Cyberattaque et fuite massive de données : regards croisés en droit des données personnelles et droit du travail. Par Emilie Pessieau et Sonia Haddad, Avocats.

Un sujet proposé par la Rédaction du Village de la Justice

Cyberattaque et fuite massive de données : regards croisés en droit des données personnelles et droit du travail.

Par Emilie Pessieau et Sonia Haddad, Avocats.

4414 lectures 1re Parution: Modifié: 4.82  /5

Explorer : # cybersécurité # données personnelles # droit du travail # sensibilisation du personnel

Ce que vous allez lire ici :

Cet article examine les perspectives juridiques de la cyberattaque et de la fuite de données, en se concentrant sur le droit des données personnelles et le droit du travail. Il explore les définitions de la cyberattaque, les obligations de sécurité des entreprises en matière de protection des données personnelles, la mise en place d'une charte informatique et la sensibilisation du personnel.
Description rédigée par l'IA du Village

Concrètement, que faire en cas de cyberattaques ? Quelles sont les précautions à prendre et quelles sont les actions à mener lorsque l’essence même de la valeur de notre entreprise, à savoir nos données informatiques, sont prises en otage par un tiers malveillant ?
Chaque année, les chiffres de cyberattaque augmentent de manière exponentielle. Les publications sur la présence d’une cyberattaque ne cessent de nous inonder. Notons qu’en outre, les chiffres publiés par les différents organismes en présence ne reflètent pas complément la réalité puisque nombreuses sont les entreprises qui face à une cyberattaque, refuseront de communiquer sur leur existence !

-

Au sommaire de cet article...

La cybersécurité est un sujet concernant chacun puisque la jurisprudence récente a démontré qu’un comportement d’un salarié qui se connecte depuis un ordinateur personnel était susceptible de constituer un point d’entrée pour les pirates informatiques et avoir des répercussions insoupçonnées, notamment à l’effet de l’employeur. Il est, dès lors, de notre responsabilité de prendre des mesures de précaution afin de protéger le patrimoine immatériel de notre entreprise.

Cet article traitera la cyberattaque uniquement sous le prisme du droit des données personnelles (à savoir le traitement d’une violation de données personnelles) et droit du travail [1].

I. Concrètement, une cyberattaque c’est quoi ?

Il n’y a pas de définition légale de ce que constitue une cyberattaque.

L’Agence Nationale de la Sécurité des Systèmes d’Information, (ANSSI) délivre au sein de ses différentes communications une définition très claire des notions clefs à avoir en matière de cyberattaque.

De la sorte, l’ANSSI [2] :

  • Définit la cyberattaque de la façon suivante : « Ensemble coordonné d’actions menées dans le cyberespace qui visent des informations ou les systèmes qui les traitent, en portant atteinte à leur disponibilité, à leur intégrité ou à leur confidentialité. Une cyberattaque peut être ponctuelle ou s’inscrire dans la durée »
  • Définit le cyberespace de la façon suivante : « Espace constitué par les infrastructures interconnectées relevant des technologies de l’information, notamment l’Internet »
  • Définit le rançongiciel de la façon suivante : « Logiciel malveillant qui empêche l’accès aux données stockées sur un ordinateur et propose leur récupération contre le paiement d’une rançon. En général, un logiciel rançonneur chiffre les données de l’ordinateur cible en indiquant les instructions de paiement ».

II. Comment peut-on, en entreprise, se prémunir contre des actes de cyberttaque ?

- La règlementation sur les données personnelles, un instrument au service de la cybersécurité.

La sécurité fait partie des principes fondamentaux de la loi Informatique et Libertés et du Règlement Général pour la Protection des Données (RGPD). En effet, l’absence de sécurité d’un traitement de données personnelles fait notamment courir le risque que des données soient récupérées par un tiers malveillant et utilisées contre les personnes concernées. Les obligations de sécurité imposées par le RGPD permettront aux entreprises de détenir des armes afin de lutter contre la cybercriminalité puisque ce dernier impose notamment :

  • De « mettre en place des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » pour sécuriser les données (Article 32 du RGPD).
  • D’encadrer la relation entre le responsable des traitements et le sous-traitant par l’intermédiaire d’un écrit contenant de nombreuses mentions obligatoires (Article 28 du RGPD).
  • De réaliser une Analyse d’Impact relative à la Protection des Données (AIPD). L’AIPD est un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée, lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (Article 35 du RGPD).
  • De tenir un registre des violations de données (Article 33 du RGPD).

Le fait pour les responsables des traitements, de devoir respecter des principes tels que la minimisation des données (à savoir que les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées) et la limitation de la durée de conservation des données (à savoir que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées) permet indirectement de limiter le périmètre des données piratées et de protéger au mieux les personnes concernées contre l’impact d’un accès non autorisé à ces données.

Le RGPD est le seul texte à imposer des obligations de cybersécurité précises, de façon transversale, et soumises au pouvoir de contrôle et de sanction d’une autorité administrative telle que la CNIL.

- L’établissement d’une charte informatique.

L’intégration d’une charte informatique au sein d’une entreprise permet de diminuer le risque de cyberattaques. La connexion par l’intermédiaire d’un ordinateur personnel peut par exemple être interdite. Une telle pratique est répandue en entreprise et peut être la source d’une cyberattaque. C’est en l’occurrence ce qu’il s’est déroulé dans le cadre d’une jurisprudence récente de la Cour d’appel de Lyon du 14 décembre 2023 au sein de laquelle les juges ont observé que le piratage informatique est survenu un samedi alors qu’un des membres du personnel de la société cliente s’est connecté « depuis son domicile sur son ordinateur personnel, non inclus dans le contrat de maintenance et dépourvu de solution anti-virus » [3].

Les conséquences n’étaient en l’occurrence pas neutres car de ce fait, le comportement de la société employeur a été déclaré fautif dans le cadre d’une cyberattaque, ce qui ne lui a pas permis d’engager la responsabilité de son prestataire informatique.

Compte tenu de la nature des engagements du prestataire informatique, qui s’analysent en une obligation de moyens, « le fonctionnement du système implique la participation active du client et sa vigilance ». La Cour en déduit que le prestataire n’a commis aucune faute contractuelle. C’est pourquoi les demandes de la société cliente sont intégralement rejetées.

Cela n’aurait pas été le cas, si la société employeur avait prévu dans le cadre de sa charte informatique, d’engager la responsabilité d’un prestataire en cas de piratage informatique.

D’où la nécessité de rédiger une charte informatique pour :

  • d’une part, établir des règles précises sur l’usage des outils informatiques mis à la disposition des salariés,
  • d’autre part, pour en sanctionner les manquements.

Le Code du travail ne vise pas expressément la charte informatique dans l’une de ses dispositions. En tout état de cause, l’encadrement de l’utilisation des outils informatiques fait partie des moyens visant à contrôler l’activité des salariés, nécessitant l’information de salariés :

« Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance » [4].

L’employeur peut décider de la portée attribuée à la charte informatique, soit lui donner une valeur informative, soit une valeur contraignante.

La charte informatique peut prendre plusieurs formes :

  • Celle d’un accord collectif majoritaire dont les règles de validité sont définies aux articles 2232-12, alinéa 1 et 2 du Code du travail.
  • Celle d’une note de service ou d’une annexe au règlement intérieur. Dans la dernière hypothèse, l’entreprise devra suivre la procédure prévue pour les adjonctions au règlement intérieur, à savoir :
    • Consulter le CSE s’il existe ;
    • Informer les salariés ;
    • Transmettre deux exemplaires de la charte informatique à l’inspection du travail et au Conseil de prud’hommes.
      Lorsque la charte informatique est annexée au règlement intérieur, cette dernière a une véritable valeur juridique, sur laquelle l’employeur peut s’appuyer pour prononcer des sanctions notamment disciplinaires. La charte informatique a donc la même valeur juridique que le règlement intérieur.
  • Celle d’un document unilatéral, et n’ayant de fait, qu’une valeur d’information.
  • Celle d’une annexe au contrat de travail, dont la valeur juridique dépendra de la rédaction de la clause portant sur l’usage des outils informatiques. Attention : si la clause est mal rédigée, cette dernière aura une simple valeur informative.

Il est fortement recommandé d’accorder une valeur contraignante à la charte informatique, puisqu’elle permet de déterminer l’ensemble des droits et obligations des salariés sur l’usage des outils informatiques au sein de l’entreprise.

Bien entendu, le caractère contraignant aura plus de poids juridiquement qu’une simple information, et ce d’autant lorsqu’il s’agira d’user du pouvoir disciplinaire, par exemple, à l’encontre des salariés qui ont été responsables du dysfonctionnement informatique ou d’une cyberattaque.

L’employeur est donc libre dans la rédaction de la charte informatique, et pourra déterminer notamment, les règles concernant l’usage privé des connexions Internet (tolérance ou interdiction totale), le droit à la déconnexion [5], la possibilité pour l’employeur de consulter des dossiers non identifiés comme personnels ou encore le devoir de signalement du salarié auprès du service informatique en cas de dysfonctionnement constaté, décompte du temps de connexion pour encadrer le télétravail … La rédaction de la charte informatique peut être une arme à double tranchant : soit cette charte peut être votre meilleur allié pour justifier une sanction disciplinaire, soit le salarié pourra l’utiliser contre vous, notamment si l’un de vos articles est ambigu ou est sujet à interprétation. Tel pourrait être le cas, par exemple, si la sanction disciplinaire ne vise qu’un comportement actif dans la survenance d’une cyberattaque.

- La sensibilisation du personnel.

Le fait de sensibiliser le personnel est une étape clef dans le cadre de la lutte contre les cyberattaques. Cette opération permet d’éviter que les salariés d’une entreprise cliquent sur des liens provenant de destinataires non identifiés et/ou ouvrent des pièces jointes suspicieuses dès réception et sans passer au préalable par le service informatique.

Si la formation spécifique sur la lutte de la cyberattaque n’est pas une obligation légale pour l’employeur, il n’en demeure pas moins que l’obligation de former ses collaborateurs en reste une.

En l’occurrence, le RGPD ne précise pas la manière dont cette sensibilisation doit se faire. Dès lors, l’employeur peut mettre en place tous les outils visant à sécuriser l’utilisation des outils informatiques, et ce peu important le niveau de responsabilité des salariés.

Dès lors, si votre entreprise est amenée à conserver, collecter, des données sensibles (bancaires, personnelles, médicales …), la formation de vos salariés sera une priorité.

La plupart des failles informatiques sont causées par l’intervention d’une personne a minima, et dont les intentions malveillantes peuvent avoir des conséquences dramatiques sur les données conservées par votre entreprise. Il y a donc un facteur humain imprévisible mais irréversible, et pour lequel vous devez tenter de réduire au maximum ses risques pour la sécurité de votre entreprise.

Une formation en matière de sécurité informatique pourra permettre aux salariés de prendre conscience :

  • de l’existence d’attaques informatiques véritables,
  • du fait qu’ils doivent avoir un comportement responsable dans l’usage des outils informatiques afin de contribuer à la protection des données collectées par l’entreprise.

Ainsi, l’employeur pourra mettre à la disposition des salariés, et par l’intermédiaire du service informatique, des modules d’e-learning via une plateforme de formation en ligne, ou bien des formations en présentiel sur l’utilisation sécurisée des outils informatiques.

Ces formations seront nécessairement un gage de sécurité, pour que vos collaborateurs puissent avoir les bons réflexes et la bonne attitude à adopter en cas de cyberattaque. En tout état de cause, cet effort de sensibilisation, permet de responsabiliser le salarié, en indiquant qu’il est un acteur clé dans la protection des données, et plus largement de la sécurité de l’entreprise.

Chaque salarié doit participer à l’effort constat et collectif dans la lutte contre les cyberattaques.

III. Boite à outils Quel comportement adapter en cas de cyberattaque ?

- Comprendre ce qui s’est passé.

Que ce soit en qualité de juriste, de gérant ou autre, il s’agira avant tout et en cas de cyberattaque, d’identifier et de qualifier l’incident.

A cet effet, le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques - CERT-FR indique : « La première étape du traitement d’un incident est de le qualifier. Pour ce faire, il est nécessaire d’identifier les sources d’informations et les anomalies qui peuvent y être associées. L’objectif de cette étape est de définir une vision de la situation la plus fiable possible » [6].

Il s’agira pour exemple, d’identifier le niveau de perturbation des applications et de l’infrastructure, de détecter les arrêts de services ou de constater les dysfonctionnements présents. Dans ce cadre, il sera nécessaire de vérifier si les systèmes touchés (ou suspectés de l’être) portent sur des processus ou des données sensibles.

Le service informatique, qui a un rôle clef dans le cadre de la résolution d’une cyberattaque devra identifier qui sont les acteurs déjà impliqués dans l’incident, quels sont les actifs à mettre en sûreté en cas d’aggravation de l’incident et où sont les traces connues et potentielles laissées par un attaquant.

- Agir en collaboration et s’entourer.

Les différents acteurs ainsi que le CERT l’indiquent dans toutes les publications, face à une cyberattaque, il est nécessaire de « prendre les premières mesures d’endiguement adaptées à la situation », par exemple [7] :
- « Effectuer des coupures de réseau, éteindre des machines, bloquer les accès à distance ; Mettre une copie des sauvegardes importante en sûreté »
- « Préserver les traces : mettre en sécurité les journaux : effectuez des copies hors ligne ou sur des systèmes isolés ; Prolonger les périodes de rotation des journaux systèmes et équipements ; Penser à tous types de journaux : sécurité et systèmes, serveurs, postes de travail, équipements d’infrastructure »
- « Mobiliser les équipes internes et l’infogérant le cas échéant : prévenir les équipes et les responsables des ressources humaines d’une possible surcharge ; Identifier les points et moyens de contact »
- « Contacter les propriétaires d’applications concernées »

S’entourer est dans ce cadre également nécessaire à la bonne résolution d’une cyberattaque.

Le CERT-FR indique à cet effet que : « Vos prestataires habituels, qui ont la connaissance de vos pratiques et de votre système d’information sont souvent les plus appropriés : prestataires effectuant les services de supervision de production et de sécurité, administrateurs systèmes et réseaux, prestataires d’audit et de conseil en sécurité ».

Des prestataires externes peuvent également vous accompagner :

  • Le CERT-FR suit et peut apporter son aide au traitement des incidents de sécurité affectant les systèmes d’information d’une importance particulière pour la nation. Le CERT-FR émet et reçoit les signalements, et coordonne les actions de réponses appropriées.
  • Pour les petites organisations, Cyber Malveillance maintient un registre des prestataires aux compétences certifiées [8]
  • Pour les organisations opérant un système d’information complexe, il est recommandé de faire appel à un Prestataire qualifié de Réponse à Incidents de Sécurité (PRIS) dont la liste peut être trouvée [9].

- Gérer la violation de données personnelles.

a) Est-on en présence d’une violation de données ?

L’article 4.12 du RGPD délivre la définition suivante d’une « violation de données » :

« une violation de la sécurité entraînante, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

A cet effet, la Commission Nationale de l’Informatique et des Libertés (CNIL) indique, s’agissant d’une violation de données qu’ « il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles » [10].

La CNIL délivre quelques exemples concrets que sont la suppression accidentelle de données médicales conservées par un établissement de santé et non sauvegardées par ailleurs ; la perte d’une clef USB non sécurisée contenant une copie de la base clients d’une société et/ou l’introduction malveillante dans une base de données scolaires et modification des résultats obtenus par les élèves.

b) Doit-on réaliser une « notification » auprès de la CNIL ?

L’article 33 du RGPD dispose :

« 1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle a accompagné des motifs du retard.
2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
3. En présence d’une violation de données, le responsable du traitement devra dès lors réaliser une notification auprès de la CNIL. Cette dernière devra également respecter un formalisme précis et contenir des mentions obligatoires, visées par l’article 33 du RGPD ».

c) Et la Communication auprès des personnes concernées ?

L’Article 34 du RGPD dispose :

« 1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. 2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d) ».

La communication à la personne concernée visée ci-dessus n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie :

  • Le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement ;
  • Le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser ;
  • Elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

Par ailleurs et si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que la communication à la personne concernée n’est pas nécessaire pour l’une des raisons susvisées.

- Porter plainte au pénal.

Les professionnels, s’ils sont victimes d’une cyberattaque, doivent absolument porter plainte pour faire valoir leurs droits et aider à endiguer la cybercriminalité. Il est essentiel de déposer sa plainte dans un délai de 72 heures après la découverte de l’attaque. Ce délai est imposé par l’article 5 de la loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur (LOPMI) qui oblige, depuis le 24 avril 2023, tous les professionnels à effectuer un dépôt de plainte dans un délai de 72 heures suivants la connaissance d’une cyberattaque pour pouvoir être indemnisé par leur assureur, sous réserve leur contrat le prévoit.

Cette disposition s’impose à tous les professionnels dont le contrat d’assurance est régi par le Code des assurances français :

  • Les personnes physiques : travailleurs indépendants, entrepreneurs individuels...
  • Les personnes morales : entreprises, associations...

Ce délai débute à partir de la découverte de la cyberattaque par la victime. Si l’attaque a lieu depuis un certain temps mais que vous venez seulement de vous rendre compte de l’intrusion et des dommages occasionnés, et si le délai imparti cours encore, il vous faudra très rapidement déposer plainte.

N’oubliez pas à cet effet de vous assurez contre les risques de cyberattaque !

Enfin, nous attirons votre attention sur le fait que cette formalité ne doit aucunement être une main courante, qui est insuffisante. Il n’est pas possible pour l’instant de porter plainte en ligne pour un fait de piratage informatique. Vous devez vous rendre au commissariat de police ou la gendarmerie dont dépend le site de l’entreprise attaquée : il est également recommandé fortement d’envoyer sa plainte par courrier au procureur de la République, en joignant le maximum de preuves. Sur ce, il s’agit de porter plainte selon nous pour tentative d’accès frauduleux dans votre système de traitement automatisé de données [11] ainsi que pour extorsion de fonds [12].

- Gérer la faute de ses salariés.

Comme pour le règlement intérieur, la charte informatique peut prévoir l’application de sanctions disciplinaires, civiles et pénales en cas d’usage interdit ou abusif des outils informatiques.

Pour caractériser le comportement fautif du salarié, la jurisprudence considère que le critère déterminant doit être recherché dans le comportement actif du salarié.
La Cour de cassation, dans un arrêt du 15 décembre 2010, a ainsi considéré que le licenciement du salarié pour faute grave était justifié dès lors que les fichiers pornographiques étaient prohibés par une charte informatique [13].

En l’espèce, le salarié avait utilisé sa messagerie professionnelle afin d’envoyer et de recevoir des documents à caractère pornographiques, et il avait conservé de tels documents sur un disque dur, alors même que de tels documents étaient expressément interdits par la charte.

Le licenciement pour faute grave a donc pu être justifié parce que d’une part, la charte avait déterminé avec précision le type de fichiers interdits, et d’autre part, elle avait prévu les sanctions en cas de non-respect par le salarié.

Cette décision démontre que l’employeur a tout intérêt à bien déterminer avec précision les sites, documents interdits, et surtout indiquer les sanctions disciplinaires encourues en cas de non-respect.

De la même manière, l’employeur a pu sanctionner un manquement d’un salarié à la charte informatique qui avait proscrit l’emprunt de mot de passe d’un autre salarié.
La Cour de Cassation a estimé que

« la Cour d’Appel qui a retenu que le salarié avait tenté, sans motif légitime et par emprunt du mot de passe d’un autre salarié, de se connecter sur le poste informatique du directeur de la société a pu en déduire que ce comportement, contraire à l’obligation de respect de la charte informatique en vigueur dans l’entreprise, rendait impossible son maintien dans l’entreprise pendant la durée du préavis et constituait une faute grave » [14].

La rédaction de la charte doit être extrêmement précise, pour éviter toute interprétation, et notamment en matière de responsabilité concernant les auteurs de cyberattaques (en visant les prestataires par exemple).

En effet, l’employeur doit être vigilant à prévoir des sanctions à la fois pour l’auteur actif, le complice mais également le « collaborateur passif », c’est-à-dire, celui qui ne signale pas une faille, un dysfonctionnement informatique…

Le « collaborateur passif » peut être aussi celui qui ne fait que détenir ou enregistrer des fichiers interdits.

En conclusion, vous devez être particulièrement attentifs contre des risques de cyberattaques externes, mais également contre toutes dérives de vos salariés dans l’utilisation de leurs outils informatiques.

Emilie Pessieau, Avocat en droit de la propriété intellectuelle, droit des données et droit des nouvelles technologies
emilie.pessieau chez fidal.com
et Sonia Haddad, Avocat
Barreau de Clermont-Ferrand
Fidal Clermont-Ferrand

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

11 votes

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

Notes de l'article:

[1De nombreuses dispositions sont applicables
- la loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieure ;
- la directive (UE) du 14 décembre 2022 sur la résilience des entités critiques (directive "CER") ;
- la directive (UE) du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive "NIS 2") ;
- le règlement (UE) du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (règlement "DORA") ;
- l’instruction générale ministérielle du 26 octobre 2022 sur l’organisation de la sécurité numérique du système d’information et de communication de l’Etat et de ses établissements publics.

[2Glossaire | ANSSI (cyber.gouv.fr).

[3CA Lyon., 14 décembre 2023, n° 20/02356.

[4Article L1222-4 du Code du travail.

[5Cass.soc., 10 janvier 2024 pourvoi n° 22-15.782 : qui renforce les modalités de contrôle de la charge de travail pour les cadres en forfaits-jours.

[11L323-1 et L323-7 du Code pénal.

[12Article 312-1 du Code pénal.

[13Cass. Soc., 15 décembre 2010, n° 09-42.691.

[14Cass.soc., 21 décembre 2006 05-41.165.

"Ce que vous allez lire ici". La présentation de cet article et seulement celle-ci a été générée automatiquement par l'intelligence artificielle du Village de la Justice. Elle n'engage pas l'auteur et n'a vocation qu'à présenter les grandes lignes de l'article pour une meilleure appréhension de l'article par les lecteurs. Elle ne dispense pas d'une lecture complète.

A lire aussi :

Explorer : # cybersécurité # données personnelles # droit du travail # sensibilisation du personnel

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Droit du numérique et des TIC
  4. Respect de la vie privée et protection des données personnelles

Les droits des personnes concernées sur leurs données personnelles. Par Debora Cohen, Avocat.

24 avril 2025

Vote électronique : la CNIL dévoile ses exigences de sécurité pour 2025. Par Gerard Haas, Avocat.

16 avril 2025

Vers une atteinte à la vie privée généralisée ? Par Victor Cabras, Juriste.

14 avril 2025

Lutte contre le narcotrafic et protection des données personnelles : quel équilibre ? Par Sonia Bernonville, Avocate.

25 mars 2025

Responsabilité complexe en cas de fuite de données, piratage et usurpation d’identité d’origine interne : analyse approfondie et stratégies contentieuses. Par Aurélie Duron Harmand, Avocat et Mehdi Mankouri, Elève-Avocat.

11 mars 2025

Empreinte neuronale et souveraineté cognitive : vers un cadre juridique pour la protection des données mentales. Par Zakaria Garno, Professeur.

10 avril 2025

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 320 membres, 27852 articles, 127 254 messages sur les forums, 2 750 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• Voici le Palmarès Choiseul "Futur du droit" : Les 40 qui font le futur du droit.

• L'IA dans les facultés de Droit : la révolution est en marche.




Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Association pour la prévention positive des cyberviolences

 

Réseau de cabinets d’avocats indépendants

 

Cabinet d'Avocats

 

Cabinet d'avocat

 

Collectif d'avocats et de médiateurs

 

Bien plus que du droit.

 

Facilite l'accès aux professions du Droit

 

Réseau de professionnels du Droit

 

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

 

Agir en faveur de l’accès au droit

Solutions

Previous Next

 

Créateur de confiance juridique

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

Offres pour les métiers du droit

 

Editeur juridique

 

Destruction et recyclage de documents confidentiels

 

Association de gestion et de comptabilité pour Avocats

 

Logiciels de conformité, risques et éthique

 

Solutions d'informations pour professionnels du droit.

 

Aides et Conseils à l'installation des avocats.

 

Lettre recommandée électronique

 

AI-powered Contract Management

 

Traducteurs assermentés

 

1er service entièrement en ligne pour externaliser vos appels

 

Logiciels pour professionnels du droit.

 

Maintenance informatique spécialisée pour les professionnels du droit

Formateurs

Previous Next

 

L’école des nouveaux juristes !

 

Des formations spécialisées

 

La Compétence juridique se recrute !

 

Formation, recherche et innovation

 

Formations courtes ou longues à destination des professionnels du droit

 

Se former est une chance !

 

Se former aux métiers du Droit

 

Cabinet juridique et organisme de formation

Nouvelles parutions

Robert Badinter

Robert Badinter - L’œuvre d’un juste

« Un jour, je vous parlerai de la Justice...»

LexisNexis Presse

La Semaine Juridique - Édition Générale

Accédez à votre actualité juridique chaque semaine sous la plume d’auteurs de renom !

A côté du droit !

Les coups de coeur des libraires juridiques (épisode 2).

Sélection Liberalis spécial Jour ferié : le Paradox Museum Paris.

Sélection Liberalis du week-end : L’art en mouvement à l’Atelier des Lumières.

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- [Documentaire] Engagées, un an dans les coulisses du métier d’avocat.
- Comment bien utiliser le Village de la justice pour vos publications d’articles juridiques ?
- [Vidéo] Entretien avec Rémy Heitz, procureur général de la Cour de cassation dans l’émission Fenêtres sur cours.
- Dans les coulisses des directions juridiques de Decathlon et Bolloré Transport & Logistics.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.