Les infractions portant atteinte à la sécurité du système informatique d’une entreprise

Les nouvelles technologies de l’information et des communications occupent aujourd’hui une place importante dans les entreprises, quelle que soit la taille ou le(s) domaine(s) d’activité de ces dernières. Elles participent de manière positive au développement de la vie économique. Elles sont toutefois à l’origine d’une nouvelle forme de criminalité qui menace la sécurité et l’intégrité des systèmes informatiques dans l’entreprise. Celle-ci est d’une ampleur difficile à évaluer, mais surtout difficile à maîtriser avec les dispositions législatives déjà en place, laissant par là même apparaître qu’une adaptation au niveau juridique est inévitable. Certains pays industrialisés ont ainsi décidé de mettre en place un cadre juridique adéquat pour garantir aux entreprises la sécurité de leurs systèmes informatiques. Notre étude va justement porter sur les dispositifs mis en place par deux systèmes juridiques différents. Forcés de prendre en compte une réalité nouvelle – qui n’existait pas nécessairement il y a plusieurs années –, la France et le Canada ont décidé de modifier respectivement leurs codes pénal et criminel en leur ajoutant des dispositions qui répriment de nouvelles infractions. À travers cet exposé, nous allons analyser les infractions qui portent atteinte à la sécurité du système informatique de l’entreprise à la lumière des outils juridiques mis en place. Nous allons mesurer leur degré d’efficacité face à la réalité informatique. En d’autres termes, il s’agit pour nous de déterminer si le droit va répondre ou non aux besoins de l’informatique.

From cognition to action : a psychological investigation of action regulation in complex and uncertain social systems

Cette thèse présente une revue des réflexions récentes et plus traditionnelles provenant de la théorie des systèmes, de la créativité en emploi, des théories d’organisation du travail et de la motivation afin de proposer une perspective psychologique de la régulation des actions des individus au sein d’environnements de travail complexes et incertains. Des composantes de la Théorie de la Régulation de l’Action (Frese & Zapf, 1994) ainsi que de la Théorie de l’Auto-Détermination (Deci & Ryan, 2000) sont mises en relation afin d’évaluer un modèle définissant certains schémas cognitifs clés associés aux tâches individuelles et collectives en emploi. Nous proposons que ces schémas cognitifs, organisés de manière hiérarchique, jouent un rôle central dans la régulation d’une action efficace au sein d’un système social adaptatif. Nos mesures de ces schémas cognitifs sont basées sur des échelles de mesure proposées dans le cadre des recherches sur l’ambiguïté de rôle (eg. Sawyer, 1992; Breaugh & Colihan, 1994) et sont mis en relation avec des mesures de satisfaction des besoins psychologiques (Van den Broeck, Vansteenkiste, De Witte, Soenens & Lens, 2009) et du bien-être psychologique (Goldberg, 1972). Des données provenant de 153 employés à temps plein d’une compagnie de jeu vidéo ont été récoltées à travers deux temps de mesure. Les résultats révèlent que différents types de schémas cognitifs associés aux tâches individuelles et collectives sont liés à la satisfaction de différents types de besoin psychologiques et que ces derniers sont eux-mêmes liés au bien-être psychologique. Les résultats supportent également l’hypothèse d’une organisation hiérarchique des schémas cognitifs sur la base de leur niveau d’abstraction et de leur proximité avec l’exécution concrète de l’action. Ces résultats permettent de fournir une explication initiale au processus par lequel les différents types de schémas cognitifs développés en emplois et influencé par l’environnement de travail sont associés à l’attitude des employés et à leur bien-être psychologique. Les implications pratiques et théoriques pour la motivation, l’apprentissage, l’habilitation, le bien-être psychologique et l’organisation du travail dans les environnements de travail complexes et incertains sont discutés.

What ‘Security’, whose ‘Rights’ and which ‘Law’? : the Israeli High Court of Justice and the Israeli settlements in the occupied West Bank

Cette thèse examine l’interprétation et l’application, par l’Haute Cour d'Israël (HCJ), de principes du droit international de l’occupation et du droit international des droits de la personne dans le traitement de requêtes judiciaires formulées par des justiciables palestiniens. Elle s’intéresse plus particulièrement aux jugements rendus depuis le déclenchement de la deuxième Intifada (2000) suite à des requêtes mettant en cause la légalité des mesures adoptées par les autorités israéliennes au nom d’un besoin prétendu d’accroitre la sécurité des colonies et des colons israéliens dans le territoire occupé de la Cisjordanie. La première question sous étude concerne la mesure dans laquelle la Cour offre un recours effectif aux demandeurs palestiniens face aux violations alléguées de leurs droits internationaux par l’occupant. La recherche fait sienne la position de la HJC selon laquelle le droit de l’occupation est guidé par une logique interne tenant compte de la balance des intérêts en cause, en l’occurrence le besoin de sécurité de l’occupant, d’une part, et les droits fondamentaux de l’occupé, d’autre part. Elle considère, en outre, que cette logique se voit reflétée dans les principes normatifs constituant la base de ce corpus juridique, soit que l’occupation est par sa nature temporaire, que de l’occupation découle un rapport de fiduciaire et, finalement, que l’occupant n’acquiert point de souveraineté sur le territoire. Ainsi, la deuxième question qui est posée est de savoir si l’interprétation du droit par la Cour (HCJ) a eu pour effet de promouvoir ces principes normatifs ou, au contraire, de leur porter préjudice. La réunion de plusieurs facteurs, à savoir la durée prolongée de l’occupation de la Cisjordanie par Israël, la menace accrue à la sécurité depuis 2000 ainsi qu’une politique de colonisation israélienne active, soutenue par l’État, présentent un cas de figure unique pour vérifier l’hypothèse selon laquelle les tribunaux nationaux des États démocratiques, généralement, et ceux jouant le rôle de la plus haute instance judiciaire d’une puissance occupante, spécifiquement, parviennent à assurer la protection des droits et libertés fondamentaux et de la primauté du droit au niveau international. Le premier chapitre présente une étude, à la lumière du premier principe normatif énoncé ci-haut, des jugements rendus par la HCJ dans les dossiers contestant la légalité de la construction du mur à l’intérieur de la Cisjordanie et de la zone dite fermée (Seam Zone), ainsi que des zones de sécurité spéciales entourant les colonies. Le deuxième chapitre analyse, cette fois à la lumière du deuxième principe normatif, des jugements dans les dossiers mettant en cause des restrictions sur les déplacements imposées aux Palestiniens dans le but allégué de protéger la sécurité des colonies et/ou des colons. Le troisième chapitre jette un regard sur les jugements rendus dans les dossiers mettant en cause la légalité du tracé du mur à l’intérieur et sur le pourtour du territoire annexé de Jérusalem-Est. Les conclusions découlant de cette recherche se fondent sur des données tirées d’entrevues menées auprès d’avocats israéliens qui s’adressent régulièrement à la HCJ pour le compte de justiciables palestiniens.

Qualification et quantification de l'obligation de sécurité informationnelle dans la détermination de la faute civile

L'obligation de sécurité informationnelle - c'est-à-dire la tâche qui incombe aux entreprises d'assurer l'intégrité, la confidentialité et la disponibilité de l'information découle, tant en droit québécois que dans une majorité de juridictions occidentales, d'une série de dispositions législatives imposant non pas l'adoption de comportements ou l'utilisation de technologies ou de procédés identifiables, mais bien l'implantation de mesures de sécurité «raisonnables », «adéquates », ou « suffisantes ». Or, dans un domaine aussi embryonnaire et complexe que celui de la sécurité informationnelle, domaine dans lequel les solutions disponibles sont multiples et où la jurisprudence est éparse, comment une entreprise peut-elle jauger avec justesse l'étendue de son obligation? Bref, comment établir ce que ferait une entreprise raisonnablement prudente et diligente dans un domaine où il n'existe actuellement aucune balise législative, jurisprudentielle ou même coutumière permettant de fixer avec justesse le niveau de diligence imposé par le législateur? L'absence de sécurité juridique offerte par une telle situation est patente et nécessite une reconfiguration du cadre opératoire de l'obligation de sécurité informationnelle afin d'en identifier les composantes et les objectifs. Cet exercice passera par la redéfinition de l'obligation de sécurité informationnelle comme obligation de réduire les risques qui guettent l'information à un niveau socialement acceptable. En effet, la sécurité pouvant être définie comme étant la gestion du risque, c'est donc le risque qui réside au cœur de cette obligation. Or, en analysant les risques qui guettent un système, soit en analysant les menaces qui visent à exploiter ses vulnérabilités, il est possible d'établir quelles contre-mesures s'avèrent utiles et les coûts associés à leur mise en œuvre. Par la suite, il devient envisageable, en recourant à la définition économique de la négligence et en prenant compte des probabilités de brèches de sécurité et des dommages escomptés, d'établir les sommes optimales à investir dans l'achat, l'entretien et la mise à jour de ces contre-mesures. Une telle analyse permet ainsi de quantifier avec un certain degré de précision l'étendue de l'obligation de sécurité informationnelle en offrant aux entreprises un outil s'inspirant de données matérielles auxquelles elles ont librement accès et s'intégrant aisément dans le contexte juridique contemporain.

Le poteau d’utilité publique, icône d’un autre siècle?

Le réseau de distribution aérien, ou plus simplement le réseau de poteaux de bois et ses câbles, est encore aujourd’hui omniprésent dans la majorité des villes du Québec. Pour plusieurs, le réseau de poteaux d’utilité publique semble appartenir à une autre époque. Pourtant, les poteaux et câbles ne sont pas près de disparaître, au contraire, ils ne cessent de se transformer. Depuis peu, de plus en plus d’équipements s’ajoutent sur le réseau: boîtiers techniques, nombre de câbles, appareillages au sommet des poteaux, antennes de communication, etc. Bien que les équipements du réseau de distribution aérien soient des éléments produits industriellement, ceux-ci intègrent rarement les services du design industriel au moment de leur conception initiale. Cette recherche étudie le système de distribution aérien sous l’angle de la « pensée design ». L’intention de cette étude est d’analyser les impacts de la présence du réseau aérien en milieux urbains et a pour objectif d’orienter les pratiques de conception de ce type d’équipements. Pour ce faire, dans une optique transdisciplinaire, diverses approches ont été sollicitées dont: l’approche systémique, l’approche paysage et les approches des partenaires des réseaux. Au moyen d’une recherche documentaire et d’observations faites sur le terrain, la recherche vise à dresser un portrait général du réseau de distribution aérien et les défis qui y sont associés. La recherche expose, dans un état des lieux, les résultats issus des questions analytiques de recherche suivantes: de quoi est composé le réseau de distribution aérien, quels sont les intervenants sur le réseau, quelles sont leurs interactions, quels sont les points de vue des différentes catégories d’acteurs en relation avec le réseau, quels sont les impacts reliés à la présence du réseau en milieux urbains et quelle a été son évolution au fil des années. Dans la perspective de l’approche design, chercher à comprendre une problématique de façon plus large permet de s’assurer que l’on répond au bon problème, que l’on considère tous les facteurs en cause visant ainsi à réduire les répercussions négatives sur les contextes de vie actuels et futurs. Les principaux constats de cette recherche démontrent que la composition du réseau de distribution, avant même de considérer les nouveaux usages et l’ajout de nouveaux équipements, présente des lacunes importantes. La gestion entre les divers partenaires du réseau de distribution pose aussi problème. L’ajout de nouveaux équipements sur le réseau, combiné aux multiples équipements apparaissant sur les voies publiques laisse entrevoir l’atteinte d’un niveau de saturation des milieux urbains. Les façons de faire hermétiques et «cristallisées» des partenaires du réseau ne collent pas avec les initiatives et aspirations générales en matière d’aménagement. En étudiant la problématique du réseau de distribution par le biais de la pensée design, l’approche design cherche à déceler, de façon proactive, les opportunités de design qui permettront de mieux gérer l’apparition et l’intégration des nouveaux équipements sur les poteaux. Cette démarche permet d’envisager des solutions qui visent à limiter les répercussions collatérales une fois en contexte et qui, du même coup, adressent des problématiques connexes. Finalement, à la lumière de l’état des lieux, cette recherche propose des critères de conception de futurs réseaux de distribution, élaborés dans l’esprit de l’approche design.

Analyse de l'évolution de l'Administration canadienne de la sûreté du transport aérien

La présente étude a analysé l’évolution de l’Administration Canadienne de la Sureté du Transport Aérien (ACSTA) depuis sa mise en place jusqu’aujourd’hui, ainsi que les acteurs individuels ou institutionnels impliqués dans ce processus. L’ACSTA gravite dans un champ organisationnel ‐ensemble d’organisations qui constituent un domaine reconnu de la vie institutionnelle (DiMaggio et Powell, 1983)-­ au sein duquel agissent différents acteurs qui ont influencé non seulement sa création, mais qui ont continué à jouer un rôle important tout au long de son évolution. Nous avons défini le champ de la sûreté aérienne et au sein de celui‐ci, nous avons analysé les mécanismes institutionnels, tout en identifiant et définissant le rôle des différents acteurs en présence. Il ressort de nos analyses que principalement deux types de contraintes institutionnelles (DiMaggio et Powell, 1983) ont influencé la création et le développement de l’ACSTA. Premièrement, mis à part les contraintes coercitives émanant de la règlementation internationale de l’Organisation de l’Aviation Civile Internationale, il apparait que d’autres contraintes du même type proviennent du gouvernement américain, par le biais de pressions visant à la mise en place de mesures sécuritaires, tant au moment de la création que tout le long de l’évolution de l’organisation. Il est à noter, cependant, le rôle du terrorisme et des tentatives d’attentat comme provocant de telles contraintes. Deuxièmement, nous avons identifié des contraintes du type normatif, c’est-à‐dire celles qui proviennent des valeurs, des normes et du bagage professionnel lié à la sécurité et à la sureté aérienne. Il apparait que les contraintes normatives agissent constamment alors que les contraintes coercitives surgissent ponctuellement tout au long de la période analysée.

La sous-traitance des données du patient au regard de la Directive 95/46

La gestion des données du patient occupe une place significative dans la pratique de l’art de guérir. Il arrive fréquemment que des personnes participent à la production ou à la gestion des données du patient alors que, praticiens de la santé ou non, elles ne travaillent pas sous l’autorité ou la direction du praticien ou de l’équipe en charge du patient. Au regard de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, ces tiers revêtent la qualité de sous–traitant lorsqu’ils traitent des données pour compte du responsable du traitement de données. Ce dernier doit choisir un sous–traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer, et il doit veiller au respect de ces mesures. L’existence de labels de sécurité pourrait faciliter le choix du sous–traitant. S’agissant de données très sensibles comme les données génétiques, il serait opportun d’envisager un contrôle préalable par l’autorité de contrôle ou par un détaché à la protection des données. Il demeure alors à déterminer le véritable responsable du traitement des données du patient, ce qui dépend fortement du poids socialement reconnu et attribué aux différents acteurs de la relation thérapeutique.

L'efficacité du régime de responsabilité civile comme mesure de contrainte au respect de l'obligation de sécurité des renseignements personnels.

Dans un contexte où les renseignements personnels sont aujourd’hui une « devise » commerciale importante, il importe de s’attarder à la responsabilité de leur protection. Les lois encadrant la protection des renseignements personnels imposent notamment aux entreprises du secteur privé une obligation de sécurité. Par contre, elles ne prévoient pas de sanction monétaire en cas de violation. Il faut donc se tourner vers le droit de la responsabilité civile afin de contraindre les entreprises à adopter des mesures de sécurité. Or, le régime de responsabilité civile actuel est mal adapté aux obligations associées à la sécurité des renseignements personnels. Le flou normatif entourant le contenu de l’obligation de sécurité et les difficultés d’exercice du recours rendent peu efficace le régime de responsabilité civile compensatoire. Dans un souci d’améliorer son efficacité, deux propositions méritent d’être considérées, soit : la revalorisation des dommages-intérêts punitifs et l’encadrement statutaire d’une obligation de notification des atteintes à la sécurité des renseignements personnels. Ces deux propositions sanctionnent les violations à l’obligation de sécurité là où le régime de responsabilité civile compensatoire semble échouer. Par contre, elles ne sont elles-mêmes efficaces que si leur exercice respecte les fonctions qui leur sont sous-jacentes. Au final, la responsabilité de la sécurité des renseignements personnels ne repose pas seulement sur un régime responsabilité, mais sur une culture de responsabilité.

Cadre juridique de l'utilisation de la biométrie au Québec : sécurité et vie privée

La biométrie, appliquée dans un contexte de traitement automatisé des données et de reconnaissance des identités, fait partie de ces technologies nouvelles dont la complexité d’utilisation fait émerger de nouveaux enjeux et où ses effets à long terme sont incalculables. L’envergure des risques suscite des questionnements dont il est essentiel de trouver les réponses. On justifie le recours à cette technologie dans le but d’apporter plus de sécurité, mais, vient-elle vraiment apporter plus de protection dans le contexte actuel? En outre, le régime législatif québécois est-il suffisant pour encadrer tous les risques qu’elle génère? Les technologies biométriques sont flexibles en ce sens qu’elles permettent de saisir une multitude de caractéristiques biométriques et offrent aux utilisateurs plusieurs modalités de fonctionnement. Par exemple, on peut l’utiliser pour l’identification tout comme pour l’authentification. Bien que la différence entre les deux concepts puisse être difficile à saisir, nous verrons qu’ils auront des répercussions différentes sur nos droits et ne comporteront pas les mêmes risques. Par ailleurs, le droit fondamental qui sera le plus touché par l’utilisation de la biométrie sera évidemment le droit à la vie privée. Encore non bien compris, le droit à la vie privée est complexe et son application est difficile dans le contexte des nouvelles technologies. La circulation des données biométriques, la surveillance accrue, le détournement d’usage et l’usurpation d’identité figurent au tableau des risques connus de la biométrie. De plus, nous verrons que son utilisation pourra avoir des conséquences sur d’autres droits fondamentaux, selon la manière dont le système est employé. Les tests de nécessité du projet et de proportionnalité de l’atteinte à nos droits seront les éléments clés pour évaluer la conformité d’un système biométrique. Ensuite, le succès de la technologie dépendra des mesures de sécurité mises en place pour assurer la protection des données biométriques, leur intégrité et leur accès, une fois la légitimité du système établie.

Étude sur la sécurité dynamique : le cas de Cité-des-Prairies

Travail dirigé présenté à la Faculté des études supérieures en vue de l’obtention du grade de maître ès sciences (M.Sc.) en criminologie option sécurité intérieure