D'après une étude récente réalisée
par Acadys France, les directions générales
prennent conscience de ce que le système d'information
d'une entreprise s'évalue non pas uniquement en
terme de budget et de coût, mais également
en terme de "valeur". L'informatique sort du
rôle d' "outil" pour devenir un véritable
levier de compétitivité, notamment pour
ce qui concerne l'amélioration de la gestion de
l'information et de l'image de l'entreprise.
L'information gérée
par les systèmes informatiques comprend des éléments
de nature et d'utilité très différentes
: information financière susceptible de donner
des indicateurs pertinents aux dirigeants ; information
stratégique liée à l'exploitation
des méthodes d'intelligence économique
; résultats de la R&D ; information relatives
aux fusions acquisitions envisagées ; information
client ; information sur le personnel, et bien d'autres
encore qui sont fonction du métier de l'entreprise.
Ces données a priori
disparates ont néanmoins des points communs :
elles sont confidentielles et/ou ont une valeur stratégique
forte pour l'entreprise. Leur perte, leur altération,
ou leur divulgation involontaire est susceptible de
causer un dommage important soit à l'entreprise
elle même (perte d'image, perte financière,
dévalorisation de l'actif net) ou à des
tiers personnes physiques ou morales (par exemple divulgation
d'un fichier client comportant des données sensibles,
ou dissémination d'information confidentielle
d'un partenaire commercial ou de R&D).
De tels évènements
dommageables peuvent provenir d'attaques externes au
système d'information (piratages, virus), et
ce sont à elles que l'on pense le plus souvent
car elles ont été fortement médiatisées.
Mais, comme le montrent plusieurs enquêtes récentes,
le danger le plus sérieux pour les ressources
stratégiques de l'entreprise émane aussi
souvent de malveillances internes, qui sont le fait
d' "espions" infiltrés dans l'entreprise
et ayant un accès trop facile aux postes utilisateurs,
souvent mal protégés par un simple mot
de passe.
Il en résulte qu'une
gestion "en bon père de famille" du
système d'information afin de protéger
ces données et éviter les dommages nécessite
non seulement de se munir d'outils contre les attaques
externes, mais de mettre en place une gestion stricte
et sécure des postes de travail en interne, de
contrôler les flux entrant et sortant, et de maîtriser
les relations avec les prestataires.
A défaut, la responsabilité
de l'entreprise, ou le cas échéant de
son dirigeant, pourrait être en mise en cause
en vertu de l'un des principes que l'on rappelle brièvement
ci-après pour ce qui concerne la responsabilité
des dirigeants :
- La responsabilité
civile du dirigeant peut être engagée
pour des dommages causés à la société
ou aux tiers du fait d'une faute du dirigeant, caractérisée
soit par le non respect de dispositions légales
ou réglementaires applicables à la société,
soit pour faute de gestion (acte contraire aux intérêts
de la société). S'agissant des tiers,
la responsabilité du dirigeant ne peut être
engagée que si la faute est détachable
de ses fonctions.
- La responsabilité pénale du dirigeant
peut être engagée pour une infraction qu'il
a personnellement commise dans l'exercice de ses fonctions,
mais également pour une infraction commise par
un préposé, au titre de son obligation
d'exercer un contrôle sur le fonctionnement de
l'entreprise. Une délégation de pouvoir
(valable) peut exonérer le dirigeant de sa responsabilité
pénale.
En matière pénale,
c'est par principe le dirigeant qui est responsable,
sauf si un texte spécifique permet d'engager
la responsabilité pénale de l'entreprise,
le choix restant à la discrétion du parquet.
Appliqués aux dommages
relatifs à la dégradation de données
gérées par les systèmes d'information
de l'entreprise, ces principes généraux
permettent d'établir une typologie sommaire des
chefs de responsabilité qui pourraient être
imputables à l'entreprise ou son dirigeant.
1 - La responsabilité
civile du dirigeant pourrait être engagée
si par une faute caractérisée de sa part,
l'entreprise subissait une perte de données qui
lui serait très dommageable (on peut penser à
un secret de fabrique ou de savoir-faire, une donnée
particulièrement stratégique, ou la diffusion
d'une information corporate confidentielle dont la diffusion
prématurée peut désorganiser l'entreprise)
; à notre sens, une telle faute pourrait s'entendre
par une incapacité avérée et répétée
du dirigeant à prendre la moindre mesure d'organisation
et de protection du système d'information de
l'entreprise.
2 - La responsabilité
pénale du dirigeant ou de l'entreprise (selon
le cas) pourrait être engagée sur différents
fondements qui sont pour l'essentiel :
- la législation
protectrice des données nominatives
L'article 226-17 du Code Pénal réprime
le fait de procéder ou de faire procéder
à un traitement automatisé d'informations
nominatives sans prendre toutes les précautions
utiles pour préserver la sécurité
de ces informations, et notamment d'empêcher qu'elles
ne soient communiquées à des tiers non
autorisés.
Il est intéressant
à cet égard de noter que le fait pour
une société de ne pas avoir respecté
cette obligation de sécurité a conduit
les magistrats à considérer que cela privait
cette dernière de tout recours contre le pirate
qui avait détourné son fichier client.
Dans un jugement rendu par la Cour d'Appel de Paris
le 30 octobre 2002, Tati s'était constituée
partie civile à l'encontre de l'animateur du
site kitetoa.com pour accès frauduleux dans son
système d'information, mais la Cour avait considéré
que : "(la société Tati) ne saurait
se prévaloir de ses propres carences et négligences
pour arguer d'un prétendu préjudice, en
réalité subi par les personnes victimes
éventuelles de violations de leur vie privée
; qu'il y a lieu, en conséquence, de débouter
cette société de ses demandes".
- L'atteinte à
un "secret de fabrique", qui sanctionne
les directeurs ou employés ayant révélé
un secret ou un savoir-faire (art L152-7 du Code du
travail).
En conclusion, il nous
paraît utile d'attirer l'attention des dirigeants
sur la part de risque que recèle un système
d'information mal protégé, y compris pour
eux à titre personnel dans des cas extrêmes
; cette responsabilité va de pair avec la prise
de conscience de ce que l'information est devenue valeur,
parfois la seule détenue par une entreprise,
et qu'elle est traitée par des systèmes
qui ne fonctionnent pas tout seuls mais en vertu de
la façon dont les hommes les exploitent
|