La première chose à faire quand on est formateur : - Il faut rassurer le cerveau reptilien ??? (il est complitiste 100% 👽)
En gros on se présente et on rassure ses évèles et tout
EVALUALTION
- Soutenance en groupe de 4
-
Cas pratique : on est dans une entreprise et c'est la merde, le but est alors d'analyser et de recommande ce qu'il faut faire pour arranger la situation.
-
On joue le role du directeur technique (on incarne tous la même personne)
- Le prof joue le rôle du directeur général
- La classe du directeur commerciale
On pourra nous intérompre à tout moment pour nous poser des question pendant la soutenance, il va nous challenger et nous mettre en difficulter.
Ensuite chaque personne dans la classe devra donner un feedback sur la présentation.
Notation : - 6 point la présentation (la soutenance) - 4 point sur le feedback (des autres présentation et de notre propre présentation)
Introduction au droit informatique
Avez déjà eu des expérience juridique ? - Oui Matteo à déjà eu des expérience et il as bien aimé (c'est un kiffeur ce mec 😎🤙, je pense c'est son kink en vrai)
Vous pensez quoi des livre de loi ? - En vrai c'est chiant - c'est long - c'est interpretable
Quelle est la différence loi physique et juridique ? - La loi physique s'impose à nous (les lois qu'on subit aux quotidien) - La loi juridique c'est ce qu'on as inventer dans nos tête mais qui n'existe pas forcément (en gros ya des loi qui sont pas appliquer)
CONSEIL :ça ne sert à rien d'interpreter les textes de loi sois même afin de savoir ce qu'on as le droit de faire ou pas. - Il faut toujours vérifier comment ces texte la sont appliquer ! Parfois les juges n'applique pas de la même façon la loi de comment on pourrais la comprendre tel qu'elle est écrite.
CONSEIL V2 : personne ne prend des décision raisonable, on prend toujours des décision par "envie", il ne faut jamais penser que quelqu'un nous dit de faire quelque chose pour une bonne "raison" il faut toujours réfléchir à ce qui est le mieux pour nous et tout (genre si ton patron te demande de faire une action illégale NE LA FAIT PAS)
La jurisprudence : c'est la façon dont les juges interprète la loi
Intrusions et déinis de services
C'est quoi une intrusion ? - S'introduire dans un système d'une façon frauduleuse. - On peut ensuit attaquer, mais aussi simplement observer.
C'est quoi un dénis de service - Quand on ne peut plus utiliser un système informatique.
Infos : - Loi du 5 janvier 1988 à la froude informatique, dite "Godfrain" - Intégrer dans le nouveau code pénal (1994) - Notion de "système de traitement automatisé de données"
C'est quoi un système de traitement automatisé de données ? - tout ce qui peut être associé à ça (une tablette, un serveur, un écran ...)
Intrusions
Code pénal, art. 323-1 :
- acceder ou de se maintenir frauduselement dans un système passible de 100k euros d'amende et 3 ans de prison.
- Si cette intrusion à effectuer une suppression ou modifications des données alors c'est 150k euros d'amende et 5 ans de prison
Exemple : - Défaçage de site web - Départ d'un salarié avec des données de l'entreprise
Ce n'est pas car c'est techniquement possible que c'est légalement autorisé !! - Il suffit que la personne maitre du système manifeste l'intention que ça ne soit pas autorisé.
Cas de Xavier Niel : - A l'époque Xavier il faisait des minitels roses. - ...
Dénis de service
Code pénal, art 323-2 : - Le fait d'entraver ou de fausser le fonctionnement d'un système - Punis 5ans d'emprisonement et 150k euros d'amende
Mais l'intention est toujours necessare ! - Si tu as pas fait exprès c'est OK en gros
Outils
Code pénal, art. 323-3-1 - Le fait, sans motif légitime, de transmettre / produire / disposer d'un programme informatique pour effecteur une ou des infraction. - Est punit de la même manière que l'infraction elle même
Le prof dit que Mattéo est un man vivant de nmap ( Matteo se fait draguer la non ? 🤭)
Réagir à une atteinte
Traitement initial de l'atteinte :
- Concilier la poursuite de l'activité et la collecte des preuves
- Ne pas céder à éventuel chantage
- Ne pas compromettre les preuves avant que les enquêteurs ne commencent leurs intervention
- Repérer rapidement les preuves
Suivre les bonnes pratiques :
- Fair appel à un juriste
- ...
Signalement :
- ...
Dépot de plainte
- Avantage :
- Enquete par la police
- Permet de faire jouer l'assurance (pour les dédodagement)
-
Dssuadé les autres attaquant potentielle
-
Désavantage :
- Conssome du temps en interne
- Peut apparaitre comme aléatoire (dépendt des éléments de preuves)
- Risque d'image : révélation publique
- Frais interne (ça coute chère de zinzin)
Salariées
Un salarié peut se faire virer pour avoir acceder à des données dont il avait pas le droit !
- Faut pas faire ça l'équipe 😠
Cryptographie
Loi du 21 juin 2004, pour la confiance dans l'économie numérique (LCEN), art 29 :
-
On entend par moyen de cryptologie tout materiel ou logiciel conçu ou modifié pour transformer des données.
-
Ils ont principalement pour objet de garantir la confidentialité, l'authentification ou le controleur l'intégriter de données.
LCEN, art 30, I. - l'utilisation des moyen de cryptologie est libre.
LCEN, art 30, II. - Leurs importation, exportation, fourniture des moyens de cryptologie sont libre, seulement ils sont exclusivement utliser pour de l'authentification ou controle d'intégriter
Règle spécial : pour l'importation et exportation de moyens de cryptologie à fonction de confidentialité !!! (il faut demander un autorisation à l'état)
- Si tu fais pas de demande à l'était -> Amende + prison !!
Informatique et liberté
Enjeux
Sanctions pronoçable par la CNIL - Rappel à l'ordre - jusqu'a 20 millions d'euros ou 4% du chiffre d'affaire annuel modial total. - Souvent publiques
Sanctions pénales - Le plus souvent : 5 ans d'emprisonement et une grosses amende
Donnée à caractère personnel
RGPF, art. 4, 1 - Les données à caractère personnel sont toute inforamtion qui permet à d'identifié une personne physqiue.
Délégué à la protection des données (DPO)
C'est le garant de la conformité au sein de l'organisme.
Le DPO peut être :
- interne ou externe
- Indépendant
- associé
- Soumis au secret pofessionel
- Charger de controler le respect des diposition juridique
Selon le RGPD, art 37, 1. (en gros le DPO peut être obligatoire dans certaine entreprise)
Obligatoire pour le responsable du traitement des données et le sous-traitant des données lorsque : - Le traitement est effectué par une autorité publique ou un organisme public - suivi régulier et systèmatique à grande échelle des personnes concerné - Sinon toujours possible mais pas obligatoire.
Champ d'application territorial
RPGD, art 3, 1. - Le RPGD est obligatoire sur tout établissement se trouvant sur l'union européenne.
RPGD, art 3, 2. - Le RPGD s'applique sur tout traitement de données personnel effecuteur sur une personne qui se situe sur le térritoire de l'union européenne, meme si le traitent se situe en dehors de l'union européenne. - Mais la RGPD ne peut pas forcer cette loi à s'appliquer sur les personne se trouvant en dehors de l'union européenne.
Principes fondamentaux
Base juridique de Traitement
Le traitement est licite (valide/appliquable) si au moins une des conditions suivante est rempli :
1) La personne concerné à consenti au traitement. 2) Le traitement est nécessaire à l'execution d'un contrat 3) Le traitement est nécessaire au respect d'une obligation légale 4) ...
Exigences
Pour que le traitement soit licite il doit remplir toutes les conditions suivante :
1) licite, loyale et transparente 3) déterminé, explicite et légitmes 2) Adequate pertinentes et limitées 4) Exactes et si necessaire, tenu à jour 5) La durée de la conservation des données ne doit pas dépasser la durée nécessaire à la finalité 6) Elle doivent conserver dans un stockage sécurisé.
Données sensible
Pas le droit de stocker des données sensible à caractère personnel tel que : - Orientation sexuelles, religion, ...
Obigation juridique
RGPD, art 32, 1. - Les organisation doivent mettre en place des mesures techniques et organisationnelle appropriées afin de garantir un niveau de sécurité adapté au risque.
Information des personnes concernées
Loi du 6 janvier 1978 midifée, art 82. - Il faut que tu donne la possibilité à l'utiliseur de refuser le traitement de données (notamment pour les cookie 🍪 )
Conservation des journaux de connexion
Code des postes et de communications éléectronique (CPCE), art. L. 32, 18° - On entend par données personnel relatives au trafic
S'applique aux personne qui au titre d'un travail fournisse à un accès à un internetn ou le fournisse simplement gratuitement.