01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Le droit, outil de management de la sécurité technologique

Logo HAAS 2022

Analyse

« Tout homme qui est mal informé ne peut s’empêcher de mal raisonner » Colbert

L’incontournable introduction des technologies dans les entreprises génère des risques que les agents économiques doivent aussi manager grâce à l’outil juridique. Même incertain, le risque doit être maîtrisé, tant sur le plan technique que juridique, pour en réduire les effets et aussi valoriser le patrimoine informationnel de l’entreprise.

1. Prédire l’imprévisible, c’est possible

                   « Poser les questions, c’est les résoudre «  » Albert Einstein

Aujourd’hui, on traite le risque dans son sens philosophique, c’est-à-dire celui de la prise de risque, plutôt que sa couverture.

La société moderne tout entière est organisée autour du risque, selon le sociologue allemand Ulrich Beck ( » La société du risque « ) ou encore de la rupture, c’est-à-dire de soudaines transitions d’un état stable à une situation de crise. Ce n’est pas, que cette société serait plus risquée qu’une autre et que nous devrions faire face à davantage de risque que jadis, mais plutôt parce que c’est à travers le risque que l’homme prend conscience de lui-même. Autrement dit, lorsqu’il prend conscience de lui-même comme individu, l’homme découvre que ses possibles dépendent moins de lui que de décisions prises par d’autres.

Pour certains, l’entreprise devant être organisée autour du partage du risque, elle présenterait avant tout comme une association d’hommes et de femmes qui partagent les risques de succès( par l’aménagement des formes de rémunération) ou d’échec d’un projet (par diverses formes de mutualisation qui n’abandonnent personne).

Pour d’autres, il convient de définir les risques qui relèvent de la gestion de l’entreprise dans les relations de travail ( accident du travail, formation, etc. ) et ceux qui doivent être pris en charge par la société globale (maladie, intempéries…)

Ainsi, au niveau des entreprises, la maîtrise du risque fait désormais partie intégrante du management, il sert à désigner toutes les menaces dont il faudrait se protéger ou les dommages qu’il faudrait indemniser.

C’est aussi, l’attitude adoptée face au risque qui va différencier les agents économiques car la situation devient risquée lorsque son issue n’est pas totalement maîtrisée par son initiateur.

1.1. Ajuster la mesure au type de risque

Les entreprises prendront des mesures allant de la simple précaution à la gestion de la responsabilité, selon le type de risque :

• potentiel : il faut alors l’évaluer et prendre toute précaution juridique

• avéré : il n’existe pas encore mais nécessite des actions de prévention juridiques ( mises en garde…)

• inexcusable : il est alors indispensable de gérer le risque de responsabilité, contractuelle ou délictuelle, par le bais du contrat.

Notamment, la rédaction de la clause de cas de force majeure fera l’objet d’un soin particulier. Elle peut en effet exonérer de responsabilité contractuelle si le risque constitue u un événement imprévisible, insurmontable et extérieur aux parties. Il n’y aura ainsi « lieu à aucun dommages et intérêts lorsque par suite d’une force majeure…. le débiteur a été empêché de faire ce à quoi il s’était obligé ou a fait ce qui lui était interdit » au titre de l’article 1148 du Code civil. De la même façon, sur le plan délictuel, la preuve d’un cas de force majeure supprimera la responsabilité de celui qui cause un dommage à autrui de son propre fait ou du fait de personnes dont il répond ou d’une chose qu’il a sous sa garde, prévue par l’article 1384 du Code civil.

1.2. Manager le risque avec méthode

Cette gestion du risque doit s’effectuer dans une perspective temporelle : d’une part, le risque d’aujourd’hui c’est la possibilité d’un dommage ou d’un gain demain ; d’autre part, le temps doit permettre d’éviter que les risques se répètent.

La gestion du risque doit aussi être appréhendée individuellement par chaque agent économique.

La sécurité des systèmes d’informations nécessite enfin, outre des ressources économiques et technologiques, le recours à des outils juridiques. Le droit contribue en effet à améliorer la sécurité informatique car il fixe une norme et sera utilisé comme instrument de solution des conflits.

Des mesures juridiques pourront ainsi être prises à titre préventif (notamment au niveau des dispositions contractuelles, des délégations pénales) pour réduire les responsabilités (risques et conséquences dommageables – prévisibilité du domaine de responsabilité de chacun, quantum des réparations en cas de mise en cause). Et à titre curatif, via un contrôle formel et normatif dans l’entreprise.

C’est la mise en œuvre d’une démarche volontaire, planifiée, méthodique et globale qui constitue la meilleure garantie pour les entreprises de gérer leurs responsabilités et maîtriser leur destin. A défaut, une bulle de risques va se former dans l’entreprise, sans qu’elle en ait forcément conscience. Et elle risque d’éclater d’un moment à l’autre.

2. Mieux connaître les risques d’atteintes, c’est déjà s’en prémunir

                  » Lorsqu’on s’est trompé, il faut persévérer, cela donne raison  » Napoléon

L’entreprise se protégera d’autant mieux si elle connaît les atteintes dont elle risque de faire l’objet. Ceux-ci peuvent provenir de l’intérieur comme de l’extérieur.

2.1. Risque interne : l’utilisation des outils informatiques par les salariés

La Cour de cassation a considéré, le 2 octobre 2001 que les correspondances électroniques sont protégées par le secret des correspondances. Dans cette affaire, un employeur, qui avait expressément interdit l’usage personnel des ordinateurs par ses salariés, découvre que l’un d’entre eux exerçait une activité parallèle pendant son temps de travail et utilisait à des fins personnelles du matériel mis à sa disposition par la société. Le salarié, licencié pour faute grave, a contesté en justice son licenciement. La Cour d’appel de Paris l’a débouté sur la base des mails produits par l’employeur attestant de cette activité parallèle. La Chambre sociale de la Cour de cassation a cassé cet arrêt.

L’employeur ne peut dès lors prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, même lorsque l’employeur a interdit une utilisation non professionnelle de l’ordinateur. Les chartes informatiques ne suffisent donc pas à autoriser une stricte surveillance.

Autre risque interne : l’usage des outils informatiques pour nuire à l’entreprise

En revanche, tout abus d’utilisation personnelle reste sanctionnable. D’ailleurs, les juridictions de première instance sanctionnent l’usage par des salariés ( ou anciens salariés) des outils informatiques dans l’intention de nuire à leur employeur (ou ancien employeur).

Ainsi, le fait pour un salarié licencié d’envoyer à ses anciens collègues, sur la messagerie mise à leur disposition sur le lieu de travail, des messages les invitant à consulter un site au contenu dénigrant leur employeur, constitue une faute justifiant la condamnation de l’intéressé à réparer le préjudice qui en est résulté (TGI Paris, 9 mai 2001, Sté S
age France SA c/ Duarte).

De la même façon, un salarié a été condamné pour avoir utilisé Internet dans le seul but de saturer le système informatique de son ancien employeur (TGI Lyon, 20 février 2001, Procureur de la République près le TGI de Lyon c/ Combe).

2.2. Risque externe : l’escroquerie via le net

L’entreprise peut aussi être victime d’escroquerie sur le réseau. Le CLUSIF a dressé un inventaire des types d’escroqueries sur Internet :

• rumeurs pour faire monter ou chuter les cours de la bourse

• conseils payants pour placements boursiers fantômes

• conseils pseudos indépendants, en fait rémunérés par certaines entreprises intéressées

• systèmes pyramidaux, dans lesquels les personnes escroquées sont encouragées à recruter d’autres futures victimes par la promesse de gains supérieurs

• sites web vitrines de fausses sociétés

• sites web usurpant l’apparence de vraies institutions financières

• achats en ligne sans livraison de biens

Face aux menaces inquiétantes liées à la circulation de rumeurs, la COB a émis, au mois de juillet 2001, un avis sur les forums de discussions. Elle a rappelé que toute manipulation financière, même engendrée par une simple discussion sur un forum, est passible de deux ans de prison ainsi que d’une amende pouvant aller jusqu’à 900 000 euros.

2.3. Autre risque externe : le fléau des virus

Les virus se développent et se multiplient, provoquant de lourds dégâts. Un virus peut par exemple, au-delà de la perte de fichiers, falsifier la date de renouvellement des marques et des brevets de l’entreprise, puis effacer toute trace de passage du virus.

3. Mettre en place des instruments de mesure des risques

 » Il faut se méfier des ingénieurs, ça commence par la machine à coudre et ça finit par la bombe atomique  » Marcel Pagnol

Des procédures internes de valorisation et de mesure des risques de défaillance statistique (panne d’une machine) ou structurelle doivent permettre la mise en place des modalités de régulations destinées à dissoudre cette sphère de risques technologiques.

3.1. Sécuriser les infrastructures

Le monde technologique est dangereux. Les entreprises doivent sécuriser leurs infrastructures et sauvegarder leurs données. Bref, l’heure est à la sécurité informatique et au stockage.

La sécurité logique (collecte des journaux d’enregistrement, logs des serveurs et postes de travail de l’entreprise) ainsi que la sécurité physique (équipement de contrôle de l’accès au locaux, badges etc.) constituent des solutions complémentaires indispensables dans les stratégies sécuritaires.

3.2. Centraliser les accès aux postes et applications

L’entreprise doit obtenir une vue générale des accès de chaque salarié, qu’il passe une porte ou se connecte à un ordinateur pour accéder à son e-mail ou à une base de données clients. Ces données doivent être constamment enregistrées et analysées afin de permettre de relever les comportements anormaux et de les signaler à l’administrateur réseau.

3.3. Disposer d’instruments d’analyse et de mesure de la vulnérabilité du système informatique

La dépendance des entreprises à l’égard de leur système informatique s’accroît régulièrement. Or dans le meilleur des cas, si l’entreprise subit des pertes consécutives à une dégradation matérielle, l’assureur n’indemnisera que l’opération de back-up de données.

La question du management des risques informatiques devient donc fondamentale : l’entreprise doit mesurer son risque de sinistralité informatique et ses conséquences.

Cette analyse du réseau doit ensuite être suivie dans le temps ( recensement régulier des vulnérabilités, logiciel de surveillance, analyse de performance, etc.) et être complétée par un suivi juridique permanent des réalisations.

3.4. Réaliser une évaluation des facteurs de risques

L’entreprise doit auditer les risques induits par :

• l’utilisation des systèmes de surveillance (caméras, badges…)
• l’utilisation des technologies de l’information ( web, e-mail…)
• le respect de la loi Informatique et libertés
• la confidentialité
• le contrat informatique sous l’angle de la sécurité et de la gestion juridique des risques (analyser les vulnérabilités au moyen d’une grille reprenant les principaux risques, dresser les points de faiblesse et renforcer la sécurité juridique via des avenants de sécurité)
• le secret de fabrication
• le lobbying
• l’intégrité des salariés

4. Perfectionner les mesures de sécurité juridiques

 » les grandes questions de responsabilité morales ne doivent pas
nous faire perdre de vue les questions d’ordre et de comptabilité « 
Casimir Perier

La sécurité est souvent définie par son contraire : elle serait l’absence de danger, de risque, d’accident ou de sinistre. Le droit la définit ainsi par rapport à la notion de défaut. La loi du 19 mai 1998 sur la responsabilité du fait des produits défectueux précise ainsi qu’un produit « qui n’offre pas la sécurité à laquelle on peut légitimement s’attendre » est un produit « défectueux ».

Au sens de l’article 1386-4 du Code civil, la sécurité aurait ainsi pour finalité de rendre nos actes efficaces, et donc de rendre prévisible le résultat de ces actes, ainsi que d’assurer le respect de la loi et de la réglementation en vigueur. La loi de 1998 donne une définition circonstancielle de la sécurité :  » Dans l’appréciation de la sécurité à laquelle on peut légitimement s’attendre, il doit être tenu compte de toutes les circonstances et notamment…..« . et fixe les règles de responsabilité en cas de défaut de sécurité d’un produit.

Appliquée à la matière informatique, la sécurité regroupe l’ensemble des moyens et des actions destinés à maintenir en exploitation opérationnelle un système d’information ainsi qu’à en protéger les accès, les programmes et les données.

Les entreprises doivent envisager les démarches nécessaires à maîtriser l’évolution de leur environnement, à protéger le pouvoir gestionnaire du chef d’entreprise et leur image de marque. Concrètement, elles doivent :

• lister les actions prioritaires à mener
• se fixer un échéancier de réalisation
• rédiger ou amender les documents tels que contrats, chaîne des processus et des engagements de responsabilités, chartes régissant l’utilisation de l’accès à l’intranet et internet, règlement intérieur
• consulter les représentants du personnel
• sensibiliser le personnel
• diffuser les informations
• former les managers, salariés et leurs représentants

La gestion des risques technologiques concerne en effet plusieurs acteurs de l’entreprise : l’employeur bien sûr, qui engage sa responsabilité civile et pénale, mais aussi les managers qui vont aider l’employeur à déterminer les données à risques (directeurs des achats, DRH, DSI, directeurs de la communication, directeurs commerciaux, directeurs juridiques).

Au-delà des métiers, ce sont les fonctions même dans l’entreprise qui évoluent au contact des NTIC. La sécurité sera d’autant plus efficace que ces différents départements seront coordonnés.


 » La bouse de vache est plus utile que les dogmes ; on peut en faire de l’engrais  » Mao Zetong

Le risque ainsi géré, loin de constitue
r un coût pour l’entreprise, deviendra alors un véritable investissement de sécurité.

Il servira, en effet, à évaluer le patrimoine informationnel de l’entreprise : le coût supporté pour mettre en place une méthodologie, sortir des rapports réguliers d’évaluation et instaurer une vraie politique de sécurité valorisera directement les données traitées par l’entreprise.


ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com