Discussion :

[Saverok]

Heu... non, le but d'une hiérarchie n'est pas de trouver des responsables/boucs émissaires.


Une responsabilité individuelle, c'est compliqué:

• a-t-on donné à l'employé les moyens de mener à bien sa mission (temps, ressources);
• l'employé a-t-il reçu des ordres ou des pressions, même tacites ?
• l'employé a-t-il caché la chose à ses responsables hiérarchiques ?
• le responsable hiérarchique a-t-il bénéficié de la chose ?
• etc.

C'est d'ailleurs pour cela qu'un employé n'est presque jamais responsable (sauf pour certaines juridictions), mais son entreprise l'est, sauf si 3 conditions suivantes sont remplies (de tête):

• l'employé doit avoir effectué l'acte en dehors de son service (ou assimilé);
• l'employé ne doit pas avoir effectué l'acte dans l'intérêt de l'entreprise;
• l'employé ne doit pas en avoir reçu l'ordre.

La question n'est pas simple et est plus compliqué de des yaka.

Je suis en phase.
Le cas VW est très particulier et c'est l'une des raisons pour laquelle je suis cette histoire de près.
C'est assez rare d'avoir des responsables désignés individuellement par la justice dans une affaire où une entreprise est en cause.

[koyosama]

moi ca ne m'etonne qu'a moitie. n'etant pas dans une "grosse" structure, j'avais demande a upgrade jquery, on m'a dit non direct car ils ne veulent pas prendre le risque des probleme de deprecated et autre incompatibilite. et passer sur les differents site pour s'assurer des bons fonctionnements des scripts est trop couteux pour eux (ressource humaine / temps).
donc les nouveaux sites sont a jour, mais pas les anciens. c'est pour ca que je suis retourne aux sources en pur JS

C'est pas le fait qu'ils non't pas changé de compatibilité, c'est que le site n'a pas été modernisé from scratch. Une strcuture bien faiîte, tu devrais pas avoir ce problème.
Cette excuse ne marche plus en 2018. Si c'est le cas, la France a un très gros soucis. Mais j'ai vu pire dans les autres pays. Mais pour un site d'ecommerce comme Darty qui a été acheté par Fnac, elle montre pas beaucoup de compétition et elle donne tous les efforts du monde pour mourrir.

Après je suis surpris sur le coup. Je reproche rien au développeur, je reproche rien au décideur, mais 1.7, cela montre clairement de l'indifférence envers les clients et l'industrie française.

[fmanisse]

Heu... non, le but d'une hiérarchie n'est pas de trouver des responsables/boucs émissaires.


Une responsabilité individuelle, c'est compliqué:

• a-t-on donné à l'employé les moyens de mener à bien sa mission (temps, ressources);
• l'employé a-t-il reçu des ordres ou des pressions, même tacites ?
• l'employé a-t-il caché la chose à ses responsables hiérarchiques ?
• le responsable hiérarchique a-t-il bénéficié de la chose ?
• etc.

C'est d'ailleurs pour cela qu'un employé n'est presque jamais responsable (sauf pour certaines juridictions), mais son entreprise l'est, sauf si 3 conditions suivantes sont remplies (de tête):

• l'employé doit avoir effectué l'acte en dehors de son service (ou assimilé);
• l'employé ne doit pas avoir effectué l'acte dans l'intérêt de l'entreprise;
• l'employé ne doit pas en avoir reçu l'ordre.

La question n'est pas simple et est plus compliqué de des yaka.

Je suis d'accord avec toi, avec une petite précision :

Lorsqu'une plainte contre une entreprise va au pénal et que des peines de prisons sont envisagées au regard des conséquences, c'est toute la chaîne qui morfle, du petit opérateur qui a fait l'action (ici un programmeur) au patron. Les raisons contre la hiérarchie sont explicites : c'est les donneurs d'ordres, mais il arrive qu'on incrimine aussi l'employé de base qui s'est contenté d'obéir car on lui opposera qu'il se devait d'effectuer son droit de retrait.

C'est, en tout cas, ce qu'on apprend dans les formations sécurité type GIES2 lorsqu'on va bosser sur des sites indus, et ça se fait à base de cas réels (tel type a pris 2 ans avec sursis pour être monté quand même dans sa grue par grand vent, même si on reconnait que son patron l'a menacé : il aurait dû refuser, quitte à être viré ... a cause du vent la grue déployée est tombée sur une école). Ce n'est pas moral, ce n'est peut être pas juste, mais ça arrive ...

Donc on peut quand même, en étant le bas de la chaîne, se retrouver condamné si les choses vont jusqu'à une condamnation. Violer la loi sur la protection des données, même si on a agit sur un ordre, voire sous la contrainte (tu le fais ou tu es viré), est condamnable. Tant qu'on est sur des cas comme avec Darty, je ne pense pas que cela arrive, mais un jour, une faille de sécurité va entraîner des conséquences lourdes, des morts, et des programmeurs qui se sont contentés d'obéir pourraient avoir une mauvaise surprise au tribunal.

Maintenant, si on m'ordonnait de déployer une appli web sensible comportant une faille de sécurité identifiée, j'aimerais croire que j'aurai assez de volonté pour utiliser mon droit de retrait...

[Neckara]

Lorsqu'une plainte contre une entreprise va au pénal

Oui, cela dépend de la juridiction.

il aurait dû refuser, quitte à être viré ...

Dans ce cas, cela serait qualifié de licenciement abusif je pense.

Violer la loi sur la protection des données, même si on a agit sur un ordre, voire sous la contrainte (tu le fais ou tu es viré), est condamnable.

En effet, cela relève en partie du droit pénal.

Je dois avouer à ma grande honte que je l'ignorais, je pensais que cela relevais plus du droit civil.
Je ne suis pas très calé en droit pénal, notamment quant aux questions de responsabilités de l'employeur et de l'employé.

j'aimerais croire que j'aurai assez de volonté pour utiliser mon droit de retrait...

Je ne pense pas que cela relève du droit de retrait.

Et j'ignore quel(s) droit(s) on pourrait faire valoir dans de telles circonstances, il faudrait que je creuse pendant le WE.

[Bigb]

Incroyable quand même de laisser ce type d'accès... Après on vient nous chercher des poux avec du chiffrement et tout et tout... J'espère que Darty a commencé à se pencher sur le RGPD/GDPR, parce que ca risque de faire mal

[tanaka59]

Incroyable quand même de laisser ce type d'accès... Après on vient nous chercher des poux avec du chiffrement et tout et tout... J'espère que Darty a commencé à se pencher sur le RGPD/GDPR, parce que ca risque de faire mal

On parle de Darty ... mais combien de sites sont potentiellement en infraction ?

Une simple chose , les fameux "Google Dork" ... le nombre de site web qui "fuitent" , qui sont mal configurés et laissent des données en open bar via une simple recherche Google ... Il y en a des dizaines si ce n'est des centaines !

Une erreur toute conne , on va bien rire le 26 mai au matin . Un site web lambda paramètre mal son fichier de gestion des abos à la newsletter ... Et hop c'est peut être , 100 , 1000 voir 10000 mails dans la nature ouvert aux 4 vents ...

[clementmarcotte]

Bonjour,

Est-ce qu'une société cliente peut attaquer une société fournisseur en justice parce qu'il y a des failles de sécu dans l'absolu, même énormes ? Ça dépend pas du contrat ?

Le problème c'est que souvent on a ça avec les logiciels :



Ce qui en français signifie, tu choisis d'utiliser le logiciel, très bien, mais aucun dommage d'aucune sorte ne peut être porté à la responsabilité des auteurs du logiciel.

Au Québec, et probablement aussi dans d'autres juridictions, il est interdit d'utiliser des clauses de non responsabilité. S'il y en a une, elle est généralement non-applicable. Mais bon, vaut peut-être mieux de consulter un avocat avant, quand les conséquences pourraient être néfastes. Cela peut aussi être différent si le client est un individu ou une entreprise.