Avec la multiplication des textes législatifs, des contraintes réglementaires en matière de sécurité et les nouvelles méthodes de communication et de partage de l’information, assurer la conformité juridique du système d’information de l’entreprise est devenu particulièrement complexe. La gestion juridique du risque informatique et les responsabilités associées sont plus que jamais au cœur des préoccupations du Directeur des Systèmes d’Information. Nous faisons ci-après le point sur les risques et les responsabilités auxquelles le DSI peut être exposé.

 

1. Les risques encourus par l’entreprise

Il ne se passe pas une semaine sans que les médias ne relatent des cyberattaques, fuites de données personnelles, ransomware, escroqueries au Président et autres incidents dont les entreprises sont victimes. L’entreprise (et par extension le DSI), bien que victime dans ces hypothèses, n’exclut pas pour autant sa responsabilité. A titre d’exemple, la responsabilité de l’entreprise peut être engagée pour défaut de sécurité des données personnelles. En effet, la loi Informatique et Libertés impose au responsable du traitement de mettre en œuvre des mesures de sécurité technique et physique visant à assurer l’intégrité et la confidentialité des données. L’entreprise peut alors être sanctionnée (sanctions administrative et pénale jusqu’à 300.000€ d’amende et 5 ans d’emprisonnement), même en cas de négligence. Ces sanctions, qui ont vocation à s’alourdir avec l’adoption prochaine du règlement européen, s’appliquent que la faille de sécurité provienne de l’entreprise ou de son sous-traitant (ex : prestataire d’hébergement).

 

Par ailleurs, l’action des salariés via le système d’information peut également être une source de responsabilité pour l’entreprise, et indirectement pour le DSI. A savoir notamment :

-  en cas d’intrusion non autorisée d’un salarié dans un autre système d’information, et ce à partir des moyens fournis par son employeur, l’atteinte à un STAD étant pénalement sanctionnée ;

- dans l’hypothèse où un salarié, toujours grâce aux ressources informatiques de l’entreprise, publie des contenus illicites (propos diffamatoires, injurieux et racistes), commet une escroquerie, ou encore procède au téléchargement illicite de contenus protégés par le droit d’auteur ;

- lors de l’utilisation de logiciels, en dehors des termes de leur licence, celle-ci étant, d’une part, susceptible d’entrainer des pénalités pour l’entreprise (en cas d’audit de licence l’éditeur) et, d’autre part, considérée comme un acte de contrefaçon réprimé pénalement (jusqu’à 3 ans d’emprisonnement 300.000€ d’amende).

 

Ces atteintes au système d’information et aux données de l’entreprise, ainsi que les autres infractions susmentionnées peuvent, en outre, avoir des conséquences indirectes particulièrement dommageables : pertes financières, perte de clientèle, atteinte à la réputation, désorganisation de l’entreprise, etc.

 

2. Les responsabilités auxquelles le DSI est exposé

 Le DSI peut engager sa responsabilité par la commission d’un acte positif, ou en cas d’une omission, d’une négligence ou d’une imprudence de sa part.

 

Ainsi, le DSI peut être responsable pénalement des atteintes et ses conséquences à la sécurité du système d’information, dès lors que :

- il dispose d’une délégation de pouvoir valable par le chef d’entreprise, à savoir notamment une délégation non ambiguë, précise, limitée à certains domaines et dans le temps, et acceptée par un délégataire disposant des compétences, de l’autorité et des moyens humain et financier nécessaires ;

- il a commis une faute personnelle à l’origine du sinistre ou de l’infraction constaté, et ce notamment s’il est démontré qu’il n’a pas pris des mesures de sécurité raisonnables visant à protéger le système d’information (ex : faille de sécurité entrainant une fuite de données).

 

Si sa responsabilité pénale est effectivement engagée, le DSI encourt des peines d’amende, d’emprisonnement et complémentaires, telles que l’interdiction d’exercer certaines activités ou certains droits.

Le DSI peut également engager sa responsabilité professionnelle en cas d’inexécution ou mauvaise exécution de son contrat de travail (et le cas échéant, du règlement intérieur). Des sanctions disciplinaires (avertissement, mise à pied, rétrogradation, etc.) ou un licenciement pourront être prononcés par l’employeur à son encontre, en cas de faute lourde notamment (ex : intention de nuire à son employeur).

A titre d’exemple, le recours à la sanction disciplinaire pourrait être envisagée dans l’hypothèse où, du fait d’une grave négligence, le DSI aurait laissé se propager un virus causant un sinistre à des tiers.

 

3. Les bons réflexes juridiques

 Afin de se prémunir contre la mise en jeu de la responsabilité de l’entreprise et/ou du DSI, voici quelques bonnes pratiques juridiques à mettre en place au sein de l’organisme.

L’édition ou la mise à jour d’une charte informatique est un premier exemple. Cette charte a vocation à encadrer l’utilisation d’internet, des ressources informatiques et du système d’information de l’entreprise par les salariés. Elle charte peut être complétée par une politique de sécurité SI afin d’organiser la gestion des accès et la traçabilité des incidents.

De même, une attention particulière doit être portée sur la contractualisation des délégations de pouvoirs mais également des relations avec les sous-traitants. Il est indispensable de verrouiller les contrats avec ces derniers et d’obtenir des sous-traitants, ayant accès au SI et aux données de l’entreprise, de solides garanties en termes d’intégrité et de confidentialité.

Enfin, il est recommandé d’anticiper l’entrée en vigueur du règlement européen portant sur les données personnelles (GDPR – General Data Protection Regulation, ou Règlement général sur la protection des données – RGPD) entre en application le 25 mai 2018. Parmi les actions à mener on peut citer : réaliser un audit CNIL, réfléchir à la mise en œuvre de procédures internes formalisées (études d’impact, analyses de risques, et codes de conduite), rédiger une politique de vie privée prenant en compte le principe de « Privacy by Design » et désigner un délégué à la protection des données (DPO), facilitant la mise en conformité de l’entreprise à la loi.

FavoriteLoadingAjouter à mes favoris

2 Responses

  1. Prestataire informatique

    Le juridique n’est qu’un aspect mineur dans la cybersécurité. On sait par exemple que les grandes banques incluent les éventuelles amendes dans leurs budgets annuels, mais la sécurisation des données personnelles des clients reste sur la paille. Le problème ne se résout donc pas à coup de textes lois mais par une prise de conscience interne par chaque entreprise et un renforcement de la procédure de sauvegarde.

    Répondre
  2. Prestataire informatique

    Les entreprises paient le prix fort avec le piratage informatique actuel. En plus, de voir leur système informatique être infiltré, les leaders doivent payer une amende pour négligence et peuvent être emprisonnés pendant des années. Ainsi, garantir la confidentialité des informations est essentiel non seulement pour éviter le piratage mais aussi pour ne pas subir des sanctions.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.