FR EN

Toute l'actualité du social

23.10.2024 21:26

Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Les essentiels, Veille Juridique
22.03.2024 10:34

DEEP FAKES PORNOGRAPHIQUES : Que dit la loi ?

La diffusion de deepfakes pornographiques mettant en scène la chanteuse Taylor Swift à la fin du...


Cat: Droit de la Propriété Intellectuelle, Droit des Technologies Avancées, Droit Social, Veille Juridique
12.02.2024 16:49

Congés payés : Les règles d’acquisition ont changé !

Le Conseil constitutionnel s’est prononcé à son tour (2/2)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Hygiène, Santé et sécurité , Relations individuelles et contrat de travail, Les essentiels, Veille Juridique
10.01.2024 14:55

Droit social : Attention à la rédaction de l’avis d’inaptitude !

A la suite d’un avis d’inaptitude d’un salarié, l’employeur est dispensé de toute recherche de...


Cat: Droit Social, Contentieux prud'homal et licenciements , Hygiène, Santé et sécurité , Relations individuelles et contrat de travail, Veille Juridique
10.01.2024 10:39

Proposition d’un CDI à l’issue d’un CDD : une nouvelle formalité incombe aux employeurs

Depuis le 1er janvier 2024, une nouvelle procédure est en vigueur pour les employeurs souhaitant...


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Gestion des départs négociés , Relations individuelles et contrat de travail, Veille Juridique
26.12.2023 16:23

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 3 : La recherche de la vérité au prisme de la déloyauté de la preuve (3/3)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
25.12.2023 15:23

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 2 : Production des bulletins de paie (2/3)


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
24.12.2023 10:22

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 1 : Enregistrement vocal de l’employeur à son insu (1/3)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
voir les archives ->
< Les aides financières de l’INPI : préfinancement des prestations PI
02.08.2023 14:22 Il y a: 1 year
Categorie: Les actualités d'ALTIJ, Droit des Technologies Avancées, Veille Juridique
Auteur : Pôle IP/IT-Data

LPM 2023 : obligations en matière de défense cyber pour les éditeurs de logiciel

Loi de programmation militaire : diverses dispositions intéressant la défense visent à moderniser les forces armées pour « permettre à la France de faire face à de nouvelles menaces ».


LPM Cyber Défense

La loi du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense vise à moderniser les forces armées pour « permettre à la France de faire face à de nouvelles menaces »[1]. Cette loi renforce également les dispositions en matière de défense cyber et crée de nouvelles obligations à la charge des éditeurs de logiciel.

Notamment, l’article 66 de la loi précitée crée un article L.2321-4 du code de la défense prévoyant une double obligation à la charge des éditeurs en cas d’incident :

  • Une obligation de déclaration auprès de l’ANSSI : Les éditeurs de logiciels doivent, en cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits, notifier à l’ANSSI cette vulnérabilité ou cet incident ainsi que l’analyse de ses causes et de ses conséquences.

L’article précité indique le champ d’application de cette obligation, laquelle s’applique donc aux éditeurs qui fournissent ce produit sur le territoire français, à des sociétés ayant leur siège social sur le territoire français, ou encore à des entités contrôlées[2] par des sociétés ayant leur siège social sur le territoire français.

  • Une obligation d’information des utilisateurs du produit, dans un délai fixé par l’ANSSI et déterminé en fonction de l’urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre des mesures correctives.

SI l’éditeur ne procède pas lui-même à l’information des utilisateurs, l’ANSSI peut l’y contraindre. Si cette injonction n’a pas été mise en œuvre, l’ANSSI peut alors informer les utilisateurs ou rendre publics cette vulnérabilité ou cet incident ainsi que l’injonction non suivie d’effet.

L’article propose également deux définitions :

  • L’éditeur de logiciel est « toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit » ;
  • L’incident informatique est relatif à « tout évènement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement ou des services que les réseaux et les systèmes d'information offrent ou rendent accessibles. »

Toutefois, il conviendra d’attendre le décret en Conseil d’État, pris après l’avis de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) pour que soient définies les modalités d’application du nouvel article L.2321-4 du code de la défense. Ce décret aura vocation à préciser notamment les critères d’appréciation du caractère significatif de la vulnérabilité ou de l’incident mentionné ci-dessus.

D’ores et déjà, l’article précise toutefois que le caractère significatif de la vulnérabilité sera défini en fonction des pratiques et des standards internationaux communément admis.

Nos avocats du pôle Data vous accompagnent afin de mener, avec notre partenaire QUID IA, des tech due diligences sur vos logiciels et, en toute hypothèse, pour élaborer avec vous la documentation nécessaire vous permettant de gérer techniquement, juridiquement et opérationnellement les situations de crise.

 


[1] Voir le site du Gouvernement : https://www.gouvernement.fr/actualite/la-loi-de-programmation-militaire-quest-ce-que-cest.

[2] Conformément à la définition de contrôle telle que prévue par l’article L. 233-3 du code de commerce.