TWITTER FOLLOW US Facebook
Flux RSS


Un cookie va stocker. Date expiration :ce soir minuit. Petit Moyen Grand Aide  
SÉCURITÉ DES SITES INTERNET ET DES SYSTÈMES D’INFORMATIONS : QUELLES RESPONSABILITÉS ?
fl Article publié le 09/11/2006
fl Auteur : M. Nicolas Samarcq  Juriste TIC .
fl Domaines : Droit pénal, criminalité informatique, Responsabilité.
fl Ordre juridique : ordre juridique
3.
print| Cet article a été lu 7943 fois |

News L’ouverture des entreprises au réseau internet s’est accompagnée de nouveaux risques juridiques, aggravés par un durcissement législatif en terme de responsabilité.

fl L’ouverture des entreprises au réseau internet s’est accompagnée de nouveaux risques juridiques, aggravés par un durcissement législatif en terme de responsabilité.

En effet, les défaillances de sécurité, qui rendaient hier l'entreprise victime en cas d’intrusion ou d’entrave à son traitement automatisé de données1, peuvent désormais la rendre responsable, voire coupable. Ce peut être le cas, par exemple, lorsqu'une faille de sécurité permet l'accès aux données de l'entreprise ou lorsqu'un virus est rediffusé à travers elle.
 

Les sanctions pénales en cas d’atteinte au traitement automatisé de données

 Le fait d'accéder ou de se maintenir frauduleusement dans un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 300 00 euros d'amende2. Lorsqu'il en résulte une suppression ou modification des données contenues dans le système, ou une altération de son fonctionnement, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende3.

De plus, le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données, d’y introduire frauduleusement des données, de supprimer ou modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende4.

Enfin, les personnes physiques coupables de ces délits encourent des peines complémentaires dont notamment l'interdiction, pour une durée de cinq ans au plus, d'exercer l'activité professionnelle ou sociale à l'occasion de laquelle l'infraction a été commise5.

Toutefois, force est de constater que le durcissement pénal des atteintes aux systèmes des données n’est pas appliqué, en raison du faible nombre de victimes qui portent plainte. Et lorsque c’est le cas, les peines prononcées demeurent modestes.

Ainsi, le gérant d’un portail commercial, spécialisé dans le divertissement à caractère pornographique, a porté plainte à la suite d’un courrier électronique lui demandant de fermer son site internet ou d’accepter son rachat pour 3000 € par mois sous menace d’attaques Dos (Déni de service, Denial of service).

Dix jours après l’envoi de cette missive électronique, le site faisait l’objet de plusieurs attaques de type déni de service, destiné à altérer son fonctionnement par une saturation de requêtes. Ces attaques ont fini par entraîner la paralysie totale des services en ligne.

Par jugement du 19 mai 2006, le Tribunal de Grande Instance de Paris a condamné les prévenus à 5 000 euros d’amende pour entrave au fonctionnement d’un système de traitement automatisé de données et à indemniser la société victime de la fraude informatique pour la mobilisation des ressources humaines (9 600 euros) et l’atteinte à l’image (3 000 euros)6.



L’étendue de la responsabilité du dirigeant et du responsable des traitements

En cas de défaillance de son système d’information, le dirigeant, en tant que chef d’entreprise ou responsable des traitements, risque d’engager sa responsabilité civile et pénale, s’il n’a pas pris les « mesures techniques et d’organisation appropriées »7 pour protéger son système d’information contre des risques internes8 ou externes.

La Cour de cassation a ainsi jugé qu’une erreur du système informatique de la Caisse d'allocations familiales ne pouvait servir de base légale à une demande de restitution d’allocations indûment perçue, et au contraire a condamné celle-ci à verser des dommages-intérêts d'un montant égal à l'indu réclamé9. De manière générale, en cas d’information incorrecte résultante d’un système d’information, qui peut avoir des effets négatifs sur les tiers, le responsable des traitements devra réparer le préjudice subi en versant des dommages et intérêts10.

Récemment, le Crédit Lyonnais a été condamné à 45 000 € d’amende par la Commission Nationale Informatique et Libertés pour enregistrement abusif de plusieurs de ses clients dans le fichier des incidents de paiement de la Banque de France11

Il convient donc d’appréhender de manière précise le standard que les juges exigent du « bon professionnel »12 à travers l’obligation de sécurité de la loi Informatique et Libertés. En effet, la faute, l’imprudence ou la négligence peuvent engager la responsabilité pénale du chef d’entreprise en cas de divulgation de données à caractère personnel13.

Le dirigeant doit en conséquent prendre les « précautions utiles »14 exigées par la loi Informatique et Libertés pour assurer, « compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par les traitements et de la nature des données à protéger »15.

Les exigences légales de sécurité, obligation de moyens renforcée, seront donc plus strictes dans des domaines sensibles comme les établissements bancaires et la santé.

En conclusion, bien que toutes les entreprises et les systèmes d'information soient différents, toute politique de sécurité informatique doit garantir la disponibilité des ressources et des informations, l’intégrité des données, la confidentialité des données et la traçabilité des accès aux informations16. Sur cette base, le « bon professionnel »17 doit bâtir sa politique de sécurité sur des éléments organisationnels et fonctionnels en nommant une personne et son suppléant en charge de la responsabilité de la sécurité du système d’information (le RSSI18), en formant son personnel et en rédigeant un code de bonne conduite. A défaut son assurance risque de ne pas couvrir les conséquences pécuniaires de sa responsabilité.



Nicolas Samarcq
Juriste TIC
www.lexagone.com

Auteur : M. Nicolas Samarcq  Juriste TIC . | Source : Lexagone.com |
NOTES

1 Les sanctions pénales de la loi n° 88-19 du 5 janvier 1988 sur la fraude informatique (loi GODFRAIN) ont été alourdies.

2 Article L. 323-1 du Code pénal.

3 Ibid.

4 Articles L. 323-2 et L. 323-3 du Code pénal.

5 Article L. 323-5 du Code pénal.

6 Tribunal de grande instance, Ministère public / Clément P., Elypsal, Thomas P., 19 mai 2006, disponible à l’adresse www.legalis.net.

7 Article 17-1 de la directive du 24 octobre 1995.

8 Selon une étude réalisée en 2004 par la société Ibas : en Grande-Bretagne, 69,6% des professionnels ont commis lors de leur départ un vol de propriété intellectuelle auprès de l'entreprise qui les employait, http://www.ibas.fr/nouveautes/articles/UK-2004-05-04/view?searchterm=69.6.

9 Cour de Cassation, 2ème ch. civ., 13 mai 2003, n° de pourvoi 01-21423, http://www.legifrance.gouv.fr/WAspad/Visu?cid=226434&indice=2&table=INCA&ligneDeb=1.

10 Cour d’appel de Bordeaux, 2ème ch., 10 mars 1993, Juris-Data n° 41323. Obs. Lamy droit de l’informatique et des réseaux, éd. 2004, n° 668.

11 Délibération CNIL n° 2006-174 du 28 juin 2006.

12 Cour de Cassation, ch. soc., 31 mars 2003, n° de pourvoi : 01-21490, http://www.legifrance.gouv.fr/WAspad/Visu?cid=219640&indice=3&table=INCA&ligneDeb=1.

13 Article 226-17 du Code Pénal : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende ». Article 226-22 § 2 du Code Pénal : « La divulgation (…) est punie de trois ans d'emprisonnement et de 100 000 € d'amende lorsqu'elle a été commise par imprudence ou négligence ». Dans un tel cas, l’élément intentionnel de l’infraction est présumé, dès lors qu’il y a eu imprudence ou négligence au regard d’une obligation prévue par la loi.

14 Article 34 de la loi Informatique et Libertés.

15 Article 17-1 de la directive du 24 octobre 1995.

16 Rapport du CLUSIF, Maîtrise et protection de l’information, juin 2006, https://www.clusif.asso.fr/fr/production/ouvrages/pdf/Maitrise_et_Protection_de_l_Information.pdf.

17 HENAL (Y.), Sécurité : Les cinq point faibles les plus fréquents, 6 janvier 2006, http://www.lemondeinformatique.fr/partnerzone/CA/content_9.

18 Le cas échéant, le RSSI peut être une personne externe à l’entreprise.
LIENS
 

top
© 2000-2015 Julien Le Clainche