L’ouverture des entreprises au réseau internet s’est
accompagnée de nouveaux risques juridiques, aggravés
par un durcissement législatif en terme de responsabilité.
En effet, les défaillances de sécurité, qui
rendaient hier l'entreprise victime en cas d’intrusion ou
d’entrave à son traitement automatisé de
données,
peuvent désormais la rendre responsable, voire coupable. Ce
peut être le cas, par exemple, lorsqu'une faille de sécurité
permet l'accès aux données de l'entreprise ou lorsqu'un
virus est rediffusé à travers elle.
Les sanctions pénales en cas d’atteinte au traitement
automatisé de données
Le fait d'accéder ou de se maintenir frauduleusement
dans un système de traitement automatisé de données
est puni de deux ans d'emprisonnement et de 300 00 euros
d'amende.
Lorsqu'il en résulte une suppression ou modification des
données contenues dans le système, ou une altération
de son fonctionnement, la peine est de trois ans d'emprisonnement et
de 45000 euros d'amende.
De plus, le fait d'entraver ou de fausser le fonctionnement d'un
système de traitement automatisé de données, d’y
introduire frauduleusement des données, de supprimer ou
modifier frauduleusement les données qu'il contient est puni
de cinq ans d'emprisonnement et de 75000 euros d'amende.
Enfin, les personnes physiques coupables de ces délits
encourent des peines complémentaires dont notamment
l'interdiction, pour une durée de cinq ans au plus, d'exercer
l'activité professionnelle ou sociale à l'occasion de
laquelle l'infraction a été commise.
Toutefois, force est de constater que le durcissement pénal
des atteintes aux systèmes des données n’est pas
appliqué, en raison du faible nombre de victimes qui portent
plainte. Et lorsque c’est le cas, les peines prononcées
demeurent modestes.
Ainsi, le gérant d’un portail commercial, spécialisé
dans le divertissement à caractère pornographique, a
porté plainte à la suite d’un courrier
électronique lui demandant de fermer son site internet ou
d’accepter son rachat pour 3000 € par mois sous menace
d’attaques Dos (Déni de service, Denial of service).
Dix jours après l’envoi de cette missive électronique,
le site faisait l’objet de plusieurs attaques de type déni
de service, destiné à altérer son fonctionnement
par une saturation de requêtes. Ces attaques ont fini par
entraîner la paralysie totale des services en ligne.
Par jugement du 19 mai 2006, le Tribunal de
Grande Instance de Paris a condamné les prévenus à
5 000 euros d’amende pour entrave au fonctionnement d’un
système de traitement automatisé de données et à
indemniser la société victime de la fraude informatique
pour la mobilisation des ressources humaines (9 600 euros) et
l’atteinte à l’image (3 000 euros).
L’étendue de la responsabilité du
dirigeant et du responsable des traitements
En cas de défaillance de son système d’information,
le dirigeant, en tant que chef d’entreprise ou responsable des
traitements, risque d’engager sa responsabilité civile
et pénale, s’il n’a pas pris les « mesures
techniques et d’organisation appropriées »
pour protéger son système d’information contre
des risques internes
ou externes.
La Cour de cassation a ainsi jugé qu’une erreur du
système informatique de la Caisse d'allocations familiales ne
pouvait servir de base légale à une demande de
restitution d’allocations indûment perçue, et au
contraire a condamné celle-ci à verser des
dommages-intérêts d'un montant égal à
l'indu réclamé.
De manière générale, en cas d’information
incorrecte résultante d’un système d’information,
qui peut avoir des effets négatifs sur les tiers, le
responsable des traitements devra réparer le préjudice
subi en versant des dommages et intérêts.
Récemment, le Crédit Lyonnais a été
condamné à 45 000 € d’amende par la
Commission Nationale Informatique et Libertés pour
enregistrement abusif de plusieurs de ses clients dans le fichier des
incidents de paiement de la Banque de France
Il convient donc d’appréhender de manière précise
le standard que les juges exigent du « bon
professionnel »
à travers l’obligation de sécurité de la
loi Informatique et Libertés. En effet, la faute,
l’imprudence ou la négligence peuvent engager la
responsabilité pénale du chef d’entreprise en cas
de divulgation de données à caractère
personnel.
Le dirigeant doit en conséquent prendre les « précautions
utiles »
exigées par la loi Informatique et Libertés pour
assurer, « compte tenu de l'état de l'art et des
coûts liés à leur mise en oeuvre, un niveau de
sécurité approprié au regard des risques
présentés par les traitements et de la nature des
données à protéger ».
Les exigences légales
de sécurité, obligation de moyens renforcée,
seront donc plus strictes dans des domaines sensibles comme les
établissements bancaires et la santé.
En conclusion, bien que toutes les entreprises
et les systèmes d'information soient différents, toute
politique de sécurité informatique doit garantir la
disponibilité des ressources et des informations, l’intégrité
des données, la confidentialité des données et
la traçabilité des accès aux informations.
Sur cette base, le « bon professionnel »
doit bâtir sa politique de sécurité sur des
éléments organisationnels et fonctionnels en nommant
une personne et son suppléant en charge de la responsabilité
de la sécurité du système d’information
(le RSSI),
en formant son personnel et en rédigeant un code de bonne
conduite. A défaut son assurance risque de ne pas couvrir les
conséquences pécuniaires de sa responsabilité.
Nicolas Samarcq
Juriste TIC
www.lexagone.com
Auteur : M. Nicolas Samarcq Juriste TIC
.
|
Source : Lexagone.com |
|