations » (dans notre jargon métier de juriste) qui ne devraient pas poser de problème…

Et voici les liens pour accéder directement à la ressource web correspondante :

– recel de vol (d’information) : article 321-1 Code pénal 

– détenir des données en vue de commettre une infraction « STAD » (article 323-3-1 Code pénal)

– délit dit de « doxing » ou « doxxing » (article 223-1-1 Code pénal, issu de la loi n°2021-1109 du 24 aout 2021).

les délits les moins probables utilisation LEAK PENAL ou legal RSSI © Ledieu-Avocats technique droit numérique blog BD 2022

 

Ces délits vous parlent ? Au contraire, vous voulez en savoir plus ? 

Allez voir les slides (en BD) ci-dessous (ou passez directement aux délits « lourds » pour vous faire peur…).

utiliser les data d'un leak, c'est pénal ou c'est légal ? Le risque pénal d'atteinte à des secrets protégés par la loi

Parmi les 4 sortes de secrets protégés par la loi en France, seuls les secrets d’affaires font figurent d’exception (pas de sanction pénale, ce qui semble assez logique).

secrets protégés par la loi LEAK PENAL pour RSSI © Ledieu-Avocats technique droit numérique BLOG BD

 

Voici les fondements légaux des secrets protégés pénalement (avant que vous n’alliez lire les slides ci-dessous) :

– le secret des correspondances (article 226-15 Code pénal)

– le secret professionnel (article 226-13 Code pénal)

– le secret de la Défense nationale (notamment article 413-10 Code pénal)

utiliser les data d'un leak, c'est pénal ou c'est légal ? le TRES GROS RISQUE de la ré-utilisation de données collectées depuis un SI qui n'est pas le votre

Si vous êtes RSSI, ou prestataire de services de sécurité (pentesteur, prestataire de MCS, SOC, etc.), vous avez certainement entendu parler des articles 323-1 à 323-3 Code pénal : ce sont les délits d’accès et de maintien frauduleux dans un Système de Traitement Automatisé de Données…

PS : S.T.A.D. = Système d’Information : ça ne fait pas l’ombre d’un doute, même pour la jurisprudence…

STAD LEAK PENAL pour RSSI © Ledieu-Avocats technique droit numérique BLOG BD

 

Dans les slides ci-dessous, nous analyserons en détail l’article 323-3 Code pénal qui concerne directement celles et ceux qui stockent des data provenant d’un leak…

J’entends d’ici votre question : c’est quoi « frauduleusement » en droit ?

Ma réponse détaillée est (aussi) dans les slides ci-dessous…

utiliser les data d'un leak, c'est pénal ou c'est légal ? le RISQUE MAJEUR de l'atteinte aux droits du producteur du contenu d'une base de données

Vous saviez qu’il existe dans l’UE un droit spécial protégeant le « producteur » du contenu d’une base de données ? 

NON ? 

C’est la Directive 96/9 du 11 mars 1996 (déjà).

En quelques slides rapides, voyons comment marche ce régime légal qui permet à une entreprise d’interdire que l’on vienne « piocher » dans ses bases de données (à caractère personnel ou non).

protection CONTENU base de données LEAK PENAL pour RSSI © Ledieu-Avocats technique droit numérique BLOG BD

 

Si je vous parle ici de la directive 96/9, c’est que le non-respect des droits du « producteur » du contenu d’une base de données est assortie de sanctions pénales… Hé oui… 

Je vous invite instamment à creuser (un peu) le sujet avec les slides ci-dessous.

Pour une analyse détaillée de comment ça marche le droit protégeant le contenu des bases de données, cliquez ici pour accéder à ma présentation en BD sur ce sujet spécifique.

utiliser les data d'un leak, c'est pénal ou c'est légal ? Si vous avez copié des codes source "propriétaires", vous êtes contrefacteur !!!

Si vous trouvez dans un leak des codes source sous licence Open Source, pas de problème…

En revanche, si vous stockez des codes source propriétaires, vous êtes contrefacteur…

Oui, la contrefaçon est aussi un délit pénal (article 335-3 Code pénal).

Le « tarif » ? 300.000 euros d’amende et 3 ans de prison…

6 slides rapides ci-dessous sur ce sujet qui n’appelle pas de commentaires particuliers.

utiliser les data d'un leak, c'est pénal ou c'est légal ? Vous avez copié des données personnelles ? En plus des sanctions pécuniaires du RGPD, vous procédez à un traitement illicite de données personnelles pénalement sanctionnable !!!

Vous avez récupéré dans un leak des données de santé ? des données bancaires ? un Active Directory ?

Vous traitez des données personnelles au sens du RGPD (Règlement UE n°2016/679 du 27 avril 2016).

Vous risquez une grosse amende « administrative »…

Vous risquez aussi une sanction pénale ! Hé oui !

C’est l’article 226-18 du Code pénal… Jusqu’à 5 ans de prison et 300.000 euros d’amende…

CNIL RIFI recherche sur Internet de fuites d’informations - ré utilisation LEAK PENAL LEGAL OSSIR © Ledieu-Avocats

 

Hasard du calendrier ? La CNIL communique ce 11 janvier 2022 en ligne sur « La recherche sur Internet de fuites d’informations (RIFI) ». 

Si vous êtres RSSI ou prestataire de solution de sécurité SI, vous y lirez (sans sourire) que – je cite la CNIL – « seules les données pertinentes… font l’objet d’une collecte et d’une conservation » (OUFFFF, me voila rassuré !).

Coté droit pénal, la CNIL ne vous apprendra pas grand chose. En revanche, si l’analyse de la CNIL sur la licéité d’un traitement de données provenant d’un leak vous intéresse, allez lire ce document.

utiliser les data d'un leak, c'est pénal ou c'est légal ? une conclusion ? NON, c'est rarement légal de stocker les data d'un leak accessible en ligne et vous encourrez des sanctions pénales !

Vous ne le saviez pas mais en stockant les data provenant de leaks, vous avez commis plusieurs délits pénalement sanctionnables… et rarement sanctionnés en pratique, je le sais bien

Et pourquoi la sanction tomberait sur vous ou votre entreprise ou votre employeur ? 

Vous aimez jouer à la roulette russe maintenant que vous savez tout ça ? Non ? Alors allez nettoyer vos espaces de stockage…

En guise de conclusion, je citerai une remarque de Goupil @FuraxFox lors d’un podcast NoLimiSecu de 2019 :

Premier condamné ? utilisation LEAK PENAL ou legal RSSI © Ledieu-Avocats technique droit numérique blog BD 2022

 

Ma conclusion, un peu plus développée, se trouve dans le slider ci-dessous. 

Merci aux membres de l’OSSIR pour leur attention (pourtant, je sais, le droit, c’est ch…).

Dura lex, sed lex… (la loi est dure mais c’est la loi).

Et nul n’est censé ignorer la loi…

Vous qui lisez ces lignes, maintenant, vous savez…

Le générique des BD ayant servi d'illustration à cette présentation : merci aux Editions Delcourt / Soleil !

Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!

« Arctica » 11 tomes par Pecqueur et Kovacevic © éditions Delcourt

« La nef des Fous » 11 tomes par Turf © éditions Delcourt

« Odin » 2 tome par Jarry et Seure-Le Bihan © éditions Soleil

« Les 5 Terres » 7 tomes (au 11 janvier 2022) par Lewelyn et Lereculey © éditions Delcourt

« Carmen mc Callum » tome 1 par Duval Vatine Blanchard et Gess © éditions Delcourt  

« Olympus Mons » premier cycle en 6 tomes par Bec et Raffaele © éditions Soleil

« Au-delà des merveilles » 2 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune (2 tomes ré-édités en 2021 et le tome 3 final qui ne devrait plus trop tarder…)

« Souvenirs de la Grande Armée » 4 tomes par Dufranne et Alexander © éditions Delcourt

« Excalibur-Chroniques » 5 tomes (au dessin exceptionnel) par Istin et Brion © éditions Soleil

« lE dERNIER tROYEN » 6 tomes par Mangin et Démarez © éditions Soleil

« Horologiom » 7 tomes par Stéphane Lebeault © éditions Delcourt

« Badlands » 3 tomes par Corbeyran et Kowalski © éditions Soleil

« L’Oeil de la Nuit » 3 tomes (absolument remarquables) par Lehman et Gess © éditions Delcourt

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​