Les risques juridiques d'une gestion mal maitrisée du système d'information

Par Régis Lechien avocat spécialisé
dans le droit du multimédia et des systèmes d'information

Comment s'assurer que le système d'information de sa société est bien conforme avec la  réglementation ? Qui est responsable de quoi ? Le séminaire que nous organisons le 21 septembre 2010, en partenariat avec la société Kaspersky, a pour objet de faire le point sur la sécurité sous tous ses aspects et notamment sous l'angle juridique avec le concours de maître Régis Lechien, avocat spécialisé dans ces questions qui indique dans cet article les principaux thèmes de son intervention.

Il est nécessaire de prendre conscience de l'existence d'une réglementation spécifique régissant les systèmes d'information, l'informatique n'étant pas une zone de non droit.

Toute entité, qu'il s'agisse d'une société de droit privé ou d'une collectivité, se doit donc de vérifier la conformité réglementaire de son système d'information, cette vérification prenant en compte les conditions de son exploitation. Elle se doit d'assurer ou de faire assurer une veille réglementaire dans ce domaine.

La question de la conformité juridique de l'exploitation du système d'information touche de nombreux domaines : l'accès internet, l'hébergement, la maintenance ou l'assistance par exemple.

Conformité de l'exploitation

L'accès Internet doit obéir à un cadre règlementaire. Les relations avec les fournisseurs d'accès internet (FAI), les hébergeurs, les fournisseurs de matériel doivent être juridiquement sécurisés.

Il est nécessaire pour cela d'être informé des règles : dans l'exemple d'un FAI, quelles prestations doit fournir celui-ci ? Quelle doit être la disponibilité de la liaison ? Quelles sont les procédures en cas d'incident ? Y a-t-il des limitations de responsabilité ? Qu'en est-il des réseaux P2P, quelles traces sont conservées, ... ?

Autre exemple, celui de la maintenance et de l'assistance. Toute société doit vérifier que les contrats de maintenance précisent les délais d'intervention horaires, les obligations de résultats, de moyens, les modalités d'information, de compte rendu, les conséquences en cas de cessation du contrat...

Ces obligations dépendent du secteur, la réglementation traitant différemment les données en fonction de leur nature, les données médicales ou bancaires faisant l'objet d'une attention particulière du fait de la réglementation (décret confidentialité, système de paiement Européen (SEPA)...

Les règles d'utilisation du système d'information

Il convient également de considérer l'aspect utilisation du système d'information.

Pour les utilisateurs, c'est-à-dire les employés ou les usagers, il convient de définir un cadre juridique à l'utilisation du système et de ses ressources. Il faut prévoir la sauvegarde des données, la gestion des droits d'accès, l'encadrement de l'utilisation privée ou personnelle de machines, point important dans la mesure où les utilisateurs ont parfois tendance à faire une utilisation personnelle des équipements mis à leur disposition par l'entreprise.

Tous ces aspects se doivent d'être définis au moyen d'une charte d'utilisation de l'informatique qui précisera par exemple le cadre d'utilisation de réseaux sociaux comme Facebook mais servira également à avertir les employés de ce qu'il est licite ou non de faire sur Internet.

Ainsi, un employé pourra être autorisé à utiliser un forum ou un réseau social si ceci est nécessaire à son activité alors qu'un autre pourra être responsable d'un usage abusif de ces derniers si cela est étranger à son travail.

La protection des données

La protection des données traitées par le système est également un point crucial du respect de la réglementation.

Ces données informatiques font partie du patrimoine et des actifs de l'entreprise sur les plans juridiques et comptables. Ces données peuvent être les emails, les échanges ou traces d'échange avec des tiers, les données stockées relatives aux clients, aux patients, aux administrés ...

On ne compte pas les fuites frauduleuses ou accidentelles de données toutes susceptibles de représenter un préjudice important pour une structure : favoriser la concurrence, porter atteinte aux droits des clients ou des administrés, entacher l'image et la réputation de l'entreprise...

Ces différentes informations sont protégées par un cadre réglementaire qui définit les règles en matière de protection, de sécurisation et qui prévoit les mesures de protection contre le vol et les usages à mauvais escient.

à ce titre, la loi informatique et liberté met en place un cadre très strict dès lors qu'une donnée revêt un caractère personnel. Le non-respect de ce cadre peut même conduire à ce que les données soient considérées comme dépourvues de validité juridique en cas de litige, par exemple si elles sont effacées ou perdues...

Une réglementation touchant les différents domaines du droit :

La règlementation traitant de l'informatique touche la plupart des domaines :

On trouve des textes en matière pénale définissant des agissements, des comportements délictueux pénalement réprimés, notamment des atteintes à la loi informatique et libertés, l'atteinte à la vie privée, le défaut de sécurité ou encore le piratage (loi Hadopi).

A titre d'exemple, en cas de non-conformité avec la loi informatique et libertés, il peut être impossible de porter plainte contre un vol de fichier, ou contre son utilisation abusive.

Sur le plan civil, des textes prévoient la réparation d'un préjudice en cas de perte de données, de vol de données, d'un fichier par un concurrent, ou encore le fait de porter atteinte à une personne en affichant des expressions injurieuses sur des forums.

Enfin, sur le plan du droit social : de nombreux textes régissent le statut des salariés, des fonctionnaires, de nombreux points encadrent les systèmes permettant une surveillance de l'activité. De plus en plus souvent, l'objectif est de mettre en oeuvre la traçabilité des informations tout en respectant les règles légales basées sur le principe de loyauté et sur la proportionnalité des mesures mises en  oeuvre.

La question de la responsabilité

La veille réglementaire et la mise en conformité à la réglementation deviennent des instruments cruciaux dans le cadre de la sécurisation de l'activité.

La responsabilité qui pèse sur le dirigeant d'une structure est importante lorsqu'il ne dispose pas des moyens pour identifier les utilisateurs et les pratiques autour de son système d'information. De même, dès lors que les procédures et les outils ne sont pas en place, ou n'ont pas été validé par un professionnel, c'est la structure qui peut être mise en cause et amenée à supporter elle-même le préjudice qu'elle subit.

En effet, le non-respect de la loi informatique et liberté, l'absence d'information des employés de l'existence d'une surveillance, l'absence de charte d'utilisation du système d'information définissant les droits et obligations des utilisateurs sont autant de lacunes qui peuvent engager une responsabilité directe ou venir polluer de manière incidente un conflit entre la structure et un de ses employés, ou encore un tiers, un fournisseur...

Lettre d'information N° 1 - AT&MIS Nantes           Infogérance - Intégration & Déploiement - Maintenance informatique retour