Cybersécurité

qu’on parle de cybersécurité ou de SSI, c’est la même chose

La SSI c’est l’ensemble des moyens techniques organisationnels, juridiques et humains

nécessaires et mis en place pour conserver ou rétablir la sécurité du système d'information.
l’objectif est de prévenir les menace et d’assurer la disponibilité, la confidentialité et
l’intégrité d’un système d’information

la cybersécurité: c’est l'état recherché pour un système d’information lui permettant de

résister à des évènements issus du cyberespace susceptibles de compromettre la
disponibilité, l'intégrité ou la confidentialité des données stockées traitées ou transmises et
des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. la
cybersécurité fait appel à des techniques de sécurité des systèmes d'information et s’appuie
sur la lutte contre la cybercriminalité et sur la mis en place d’une cyberdéfense

SSI = Protection informatique = protection physique des informations

le but de la cybersécurité passe par les 3 volets de l’IE

- traitement de l’information
- sécurisation de l’information
- influence

le but de la cyber c’est d’assurer

- la confidentialité
- l’intégrité
- la disponibilité
- la traçabilité
- l’imputabilité

Pour assurer ces buts, il y a différentes dimensions de la protection de l’information.

une ferme de serveur (data farms) 2 milliard de kilowatt/an

il y a une dimension kilométrique: ne pas mettre la data farm trop loin ni trop près
il y a une dimension poids: une unité centrale d’une data farm pèse 400 kg
il y a une dimension énergétique: le refroidissement des data farm consomme énormément
il y a une dimension de kilooctets: (=infobésité), on ne jette pas dans le monde virtuel
il y a une dimension lié au temps d’utilisation (kg heure),

il y a des cas où la loi impose d'être en conformité. La cybersécurité est importante pour les
entreprises pour rester compétitives.

composantes:
- la cyberdéfense
- la cyber, résilience, continuité
- cyberprotection
les différentes cyber menaces

cyber crimes
- victimes choisi au hasard
- peu de préparation
- peu coûteuse

cyber attaque
- victime ciblé
- beaucoup de préparation
- très coûteuse

14/03/2023

La typologie des menaces :

- Menaces informatiques
- Menaces humaines
- Effet de mode

Les menaces informatiques :

(Spam, rogue, APT, Botnet et déni de service, Ransomware...)

Les malwares : il y a deux catégories de Malware :

- Programme simple : Bombe logique (virus qui se déclenche après une succession
d’action (date, touche...), Cheval de Troie (en version logiciel et en version matérielle
aussi)
- Programme auto reproducteur : les virus ( infection, duplication, destruction), les vers (se
propage à travers le réseau et utiliser les failles de sécurité pour « voyager »
Il y a eu des vers célèbres comme Octobre rouge (2001), Saphir (2003) avec une
contagion très importante.
L’ensemble des malwares se propagent par support amovible, pièce jointe de mail et
logiciels.
Pour se protéger des malwares :

- On sécurise les logiciels en ne téléchargeant aucun logiciel crackable sur des sites non-
sécurisé.

- Mise en place de station blanche qui est un PC équipé d’un antivirus et l’ensemble des
supports amovibles doivent être testés sur cette station blanche. Il y a aussi la solution
d’interdiction totale des supports amovibles et pour s’en assurer, il y a des solutions de
type logiciel (stormshield) ou des solutions matérielles en bloquant le port USB.

Le déni de service :
Utilisation de la puissance de calcul de l’ordi par exploitation d’une faille. C’est ce qu’on
appelle « le burn out informatique ». C’est très utilisé en période de fin d’année sur les sites
marchands.
Comment s’en prémunir ? (Antivirus à jour, logiciel à jour, attention aux sites consultés,
logiciel non crackés, sécurisation du réseau (MDP Box)
Le Phishing :
Mail qui se fait passer pour un mail officiel, se base sur l’abus de confiance. Aujourd’hui,
les banques ne remboursent plus systématiquement, il faut prouver sa bonne foi.
Comment s’en prémunir ? Faire preuve de discernement, ne pas cliquer sur les liens joints
au
mail.

Les Ransomwares :

Les ransomwares sont très à la mode en ce moment, il consiste à bloquer le

fonctionnement d’un ordinateur, réseau ou un site web en exigeant une rançon pour
déverrouiller l’accès.
Les hôpitaux ont été victimes des ransomwares. En Allemagne, un hôpital a dû transférer
les cas critiques car il ne pouvait plus les prendre en charge.
Comment s’en prémunir ?
- Indisponibilité des données : nécessité d’une sauvegarde
- Propagation par e-mail frauduleux : ne pas laisser son adresse mail sur n’importe quel
site, ne pas cliquer sur les liens dans les mails
- Exploitation de failles de sécurité : antivirus à jour
Logiciel à jour
Logiciel non piratés

Les Rogues :
Un pop-up qui signale que notre ordinateur est infecté et qu’il faut télécharger le logiciel
en question afin de résoudre le problème.
Comment s’en prémunir ? Avoir un antivirus à jour

Le Spam :
Généralement, un mail que vous recevez et que vous n’avez pas sollicité, à des fins
publicitaires, par escroquerie, migration du phénomène sur les mobiles.
Le risque est un déni de service avec un nombre incalculable de mail à gérer pour le
service de messagerie.
Comment s’en prémunir ? ne pas laisser son adresse mail sur n’importe quel site, ne pas
relayer n’importe quel mail, utiliser avec discernement la fonction « répondre à tous »

Les failles 0-Day :

C’est une faille qui n’est pas connu par l’éditeur du logiciel mais qui a été découvert par
l’attaquant. Vous avez les éditeurs de logiciel qui mette sur le marché des logiciels dont il se
doute qu’il existe encore des failles, les attaquants cherchent constamment des failles.
Une faille 0 Day est une faille qui est découvert par les attaquants avant l’éditeur du
logiciel.
Comment s’en prémunir ? Exploitations de failles inconnues Mise à jour régulière

Les APT
Les Advanced Persistent Threats :
- Phase 1 - Reconnaissance : Qui a accès aux informations que je veux (réseaux
sociaux)
- Phase 2 - Incursion : l’attaquant s’introduit dans le système par les moyens du phishing,
malware

- Phase 3 - Découverte : Cartographie des réseaux et systèmes, recherche des données

spécifiques, mise en place d’un plan d’attaque
- Phase 4 - Capture : Accès aux données sur les systèmes vulnérables, installation de
malware pour capturer les données
- Phase 5 - Récupération : les données sont envoyées vers l’équipe de cybercriminalité,
toute trace d’attaque doit être effacée
Ça prend plusieurs mois et avoir un coût de plusieurs milliers d’euros. Cela doit en valoir la
peine. Vous pouvez être la porte d’entrée.

La douane et les services des impôts peuvent avoir accès à tous ce qui est public sur vos
réseaux sociaux.
Comment répondre à une APT (menace persistante avancée)? C’est compliqué car il
faut savoir que l’on est victime
d’une attaque :
- Identification du vecteur d’attaque
- Identification de la faille
- Identification des données filtrées
- Découverte du mode d’exfiltration
- Correction des failles
- Récupération des données éventuellement perdues
- Sensibilisation des utilisateurs

Il faut savoir trouver le bon niveau de sécurité en fonction du lieu à protéger.

Exemple : STUXNET qui a visé une centrale nucléaire iranienne. Le virus a été introduit
dans les centrifugeuses par l’intermédiaire d’une clé USB. Ça n’a pas pu se faire sans
l’intervention de l’être humain, on pense à Israël avec l’aide des USA.
Mais le problème est que le virus s’est propagé sur d’autres machines, la créature a
échappent aux créateurs.

LES MENACES HUMAINES

Il y a deux types de menaces humaines :
- L’ingénierie sociale : abus de confiance, crédulité, exploitation des failles humaines et
sociales, étape indispensable à une attaque ciblée. (exemple : bébé qui pleure / les
réseaux sociaux sont un danger)
- Les CGU : Garmin (données collectées à la synchronisation, accès à des fonctionnalités
du téléphone, Garmin est une entreprise internationale et va communiquer vos
informations personnelles à d’autres sociétés Garmin dans d’autres pays.

Les CGU : Instagram (réservons le droit de refuser l’accès à quiconque, modifier,

supprimer et bloquer ou contrôler le contenu. Les données personnelles sont collectées
et stockées aux USA)

Les CGU : Snapchat (on leurs donne une licence d’utilisation de ses contenus, vous
fournissez toutes les données que vous envoyez à vos amis, il supprime les snaps après
ouverture mais les autres contenus peuvent être utilisés plus longtemps par Snapchat.
Comment s’en prévenir ? faire preuve d’un minimum de réflexion, sensibiliser le personnel

cour manqué le 15 mars

17 mars

les bonnes pratiques du référent cyber

- attentions aux réseaux sociaux

- s’abstenir de rooter ou jailbreaker son téléphone
- définir un bon code pin
- ne pas effectuer de transaction à travers un réseau public.
- télécharger que des applications de sources sûres
- vérifiez les autorisation demandées par une application
- ne rien sauvegarder dans le cloud de confidentialité

● maîtrise des risques d’ingérence

l'infogérance: prise en charge contractuelle de tout ou partie d’un système d’information

d’un organisme par un prestataire extérieur
→ avantages
- réduction de la complexité
- maîtrise de la technologie
- permanence des services
- meilleure gestion des risques
- maîtrise des coûts informatique
- qualité de service
- facilité de gestion RH

→ inconvénients
- abandon de la maîtrise d’une composante stratégique
- problème de protection des données stratégiques
- conduite de changement

→ nature juridique
- prestation à géométrie variable
- engagement de résultat sur les niveaux de services et d’une garantie de réversibilité.
- maîtrise des coûts.

→ prestation d'infogérance informatique

- bureautique
- help desk
- communications électroniques
 - maitrise d’oeuvre totale des moyens de communications électroniques de l’entreprise
client
- gestion de l’ensemble des relations avec des opérateurs de communication
électronique locaux
- immotique, résultat de 2 mot: immobilier + informatique

● les obligation des parties au contrat d’infogérance

→ obligations
- expression des besoins
- collaborations
- comité de suivi
- validation des traitements
- paiement du prix

→ obligations du prestataires
- réversibilité
- qualité de service
- pondération du temps de réponse en fonction de la criticité des système
- obligation de confidentialité
- devoir de conseil
- obligation d’information
- obligation de conseil
- obligation de mise en garde

la ‘obligation de moyen de résultat et à la diligence des partis.

il incombe une obligation de résultat au prestataire, il est présumé responsable en cas de
non attente de résultats contractuellement fixés. Le client est tenu par une obligation de
moyen de démontrer la faute du prestataire

● le nommage des fichier

principe: tout les fichier d’une entité respectent la même logique de nommage
exemple: aaaammjj. service émetteur,mots clefs

facilité d’identification
détection de fichier indésirables plus aisée

● il faut cartographié les données

→ quelles données à protéger

→ ou sont ces données
→ identification des composants à protéger
mise à jour → inventaire → contrôle régulier = cartographie du réseau

● inventaire des comptes

administrateur: peut tout faire > utilisateur

avec
pouvoir : il peut installer des logiciel mais il ne peut accéder à la
fonction logiciel de l’ordinateur> utilisateur: il peut installer certains
logiciels > invité : il peut rien faire

Il faut ensuite faire un inventaire de tous les employés, leur fonction.

● la procédure arrivé/départ

arrivé:
- affectation des équipements informatique
- affectation des moyens d’accès logique
- affectation des droit d’accès sur les réseaux
- création de compte messagerie et compte informatique
- signature de la charte informatique

départ
- restitution des moyens d’accès logique
- restitution des équipements informatique
- suppression des droits d’accès sur les réseaux
- suppression comptes de messagerie et compte informatique

● le BYOD/ les supports amovibles

Une politique de BYOD ou “bring-your-own-device” (en français, littéralement : “amenez

votre propre appareil”) permet aux employés et aux autres membres du personnel
d'apporter leurs ordinateurs portables et leurs smartphones personnels au travail et de les
connecter au réseau de l'entreprise.

autorisation ou non ?
Quels moyens d'interdiction ?
logique et logiciels

● les login/ mot de passe

Chaque utilisateur a un compte. Il y a un compte différents pour les utilisateurs et les

administrateurs
eviter les comptes génériques
ex prenom pour le compte utilisateur et admin pour le compte administrateur
(l’administrateur a 2 compte)

● attribution des bons droits (CA SERA AU PARTIEL → comprendre la pertinence de

l’attribution des données)

droit d’accès ou non ?

la question c’est de savoir si tlm doit avoir accès à tout
droit de lecture uniquement ou écrite aussi ?

l’idée est de réglementer qui a accès à quels données et pour quelles raison
exemple: un service vente n’a pas besoin d’accéder aux services RH

● les mots de passe

un mot de passe est confidentiel, faible durée de validité et complexe

il vaut mieux changer les mots de passe des box internet

● l’authentification forte = Deux facteurs identification

● la messagerie professionnelle

→ risques
fraudes et arnaques
porte d’entrée de malware
fuite d' information stratégiques
→ les bonnes pratiques
- sensibilisation du personnel:
- interdiction de redirection automatique de la messagerie professionnelle vers une
messagerie personnelle

● les locaux sensibles

un local qui contient des actifs matériels ou immatériels qui sont stratégiques pour
l’organisation. j’adapte les mesures de sécurité à hauteur de risque,la première étape est de
faire un état des lieux.
Il va demander au chef de service de faire la liste des actifs immatériels.

Pour les protéger, il faut une cartographie des locaux et la définition des moyens de
protection. rien qu’avec des mesures de bon sens on évite 80% des embêtements, il ne faut
pas hésiter à revoir une revue régulière, les moyens d’attaques évoluent
MAK → inventaire → contrôle

● protection des équipements nommable

que ce soit la protection physique, la protection par chiffrement, éviter les Wifi publics.

il y a des méthodes ou le disque est chiffré càd c’est comme si on mettait une porte blindé
devant la porte d’entrée.

a l’étranger, on peut donner des appareils informatiques vierges.

il peut y avoir des filtres de confidentialité

on évite de mettre le logo de l’entreprise sur son ordi

● MAJ régulière

a quelle fréquence, a quelle récurrence. Faut-il mettre à jour les systèmes critiques?
si on est dans une PME, c’est le référent cyber.

● anticiper la fin de vie des appareils

lorsqu’on achète un ordinateur, il faut anticiper le coût financier,

la question du devenir des matériels:
- récupérer le disque dur
- reset l’ordinateur
- déchetterie recyclable
- En cas de location, il faut lire les clauses de location.

un matériel critique, il vaut mieux en avoir un d’avance. Il y a des matériels communs.

● la sauvegarde

il ne faut pas TOUT sauvegarder, il faut savoir à quelle fréquence je sauvegarde des
données.

● le cloud

c’est un mode de traitement des données d’un client, dont l’exploitation s’effectue par
l’internet, sous la forme de services fournis par un prestataire. C’est une forme particulière
de gérance informatique dans laquelle l’emplacement et le fonctionnement du nuage ne sont
pas portés à la connaissance des clients

→ avantages
- modularité
- absence d’investissement sur du matériel, pas besoin de le maintenir en état
- maîtrise des coûts
 - adaptation du services aux besoin de l’entreprise utilisatrice
- implication permanentes du prestataire

→ inconvénients
- perte de maîtrise de la sécurité informatique
- dépendance envers le prestataire
- sécurité et confidentialité des données

● différents cloud

→ le cloud privé: il n’appartient qu'à une seule et même organisation (chez nous) (garage)
→ cloud privé externalisé; on est le seul à pouvoir y accéder mais il n’est pas sous notre contrôle
→ cloud hybride:
→ cloud public

● les prestations de cloud computing

- on- premises Traduction de « sur site », les infrastructures informatiques et

logicielles sont appelées « on-premise » lorsque celles-ci sont hébergées et
maintenues par le propre service informatique de l'entreprise
….

● réaliser des contrôles et d'audits de sécurité

→avantages de contrôle externe

- il y a une compétence du personnelle contre les dernières menaces cyber
→risque
- il peut y avoir une fuite d’information à l'entreprise qui peut chercher toutes les failles
- le coût d’un prestataires extérieurs peut etre tres chère

→ le contrôle interne:
- il faut d’abord définir la mission du référent cyber
- définition de son périmètre et des outils à sa disposition
- définition d’une méthode
- définition livrable

● procédure de gestion des incidents de sécurité

→ procédure pour l’utilisateur

- quand signaler
- a qui signaler == procédure pour le service informatique.
- fiche à remplir
- les bon gestes à adopter
 Le PCA et le PRA (plan de reprise/ Continuité de l’activité)

Le PCA: Le plan de continuité des affaires ou plan de continuité d’activité (PCA) est à la fois
le nom d’un concept, d’une procédure et du document qui la décrit. C'est l'un des éléments
de la gestion de crise. Il permet à une entreprise de fonctionner a minima même en
situation de désastre, en mode dégradé, ou en situation de crise majeure ou mineure

c’est la capacité de l'organisation à poursuivre la fourniture de produits ou à la

prestation de services à des niveaux acceptables et préalablement définis après un
incident perturbateur.

Le PCA, ce sont les procédures documentées servant de guide aux organisation pour
répondre,rétablir et reprendre et retrouver un niveau de fonctionnement redéfinir à la suite
d’une perturbation

compréhension de l’organisation et de son contexte → compréhension des besoins → détermination

du domaine d’application → bilan d’impact sur les activités → choix d’une strate de continuité
d’activité

le PCA va se baser sur des hypothèses:

- quelle est la stratégie de continuité d’activité dans l’hypothèse d’un indien
ex: une société qui fait des médocs n’a plus d’usine de production

Pour chaque scénario, il faut définir des mesures d'atténuations qui peuvent être
préventives, de détection ou correctives → objectif: atténuer l’impact de mon
hypothèse

- autre scénario: perte de l’architecture réseau provoquant l’impossibilité d’accéder à

la base de commande
l’impact est qu’il n ' y plus aucune gestion des flux.
les mesures d'atténuation de redondance du réseau et mise en oeuvre de la supervision du
réseau

- autre scénario: dégradation du climat social provoquant des arrêts de travail

baisse de la production, atteinte à la réputation, pénalité de retard,
augmentation des stocks, dialogue social, renégociation des contrats.

les moyens juridique de protection des données

on a du droit qui protège la donnée

Le principal problème va être pour un employeur de ne pas violer la vie privée sur son lieu
de travail.
les fichier ou répertoires sont marqués du professionnel: l’employeur peut en prendre en
connaissance

. Lorsque les infos sont purement personnelles ou que les fichiers n’est pas marqué
personnel mais qu’il relève de la vie privée. L’employeur a l'interdiction de se servir de ce
qu’il a vu contre le salarié.

l’employeur a indiqué dans la charte informatique de l’entreprise que les dossiers et fichiers
privés devaient être intitulés personnels. un employé intitulé un répertoire strictement
personnel et confidentiel. le répertoire est considéré comme professionnelle car l'appellation
n’est pas la même que dans la charte informatique de l’employeur

Ne souhaitant pas que l’employeur accède à ses fichiers, un employé chiffre l’ensemble de
son discours. est il en faute ? OUI car l’employeur doit avoir accès à ses données

Ne souhaitant pas que l’employeur accède à ses fichiers, un employé les place dans leur
intégralité au sein d’un répertoire nommé personnel. Est- ce que cette démarche est
valable? NON

un salarié en congé refuse de donner l’accès à son ordinateur? il ne faut pas que ça altère le
bon fonctionnement de l'entreprise, la cour de cassation a fait obligation aux salariés de
donner le mot de passe des ordi professionnels.

dernier cour

En donnant ses MDP a quelqu’un d’autre, la salarié met en péril l’imputabilité de

l’information.

un salarié met des liens internet dans le dossier “mes favoris”? Est ce que ces liens sont
considérés comme personnels? NON, les liens stockés dans “mes favoris” sont accessibles
par l’employeur

Un employeur peut-il regarder les sites internets qu’un employé consulté pendant ses
heures de travail ? oui et il peut déterminer une faute pour utilisation abusive d’utilisation du
matériel.

quid d’un fichier qui n'est pas identifié comme personnel mais dont le contenu est clairement
personnel? on reprochera pas à l'employeur de l’avoir ouvert
Un salarié passe plusieurs heures par jour à consulter des sites internets non
professionnels. Peut-il être sanctionné? l’appréciation est laissée à l’employeur qui met en
place dès portail captifs.

un employeur a des soupçons sur un personnel. Comment peut-il procéder pour prendre
connaissance des messages ? L'employeur peut le faire mais c’est une démarche risquée. Il
peut solliciter l’autorisation du juge par le biais d’une ordonnance sur requête.

Existent- ils des exceptions à la protection de la vie privée?

un employé peut-il connecter une clef USB personnelle sur un ordinateur professionnel ? oui
mais il peut y avoir des traces,

type de doc

doc se trouvant dans un

dossier personnel

conseil aux employeur:

rédiger une charte informatique en français: il y a une ordonnance de 1539 : la seule

langue accepté devant les tribunaux est le français
la charte informatique va servir de support pour tout mécanisme de surveillance doit être
porté à la connaissance des employés

mise en place de procédures informatique pour garantir la traçabilité et l'imputabilité

des actes et notamment les connexions internet

La charte permet d’encadrer les droits et devoirs.

--article 1121-1:”Nul ne peut apporter aux droits des personnes et aux libertés individuelles
et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à
accomplir ni proportionnées au but recherché.”
préciser l’ensemble des obligations, préciser l’ensemble des mesures visant le contrôle de
l’activité des salariés, le cas échéant

La loi Godfrain du 5 janvier 1988, ou Loi no 88-19 du 5 janvier 1988 relative à la fraude
informatique, est la première loi française réprimant les actes de criminalité informatique et
de piratage. Nommée d'après le député RPR Jacques Godfrain, c'est l'une des lois
pionnières concernant le droit des NTIC, après, notamment, la loi Informatique et
libertés de 1978, qui introduit la notion de système de traitement automatisé de
données (STAD) et prévoit plusieurs dispositions corrélatives de la loi Godfrain (notamment
concernant les obligations du responsable du traitement quant à la garantie de la sécurité
des données - art. 34 loi de 1978).

droit pénal et SI: les infractions réprimé

Art 323-1: accès ou maintien frauduleux, 2 an s de prison et 60 000€ amende

→ si il y a suppression ou modification de données ou altération du fonctionnement, 3 ans de prison +
100 000€ d’amende.

si il n y pas de protection, il n’y pas de délits (paris, 8 décembre 1997)

les donnés qui ne font l’objet d’aucune protection sont réputées non confidentielles sauf
indication contraire (paris 30 octobre 2002)

● les accès frauduleux

l’accès peut avoir été régulier et devenir frauduleux si l’auteur est privé d’habilitation

l’utilisation d’une faille d’un logiciel qui permet l’accès à une STAD en validant par défaut le code
initialement saisi → pas d’accès frauduleux

● entrave au faussement d’un STAD

- spam
- déni de service
- virus
- refus de communication des codes d’accès à un programme informatique de la part
d’un ancien salarié
La paralysie du système n’est pas une entrave au fonctionnement. Si un salarié refuse de
partager ces données cela peut être considéré comme une entrave et non pas une paralyse

● l’article 323-3 prévoit le vol de données informatique

il peut s’agir d’une introduction frauduleuse de données, extraction, la détention, la

reproduction et la transmission FRAUDULEUSEMENT. 5 ans de prison + 150 000€
d’amende

● article 323-3-1

importation, détention, offre, mise à disposition

fourniture de matériels motivé par une volonté d’information. Si connaissance d’un risque
d’utilisation à des fins de piratage → motif infondé
 ● art 323-4

participation à une groupement a une entente

peu importe la motivation: défi intellectuel, recherche de profits

● la tentative

la tentative encourt la même peine que la commission du délit

de cette loi il faut retenir, il faut que l’acte ait été fait de manière frauduleuse soit pck
techniquement un système a été cassé ou que je suis passé outre un avertissement. Et si le
STAD contient des données personnels mis en oeuvre par l'état , cela peut être considéré
comme une circonstance aggravante

Le RGPD : règlement général de protection des donnés à caractère personnel

→ loi du 6 janvier 1978.

→ directive du 24 octobre 1995: directive relative à la protection des personnes physiques à

l'égard des traitements de données à caractère personnels

→ 27 avril 2016: réglement générale sur la protection des données à caractères personnels:
directive relative aux sanctions pénales

→ loi du 7 octobre loi pour une république numérique

→ janvier 2016 projet CNIL

→28 mai 2018: entrée en vigueur du RGPD et de la directive relative aux sanction pénales

→ 28 mai 2021: tous les traitements de données antérieurs à mai 2018 doivent être conformes au
RGPD

la loi de 2016 a permis d’infliger des amendes allant jusqu'à 3 millions d’€

“les amendes administratives doivent être effectives, proportionnelles et dissuasives: article

83 RGPD

le RGPD peut imposer une amende allant jusqu'à 4% du CA

Article 83:1. Chaque autorité de contrôle veille à ce que les amendes administratives
imposées en vertu du présent article pour des violations du présent règlement visées aux
paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.
 2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont
imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2,
points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour
décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas
d'espèce, des éléments suivants:
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou
de la finalité du traitement concerné, ainsi que du nombre de personnes concernées
affectées et le niveau de dommage qu'elles ont subi;
b) le fait que la violation a été commise délibérément ou par négligence;
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le
dommage subi par les personnes concernées;
=> Article: 5
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu
des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des
articles 25 et 32;
e) toute violation pertinente commise précédemment par le responsable du traitement ou le
sous-traitant;
f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation
et d'en atténuer les éventuels effets négatifs;
g) les catégories de données à caractère personnel concernées par la violation;
h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et
dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;
i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées
à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet,
le respect de ces mesures;
j) l'application de codes de conduite approuvés en application de l'article 40 ou de
mécanismes de certification approuvés en application de l'article 42; et
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de
l'espèce, telles que les avantages financiers obtenus ou les pertes évitées, directement ou
indirectement, du fait de la violation.
3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence
plusieurs dispositions du présent règlement, dans le cadre de la même opération de
traitement ou d'opérations de traitement liées, le montant total de l'amende administrative ne
peut pas excéder le montant fixé pour la violation la plus grave.
4. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2,
d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une
entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le
montant le plus élevé étant retenu:
=> Raison: 150
a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des
articles 8, 11, 25 à 39, 42 et 43;
b) les obligations incombant à l'organisme de certification en vertu des articles 42 et 43;
c) les obligations incombant à l'organisme chargé du suivi des codes de conduite en vertu
de l'article 41, paragraphe 4.
 5. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2,
d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une
entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le
montant le plus élevé étant retenu:
=> Raison: 150
a) les principes de base d'un traitement, y compris les conditions applicables au
consentement en vertu des articles 5, 6, 7 et 9;
b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22
c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers
ou à une organisation internationale en vertu des articles 44 à 49;
d) toutes les obligations découlant du droit des États membres adoptées en vertu du
chapitre IX;
e) le non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou
de la suspension des flux de données ordonnée par l'autorité de contrôle en vertu de l'article
58, paragraphe 2, ou le fait de ne pas accorder l'accès prévu, en violation de l'article 58,
paragraphe 1.
6. Le non-respect d'une injonction émise par l'autorité de contrôle en vertu de l'article 58,
paragraphe 2, fait l'objet, conformément au paragraphe 2 du présent article, d'amendes
administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise,
jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le
plus élevé étant retenu.
=> Raison: 150
7. Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière
d'adoption de mesures correctrices en vertu de l'article 58, paragraphe 2, chaque État
membre peut établir les règles déterminant si et dans quelle mesure des amendes
administratives peuvent être imposées à des autorités publiques et à des organismes
publics établis sur son territoire.
8. L'exercice, par l'autorité de contrôle, des pouvoirs que lui confère le présent article est
soumis à des garanties procédurales appropriées conformément au droit de l'Union et au
droit des États membres, y compris un recours juridictionnel effectif et une procédure
régulière.
9. Si le système juridique d'un État membre ne prévoit pas d'amendes administratives, le
présent article peut être appliqué de telle sorte que l'amende est déterminée par l'autorité de
contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant
à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes
administratives imposées par les autorités de contrôle. En tout état de cause, les amendes
imposées sont effectives, proportionnées et dissuasives. Les États membres concernés
notifient à la Commission les dispositions légales qu'ils adoptent en vertu du présent
paragraphe au plus tard le 25 mai 2018 et, sans tarder, toute disposition légale modificative
ultérieure ou toute modification ultérieure les concernant.

● définition d’une donnée à caractère personnel

“toute information relative à une personne physique identifié directement ou indirectement,
par référence à un ou plusieurs numéros d’identification ou à un ou plusieurs éléments qui
lui sont propres”

● définition d’un traitement de données à caractère personnel

Un traitement de données personnelles est une opération, ou ensemble d’opérations,

portant sur des données personnelles, quel que soit le procédé utilisé (collecte,
enregistrement organisation, conservation, adaptation, modification, extraction consultation,
utilisation, communication par transmission ou diffusion ou toute autre forme de mise à
disposition, rapprochement).

Un traitement de données personnelles n’est pas nécessairement informatisé : les

fichiers papier sont également concernés et doivent être protégés dans les mêmes
conditions.

Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au

recueil des données et à leur exploitation.

Exemples de traitements : tenue du registre des sous-traitants, gestion des paies, gestion
des ressources humaines, etc.

dans les données à caractères personnels on a toutes les données particulières liés à la vie
privée

les principes à respecter

→ finalité:définir les objectifs du fichier

→ pertinence: recueil des seules données nécessaires à la finalité
→ conservation : un efois l’objectif rempli ou caduque, il est obligatoire de supprimer les données
→ droits les personnes visées doivent être informés de cette opération. Elles possèdent un droit
d’accès de rectification et d’opposition
→ sécurité : le responsable du traitement doit prendre toutes les mesures nécessaires pour garantir la
sécurité et la confidentialité des données

● la responsabilité du responsable de traitement

mise en oeuvre des mesures techniques et organisationnelles appropriés:

- être en mesure de démontrer que le traitement est effectué conformément au

règlement.
- faut apporter la preuve, sur demande de l’autorité de contrôle que les mesures
appropriés ont été prises
→ principe d’accountability
ce traitement de données soit fondée sur une base soit je demande le consentement de la
personne

● les droits de la personnes concernés

- consentement
- droit à l' information
- droit d'accès
- droit à la rectification
- droit à l'oubli
- droit à la limitation du traitement
- droit à la portabilité des données
- droit d’opposition au traitement
- la situation vis-a-vis profilage
- modalités de mise en oeuvre des droits

PARTIEL

→ bien cibler la problématique : ex: “il ne comprend pas pourquoi”

intelligence eco: réviser coface, pestel , swot