Les Responsabilités Juridiques
du DSI

Acquérir les bons réflexes juridiques pour garantir la Conformité du Système d’Information et relever les nouveaux challenges de la Transformation numérique.
Sommaire

LE MOT DE L’INTERVENANT

Ce séminaire offre une vision panoramique des principales...

Ce séminaire offre une vision panoramique des principales problématiques juridiques auxquelles le DSI peut être concrètement confronté. L’objectif est de permettre au DSI de pouvoir dresser une cartographie des risques propres à chacun de ses domaines d’activité pour trouver les réponses juridiques les mieux adaptées et acquérir les réflexes juridiques indispensables à l’exercice de son métier. Chaque DSI verra ainsi son activité professionnelle profondément modifiée, dans l’objectif de répondre pleinement aux enjeux de la transformation digitale de l’entreprise.

Jean-François Forgeron
Avocat, directeur du pôle Informatique et Droit, regroupant les départements Droit de l’informatique et Contrats informatiques, cabinet Lexing Alain Bensoussan Avocats.
Lire la suite Cacher le texte

Comment assurer la Conformité juridique du Système d’Information et mettre en œuvre les meilleures pratiques du domaine ? Illustré de nombreux exemples concrets, ce séminaire dresse l’état de l’art en la matière et répond à toutes les préoccupations du DSI dont la responsabilité englobe un périmètre de plus en plus important, en particulier au titre de la Transformation digitale de l’entreprise :

  • Quelles protections juridiques mettre en œuvre pour sécuriser le patrimoine immatériel de l’entreprise ?
  • Comment se conformer à la règlementation sur la protection des données personnelles (notamment au RGPD entré en vigueur le 25 mai 2018 et à la loi sur la protection des données personnelles adoptée en France en juin 2018) et assurer le maintien en conditions opérationnelles ?
  • Comment réguler l’usage des outils technologiques ?
  • Comment mettre en œuvre la Sécurité obligatoire ?
  • Quelles sont les obligations du DSI ? Quels sont les risques en termes de responsabilité, notamment pénale ?
  • Quels sont les outils de pilotage du risque juridique ? Comment les mettre en place ?
  • Comment réussir un projet de Transformation numérique ?


Principes généraux de Conformité et de responsabilités


Comment maîtriser la Conformité

  • Les principes et le référentiel de Conformité.
  • Les différentes sources de Conformité : quelle distinction entre les référentiels juridiques (i.e. RGPD) et les référentiels techniques (i.e. ITIL, CobiT, CMMI, ISO/CEI, eSCM, Cloud). Standards Customer Council, etc.) ?
  • État de la concurrence : quels en sont les contours et les limites ? Quelle importance sur la responsabilité ?

Le pilotage de la Conformité : comment faire ?

  • Les outils de pilotage : radar juridique, détermination des objectifs et mesure de la Conformité, plan d’action et suivi.
  • La mesure du pilotage : sanctions administratives, civiles et pénales.

Comment assurer le MCO (Maintien en Condition Opérationnelle)

  • MCO et veille juridique : objectifs, mise en place.
  • Le comité de pilotage juridique : objectifs, acteurs et mode de fonctionnement.
  • L’évaluation du MCO : outils juridiques à disposition du DSI.

Responsabilités sur le plan Données à caractère personnel


Quels sont les fondamentaux ?

  • Le périmètre historique, juridique, technique et géographique : situation (le point sur les apports de la loi pour une République numérique du 7 octobre 2017, du règlement général sur la protection des données personnelles(RGPD) du 27 avril 2016, la loi relative à la protection des données personnelles du 20 juin 2018).
  • Les acteurs : identification (responsable ou responsables conjoints du traitement, sous-traitant, etc.), rôles et responsabilités.
  • Les registres des traitements et les formalités préalables.
  • Les données à caractère personnel : définition et interprétation extensive.
  • Les traitements : principes directeurs, analyse d’impact, protection des données dès la conception et « accountability », focus sur le Big Data.
  • Les droits des personnes concernées : identification des droits, mise en place des moyens nécessaires à leur mise en œuvre.
  • Conservation : durée, modalités et purge.
  • Le principe de sécurité des données : les mesures de sécurité techniques et organisationnelles, les actions.
  • « Protection des données par défaut » : moyens, sanctions et gestion des failles de sécurité ?
  • Sécurité : moyens techniques (anonymisation, chiffrement…) et organisationnels, guides, méthodologie, aspect documentaire.
  • Flux transfrontières et Sourcing Offshore : impact pour le Cloud Computing, gestion des flux et mise en œuvre du « Privacy Shield » dont la révision annuelle intervient en octobre 2018, impact de l’adoption du Cloud Act en avril 2018 aux Etats-Unis.
  • Sous-traitance et contrats informatiques.

Quels risques en termes de contrôles et de sanctions ?

  • Les contrôles de la Cnil : cadre légal et déroulement.
  • Rapport d’activité CNIL de l’année 2017 publié en avril 2018 : plaintes, contrôles et sanctions… comment tirer parti de ce bilan ?
  • Mise en perspective : les décisions marquantes en 2017-2018.

Comment se mettre en Conformité

  • L’audit de Conformité : objectifs, approches, étapes, outils (i.e. grille de points de contrôle, rosace de complétude), inventaire des systèmes d’information.
  • Le Délégué à la Protection des Données (DPO) : DPO interne ou externe ; procédure de mise en place.

Identité numérique et responsabilité


Quel est l’étendue du droit à l’identité ?

  • Les différents aspects du droit à l’identité : consentement, intégrité, existence, vie privée, anonymat, masquage, repentir, oubli.

Identité et signature, quelle différence ?

  • Les procédés de signature électronique : fonctionnalités et portée juridique.
  • Quelles évolutions face aux nouvelles architectures (SaaS, Cloud Computing, PaaS) ?

Qu’est-ce que le droit à l’oubli ?

  • Un droit attaché à l’identité, pour quel encadrement juridique ?

Le risque d’usurpation d’identité, comment s’en prémunir ?

L’Internet des objets, de nouveaux enjeux ?

  • Quels enjeux pour la protection des personnes et la vie privée ? Quelles règles à mettre en place ?

Responsabilités sur le plan régulation


Comment construire une politique d’achat IT ?

  • Intérêt de réguler les achats IT, pratiques propres au Cloud.
  • Les conditions générales d’achat : impact de la réforme du droit des contrats après la loi n°2018-287 du 20 avril 2018.
  • Gérer la responsabilité dans les chaînes de contrats.
  • Adopter une stratégie de Contract Management : outils, opportunité et stratégie.
  • Achats publics : principes généraux, démarches et outils, négociation, CCAG TIC et réforme des marchés publics.
  • Achat « Cloud » : choix de l’offre, catégorie et type de service, du contrat, de la loi applicable, des engagements de niveaux de service etc.

Pourquoi adopter une gouvernance IT ?

  • Quels sont les parties, les conflits, quelle est l’architecture contractuelle adéquate ?
  • Les principes de gouvernance, les principales clauses, le glossaire commun, le RACI.

Comment organiser le rôle du DSI face à la Transformation numérique ?

  • Plan qualité projet : contenu.

Quels principes de responsabilité ?

  • Limitation de responsabilité : panorama des clauses et négociation.
  • La matrice de responsabilité RACI : quel contenu et quelle valeur juridique ?

Comment gérer les des risques et obtenir les bonnes garanties ?

  • Matrice des risques.
  • Matrice des garanties : panorama des clauses et négociation.

Sous-traitance et cotraitance, quelles différences ?

  • Risques et opportunités.
  • Spécificité des clauses applicables.

Responsabilités sur le plan économique


Comment maîtriser les prix

  • Les différents types de prix (forfait, régie, régie plafonnée) et leur incidence juridique. Quels moyens de pilotage ? Quels sont les contraintes et les objectifs associés aux conditions financières ?
  • Les principes de révision : distinction entre les mécanismes d’indexation et de révision. Comment assurer la prévisibilité des prix ? Comment anticiper les avenants tarifaires ?
  • La revente des logiciels d’occasion : comment faire ?

Quels mécanismes de ROI (Return On Investment) et de Value Based Deals ?

  • Comment définir le ROI ? Quels sont les mécanismes contractuels adéquats ? Pour quels types de projets ou d’applications (Yield Management, CRM, e-procurement, etc.) ?
  • Distinguer le ROI et les mécanismes de sanction : quels sont les principes ? Quels sont les impacts ?

Pourquoi adopter des bonus et malus

  • Notions de pénalités et cadre juridique : assiette, mises en œuvre, benchmark des clauses sur le marché.
  • Bonus : articulation du bonus et des prix.

Comment externaliser le risque : l’assurance

  • Les assurances de responsabilité : périmètre et mise en œuvre.
  • Focus sur l’assurance des cyber risques
  • La notion de préjudice : distinction entre les différents dommages. Comment anticiper la réclamation ?

Responsabilités sur le plan sécurité


Comment implémenter les outils ?

  • Vidéosurveillance, biométrie, cryptographie, dispositif d’alerte professionnelle : principes directeurs.
  • Politiques de sécurité et normes applicables.

Les chartes de régulation, obligatoires ?

  • Contenu d’une charte et évolutions, focus sur le BYOD, le droit à la déconnexion.

Big Data : quelle sécurité ?

  • La délégation pénale, qu’est-ce que c’est ?
  • Comment gérer les cyberattaques et autres atteintes au STAD (Système de Traitement Automatisé de Données) ?
  • DSI dans une OIV – implémenter la Directive NIS et sa loi de transposition du 26 février 2018.

Responsabilités sur le plan patrimoine


Brevet et savoir-faire, comment les protéger ?

  • Brevetabilité des logiciels. Avantages, inconvénients.
  • Open Data et Big Data : comment s’organiser, en tirer parti ?

Quel est le régime spécifique pour les bases de données ?

  • Le cadre légal et les sanctions.
  • Les données privées et les données publiques ; distinction, appropriation et interopérabilité (CRM, réseaux sociaux…).
  • Passer du Big Data au Smart Data : contraintes juridiques et mise en œuvre.

Quelles règles pour le droit d’auteur ?

  • Principes, titularité (salariés, stagiaires), valorisation et contrefaçon.
  • Gestion des licences : la démarche SAM (Software Asset Management), recommandations en cas d’audits de licence par les éditeurs.

Responsabilités sur le plan de l’archivage


Archivage légal ou simple sauvegarde :

  • Archivage des données à caractère personnel, la preuve électronique.
  • Mise en place d’une « Informatique verte » (ou d’un « Green computing ») : enjeux et référentiels.

Responsabilités sur le plan ressources humaines


Nouvelles technologies et institution représentatives du personnel (IRP) : quels sont les principes directeurs ? Quelles sont les incidences des ordonnances Macron de septembre 2017?

Quelles situations pour le personnel ?

  • Transfert de personnel et délégation de personnels : menaces, risques et opportunités.
  • Le délit de marchandage et le délit de prêt de main d’œuvre illicite : quels risques pour les DSI ? Comment organiser le pilotage des ressources externes ? Quels sont les dispositions contractuelles et les principaux comportements à adopter ?

Responsabilités sur le plan Internet et Web 2.0


Les services 2.0, comment les utiliser ?

  • Panorama des services 2.0 et qualification juridique.
  • Les incidences et perspectives sur le plan juridique.

Les réseaux sociaux, que rôle pour l’entreprise ?

  • Blogs, forum, wiki, Twitter et réseaux sociaux d’entreprise : quelles sont les responsabilités ?
  • Mise en œuvre des outils du Web 2.0 (KM, plateforme collaborative, etc.) ?

Web 2.0 et sécurité

La responsabilité de l’entreprise

  • Accès à Internet et aux services 2.0 par les salariés : la responsabilité de l’employeur.
  • Prospective ou réalité, le Web 3.0.