01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Sensibiliser l’entreprise au risque « sécurité informatique » ?

securite informatique

Par Stéphane ASTIER, Avocat à la Cour et Paul BENELLI, Avocat à la Cour

 

La gestion juridique du risque informatique est aujourd’hui au cœur des débats menés au sein des Directions Informatiques des Entreprises. En effet, avec la recrudescence des attaques informatiques les DSI doivent se doter d’outils juridiques performants venant compléter les dispositifs techniques de protection.

Des grandes entreprises aux TPE/PME, force est de constater que les failles de sécurité et autres incidents – d’origine interne comme externe – relatifs aux systèmes d’information, concernent l’ensemble des acteurs de l’économie : vol de fichier, crash de serveur rendant inaccessible un site Web, modification frauduleuse des données clients, etc. les hypothèses ne manquent pas et appellent une réaction concertée entre les différentes directions de l’entreprise.

Le risque informatique impose en effet la mise en place de normes de bonne gouvernance impactant l’ensemble du fonctionnement de l’Entreprise.

Le juridique se trouve ici au cœur de la machine.

Ces derniers mois, les cyberattaques se sont multipliées et ont fait l’objet d’une grande médiatisation. Alors qu’elles n’étaient hier que de simples piratages isolés, les failles de sécurité et autres « prises d’otages » numériques défraient la chronique à un rythme frénétique.

Ainsi, entre 2013 et 2014, le nombre de cyberattaques a ainsi augmenté de 120% dans le monde, soit en moyenne 320 millions d’attaques par jour ou 3.700 attaques par seconde (1) .

Les plus grandes entreprises ont ainsi été la cible de telles attaques :

Septembre 2013 : Vodafone GmbH, deuxième opérateur mobile allemand, est victime d’un piratage à l’occasion duquel les données de près de deux millions d’abonnés sont dérobées (2) .
Avril 2014 : Orange est victime d’une intrusion informatique qui a abouti au vol de données de plus d’un million trois cent mille abonnés (3).

Les grandes entreprises ne sont pas les seules victimes puisqu’en 2012, 87% des petites entreprises (4) avaient déjà été victimes d’une faille sécurité.

De surcroît, si le nombre de ces attaques peut paraître important, il s’associe à un risque financier considérable puisque le coût moyen, en 2014, d’une faille de sécurité était évalué à 3,5 millions de dollars (5) .

La sécurité des systèmes d’informations est un sujet majeur qui concerne chaque acteur, quel que soit sa taille ou sa structuration…

L’inquiétude est d’ailleurs d’autant plus justifiée que seuls 14 % des chefs d’entreprises estiment être parfaitement au fait de la législation en vigueur dans le domaine de la protection des données personnelles (6) .

A cela s’ajoutent de nouvelles pratiques qu’il convient d’appréhender juridiquement pour en encadrer efficacement la mise en œuvre au sein de l’entreprise. A titre d’exemple, on peut ainsi évoquer :

le phénomène du BYOD (Bring Your Own Device), qui consiste pour les salariés à se connecter avec leurs objets personnels tels que smartphones, tablettes, sur les systèmes d’information de leur société. Cette pratique est en effet source de nombreuses problématiques en termes de confidentialité et de sécurité des systèmes d’information dès lors qu’elle n’est pas strictement encadrée (Pour en savoir plus : BYOD: Tous à vos chartes ! ),
– l’utilisation de solutions « Cloud », qui implique de maîtriser les risques juridiques par l’intermédiaire de la contractualisation alors que ces solutions sont souvent proposées dans le cadre de contrats d’adhésion avec des Sociétés Anglo-Saxonnes ne présentant pas forcément les garanties imposées par la loi française et européenne en matière de protection des données à caractère personnel (Pour en savoir plus : Maîtrise juridique des risques & Solution Cloud ).

Les données, véritable or noir de l’entreprise, impliquent une attention toute particulière, tant au niveau de la richesse qu’elles sont susceptibles de générer (7), qu’au niveau des risques d’exploitation.

En tout état de cause, le risque de failles de sécurité expose le dirigeant d’entreprise à des sources d’engagement de responsabilité (1.), responsabilité qui peut également directement concerner les DSI (2.).

Il est donc primordial d’anticiper ces risques (3.), grâce à des solutions juridiques adéquates (4.).

1. La responsabilité de l’entreprise et du Chef d’entreprise

Au sens de la loi Informatique et Liberté, le responsable d’un traitement de données à caractère personnel est la personne qui détermine les finalités et les moyens (8) du traitement alors qu’un sous-traitant est considéré comme toute personne traitant les données pour le compte du responsable de traitement (9).

a) La responsabilité de l’entreprise en cas de faille de sécurité

En cas de défaillance de ses systèmes informatiques, une entreprise peut donc voir sa responsabilité engagée en raison de sa qualité de responsable de traitement ou de sous-traitant pour l’atteinte aux données personnelles.

L’article 34 de loi Informatique & Libertés dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

En conséquence, pèse sur l’entreprise l’obligation de prendre toutes les mesures nécessaires pour garantir la sécurité des données. Le non-respect de cette obligation est réprimé par l’article 226-17 du Code pénal par cinq ans d’emprisonnement et 300.000 euros d’amende.

Notons que cette obligation concerne l’entreprise quand elle relève du statut de responsable de traitement. Une responsabilité contractuelle pourra également être recherchée dans l’hypothèse où l’entreprise agit en tant que sous-traitant pour le compte du responsable de traitement. En effet, en application de l’article 35 de la loi, « (…) Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. (…) Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

b) Les cas d’engagement de responsabilité du chef d’entreprise

Qu’en est-il du risque d’engagement de responsabilité pénale du dirigeant ?

Classiquement et en dehors d’une faute détachable ou séparable de ses fonctions, le dirigeant d’entreprise n’a pas vocation à engager personnellement sa responsabilité sur le plan pénal. La loi informatique et libertés constitue toutefois un axe d’extension de ce type de responsabilité dès lors que l’on se situe dans des cas d’atteinte à la personne.

En effet, le dirigeant d’une entreprise pourra voir sa responsabilité engagée s’il ne met pas en œuvre dans son entreprise les mesures adéquates pour préserver la sécurité des données informatiques à caractère personnel aux visas des articles 226-16 à 226-24 du Code pénal « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi ».

2. La responsabilité du DSI en cas de faille de sécurité

La responsabilité pourra également être recherchée en cas de délégation de pouvoirs.

c) La validité de la délégation de pouvoirs

La responsabilité du DSI peut directement être recherchée dès lors qu’il dispose d’une délégation de pouvoirs valable.

D’après la jurisprudence en la matière (10), la délégation de pouvoirs, pour être valable, doit respecter les conditions suivantes :

 Etre établie par une personne disposant de pouvoirs, de légitimité,
 Etre justifiée dès lors que le délégant est dans l’impossibilité d’assumer seul la tâche,
 Etre établie envers un préposé du chef d’entreprise,
 Etre expresse, limitée et précise. La faute commise doit entrer dans le champ de l’objet de la délégation,
 Le délégataire doit avoir la compétence, l’autorité et les moyens nécessaires pour assurer la réalité de la délégation.

En tout état de cause, la responsabilité du DSI ne pourra être engagée que s’il est prouvé qu’il a commis une faute.

d) La faute du DSI

Pour être considéré comme fautif, le DSI doit ainsi avoir été à l’origine de la faille de sécurité ayant entraîné l’infraction pénale.

A ce titre, la faute du DSI pourra par exemple être constituée dès lors que :

 Le DSI a accédé au système d’information pour une finalité étrangère à son habilitation tout en ayant eu la volonté et la conscience de commettre ce délit (article 323-1 et suivant du Code pénal).
 La faille de sécurité résultera d’une négligence de sa part.

3. Typologie des risques

Malgré l’amélioration des outils techniques visant à assurer la sécurité des systèmes d’information, les entreprises sont régulièrement victimes de vols de données.

Or le défaut de confidentialité et de sécurité des données a de multiples conséquences, tant financières (a) que commerciales (b).

a) Les pertes financières :

Le Parlement européen indique, dans une position arrêtée en première lecture le 4 juillet 2013, que « des cyberattaques à grande échelle sont susceptibles de provoquer des dommages économiques notables, tant du fait de l’interruption des systèmes d’information et des communications qu’en raison de la perte ou de l’altération d’informations confidentielles importantes d’un point de vue commercial ou d’autres données. » (11)

A titre d’illustration, le 24 novembre 2014, la société Sony a été victime, par sa filiale américaine Sony Picture Entertainment, d’une attaque sur ses systèmes d’informations.

Cette attaque orchestrait le vol de fichiers de données à caractère personnel concernant 47.000 personnes, de 33.000 documents confidentiels mais également de cinq films, au rang desquels « The Interview » dont la sortie était prévue au 25 décembre 2014.

En 2011, Sony avait subi un premier piratage qui avait fait chuter son cours de bourse de près de 5%. A ces pertes boursières s’étaient ajoutés le coût de la maintenance, de la sécurisation du réseau et des compensations pour les consommateurs, ainsi qu’une sanction pécuniaire de 250.000 livres prononcée en janvier 2013 par l’autorité de protection des données britannique (12).

b) Le préjudice commercial par atteinte à l’image de marque

En affichant publiquement le caractère perméable de son système d’information, toute société s’expose à de graves atteintes à sa réputation.

L’enjeu pour toute entreprise est donc de sécuriser au mieux ses systèmes d’informations afin de limiter les risques de cyberattaques pour garantir la légitimité de la confiance accordée par ses clients.

Les cas de sanctions prononcées par la CNIL et prenant la forme d’avertissements publics sont à ce titre nombreux et révèlent des effets dévastateurs en terme d’image.

A titre d’exemple, on peut citer le cas de la Société Orange qui, alors qu’elle a vu son système piraté en Avril 2014, a notifié ce vol massif de données personnelles à la CNIL.

Suite à cette notification, la Commission a décidé de sanctionner la société Orange en émettant un avertissement public décrivant comment Orange avait manqué à ses obligations de sécurité et de confidentialité (Pour en savoir plus : ORANGE avertie par la CNIL suite à une faille de sécurité ).

4. Quelques pistes de réponses juridiques au risque « sécurité informatique »

a) Réaliser un audit de traitement [Label CNIL]

Anticiper le risque de sécurité informatique suppose en amont de disposer d’un état du système d’information de l’entreprise, des traitements mis en œuvre ou encore des différents dispositifs tant techniques que juridiques existant pour assurer le respect des obligations légales (Cf. notamment l’obligation générale de sécurité visée à l’article 34 de la loi informatique et libertés – Cf. supra)

Depuis plusieurs années, la CNIL a créé un label « Audit de traitements » permettant notamment, à travers une procédure spécifique d’analyser et d’agir rapidement pour :

– Faire un état des formalités préalables auprès de la CNIL à réaliser ou à actualiser ;
– Anticiper les risques de sanctions civiles, pénales et les actions de nature à nuire à l’image de la Société ;
– Réparer et assainir la gestion des données collectées ;
– Anticiper un contrôle de la CNIL sur les données collectées ;
– Cartographier les flux de données ;
– Cartographier les traitements de données réalisés ;
– S’assurer que les éventuels traitements de données réalisés sont conformes à la loi Informatique et libertés, et le cas échéant, relever les écarts ;
– Etablir un plan d’actions pour la mise en conformité des traitements.

b) Encadrer contractuellement les risques liés aux systèmes d’information

S’assurer contractuellement des mesures prises au titre de la sécurité et de la confidentialité des données constitue certes un impératif légal mais également un impératif stratégique et commercial.

Cela passe notamment par la sécurisation des clauses de responsabilité, de sécurité et de confidentialité des données, l’assurance d’une réversibilité efficace, la localisation et le transfert de données (Pour en savoir plus : Maîtrise juridique des risques & Solution Cloud).

c) Mise en place du « référentiel sécurité »

Ce « référentiel sécurité » peut notamment contenir les documents suivants :

 Une charte « utilisateur des SI » : l’objet de cette charte qui a vocation à être intégrée au Règlement Intérieur de l’Entreprise est d’encadrer l’utilisation des différents outils de communication mis à disposition des salariés de l’entreprise et, plus généralement de toute personne habilitée à y accéder (sous-traitants, stagiaires, prestataires, etc.)

 Une charte « Administrateur des SI » : document dédié à encadrer la fonction d’administrateur des systèmes d’information, notamment au regard de l’engagement de confidentialité

 Une politique d’habilitation : outil destiné à fixer le cadre des habilitations au regard du fonctionnement des SI et des niveaux d’accès à ces différentes typologies de contenus. Cette politique d’habilitation est essentielle pour assurer la confidentialité des données sensibles de l’entreprise.

 Une politique de durée de conservation des données et d’archivage : ce document consiste à formaliser par service et pour chaque catégorie de données conservées et traitées dans l’entreprise une procédure d’archivage et de purge permettant de respecter la loi informatique et libertés qui impose une durée de conservation proportionnée aux finalités desdits traitements (et exclut par là même toute conservation illimitée de données à caractère personnel)

 Une politique de gestion des incidents liés aux S.I : La politique de gestion des incidents, dont la mise en œuvre est préconisée par la norme internationale ISO 27035, est réalisée à la suite d’un audit des systèmes d’information de l’entreprise et a pour objectif de contenir les éléments suivants : typologie détaillée des sources de menaces et des impacts sur l’entreprise, définition d’une cellule de crise au sein de l’organisation de l’entreprise s’appuyant sur le support technique et juridique, création d’un processus juridique de réaction face à une attaque interne ou externe, outils permettant de réunir les preuves nécessaires au déclenchement d’une action en réponse efficace, aide au choix de l’action (etc.).

(Pour en savoir plus : Une réponse juridique aux besoins de la sécurité : la politique des gestions des incidents).

********

Le Cabinet HAAS Avocats a, depuis plus de 20 ans, développé son expertise auprès des acteurs de l’innovation et accompagne régulièrement ses clients sur les questions liées à la sécurité informatique.

Vous souhaitez en savoir plus concernant nos prestations :

– D’audits de traitements (label CNIL)
– D’élaboration / mise à jour du Référentiel Sécurité
– D’assistance contractuelle – Rédaction, consolidation des contrats informatiques
– De gestion des Contentieux informatiques
– De gestion de crise / Actions pénales en matière de cyberdélinquance
– Ou encore de formations

Cliquez ICI

[1] http://www.lemondeinformatique.fr/actualites/lire-le-cout-des-violations-de-donnees-en-hausse-de-9-aux-etats-unis-57375.html

[2] http://www.lefigaro.fr/flash-eco/2013/09/12/97002-20130912FILWWW00453-allemagnevodafone-vol-de-donnees.php

[3] http://www.lemonde.fr/technologies/article/2014/05/06/vol-de-donnees-chez-orange-1-3-million-de-clients-et-de-prospects-touches_4412570_651865.html

[4] information security breaches survey, réalisé par PwC, 2013 http://www.pwc.co.uk/assets/pdf/cyber-security-2013-technical-report.pdf

[5] http://www.journaldunet.com/solutions/expert/60102/securite-des-donnees—une-preoccupation-majeure-en-2015.shtml

[6]

[7] Voir par ex. dans le cadre de mise en œuvre de solutions Big Data – https://www.haas-avocats.com/actualite-juridique/loffre-big-data-entre-casse-tete-juridique-et-defi-ethique/

[8] Article 3 de la loi informatique et libertés n°78-17 du 6 Janvier 1978 modifiée

[9] Article 35 de la loi informatique et libertés n°78-17 du 6 Janvier 1978 modifiée

[10] notamment Cass.crim, 17 octobre 2000 n°00-80.308 ; Cass.crim, 26 juin 2001 n°00-87.717 ; Cass.crim, 8 décembre 2009 n°09-82.183 et les arrêts précités

[11] Proposition du Parlement européen arrêtée en première lecture le 4 juillet 2013 en vue de l’adoption de la directive 2013/40/UE du Parlement européen et du Conseil relative aux attaques contre les systèmes d’information et remplaçant la décision cadre 2005/JAI du Conseil

[12]

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com