"Une externalisation de données mal gérée peut conduire le DSI au pénal"

Comment aborder les risques juridiques liés à la sécurité du système d'information ? Quelles sont les obligations des chefs d'entreprise en la matière ? Le point avec Maître Olivier Iteanu.

Si un salarié commet un acte illicite sur Internet depuis son poste de travail, qui est responsable dans l'entreprise ?

C'est une question difficile car la jurisprudence est en constante évolution. Ce qu'on peut dire aujourd'hui, c'est qu'il y a une double relation dans une affaire comme celle-là du point de vue du salarié : la relation à l'employeur et la relation à la Loi. Vis-à-vis de l'employeur, l'acte illicite sera une faute qui pourra justifier (cause réelle et sérieuse) un licenciement. Vis-à-vis de la Loi et des tiers, la responsabilité devrait être celle de l'employeur qui dédommagera les victimes et pourra répondre devant la justice de la faute de son "employé".

Si on se rend compte qu'un salarié a commis un vol de données, comment réagir ?

Je comprends qu'un collègue de travail commet un "vol de données" (qualification juridique qui n'existe pas, mais peu importe). Dans ce cas, il vaut mieux alerter sa hiérarchie. Pourquoi ? Parce que si demain ce vol a créé une victime, que cette victime trace le "voleur" jusqu'à l'entreprise, l'employeur demandera des comptes à son salarié et une inaction pourrait alors être qualifiée de faute justifiant son licenciement.

La responsabilité est-elle la même pour un salarié en période de préavis ?

En préavis signifie que vous êtes toujours sur le registre du personnel, et donc on ne peut pas vous distinguer des autres. Le régime est le même que pour un salarié en cours de contrat.

Si l'attaque vient de l'extérieur, quelle est la marge de manœuvre ? Y-a-t-il un département de la police capable de réaliser une telle enquête ?

Tout d'abord une attaque sur un SI, même si cette attaque ne réussit pas, est un délit. Car le code pénal (323-1 et suivants) assimile la tentative à la commission d'un délit. Cela signifie effectivement qu'on peut porter plainte dès l'instant où il y a commencement d'exécution ou tentative d'attaque.

olivier iteanu
'Au sein d'une DSI, tout le monde doit savoir qu'on ne pénètre pas dans la boite à lettre électronique d'un salarié pour prendre connaissance des messages personnels, sinon c'est un délit" © Nawal Narbesla / Benchmark Group

Il existe effectivement des services de police spécialisés comme le SEFTI (Service d'enquête sur les fraudes aux technologies de l'information) en région parisienne, ou l'OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication) qui a une compétence nationale et dispose de correspondants partout en France dans les Services Régionaux de la Police Judiciaire (SRPJ).

Comment anticiper un tel incident au niveau juridique ? Faut-il mettre le département juridique dans la boucle, faire appel à un cabinet d'avocat ?

Se préparer à une attaque informatique en général est un plus pour l'entreprise, c'est sûr. C'est une culture à mettre en place. Sans tomber dans la paranoïa, cela signifie éduquer la communauté des employés, mettre des procédures en place éventuellement écrites dans une charte d'usage par exemple, mettre en place une cybersurveillance légale c'est-à-dire après avoir préalablement informé les salariés de son existence, avoir recueilli l'avis des représentants du personnel, le tout devant être motivé (principe de proportionnalité).

Pour les administrateurs réseau et le personnel de la DSI, quels sont les éléments supplémentaires à prévoir dans la charte ?

Tout d'abord, il est de l'intérêt de ces personnels qui sont exposés aujourd'hui à des risques juridiques, d'élever le niveau général de la culture de l'entreprise. Par exemple, tout le monde doit savoir qu'on ne pénètre pas dans la boite à lettre électronique d'un salarié pour prendre connaissance des messages personnels, sinon c'est un délit. Donc, les administrateurs et personnels de la DSI doivent impérativement participer à la rédaction de la charte pour la faire coller aux besoins de l'entreprise, à son niveau de culture, à la façon dont la direction générale traite habituellement la question etc.

Je suis directeur juridique au sein d'un groupe de l'agroalimentaire. L'élaboration d'une charte informatique est-elle obligatoire ?

Obligatoire non, recommandée OUI ! La charte est un ovni juridique : vous ne la trouverez pas dans le code du travail. C'est avant tout un outil didactique. Pour la faire devenir juridique, il faudra que vous l'éclatiez entre les différentes normes juridiques existantes en droit, soit le règlement intérieur et / ou le contrat de travail et / ou une note de services en fonction de sa rédaction.

Suite à l'affaire Kerviel, les obligations juridiques des banques en matière de sécurité vont-elles changer ?

Jusqu'à présent, elles sont inchangées. Pour l'essentiel, ces obligations sont les mêmes que pour toute entreprise de tout secteur. Il existe une réglementation propre aux banques mais elle est très technique et je ne la traiterai pas dans le cadre du chat. Sachez que la principale disposition légale existe pour la protection des données à caractère personnel, c'est-à-dire des données qui se trouvent dans tout SI.

Ici, la Loi prévoit à la charge du responsable du SI (du traitement) de prendre "toutes précautions utiles" pour sécuriser ces données. Cela renvoie aux règles de l'art en matière de sécurité qui doivent être respectées. Des sanctions pénales sont associées au défaut de respect de ces obligations. Vous trouverez tous les textes sur le livre blanc Risc Group sur la sécurité que j'ai écrit et qui est librement téléchargeable sur http://www.informatique-juridique.com./

Jusqu'où peut-on aller en matière de contrôle du travail du salarié (surf, messagerie...) ?

olivier iteanu 2
"Le contrôle des postes de travail ne peut se faire que dans le cadre d'une cybersurveillance légale" © Nawal Narbesla / Benchmark Group

Le filtrage d'URL est autorisé par la Loi. Le contrôle des postes de travail ne peut se faire que dans le cadre d'une cybersurveillance légale (voir ma réponse plus haut), et elle ne peut se justifier que par une gestion du risque juridique lié à l'ouverture du SI sur l'extérieur (avec l'email, les fichiers, le Web etc.). On ne peut par exemple pas utiliser ces outils de contrôle pour vérifier la productivité des salariés.

Dans le cas d'une enquête de police sur le système d'information, y-a-t-il une période minimale de conservation des logs ?

L'article L 34-1 du code des postes et des communications électroniques impose à tous les opérateurs, FAI compris car ils sont désormais opérateurs, de conserver les données techniques de connexion, donc en gros les logs, une année après leur enregistrement. Sur demande de la police, ils sont obligés de les fournir.

Concrètement, quels types de contrôle peut-on juridiquement mettre en place pour contrôler la conformité de l'utilisation des données avec le droit d'auteur ?

Je comprends que les données que vous évoquez sont internes et ne doivent pas être exportées ou publiées sans l'accord du titulaire (l'entreprise par exemple). En pratique, comme évoqué plus haut, c'est une question transversale de culture et ensuite de droit. Cela commence par le contrat de travail du collaborateur en lui rappelant son obligation de respecter l'ordre public et le droit des tiers, notamment le droit d'auteur. Puis, une information de même type dans une charte, puis une cybersurveillance qui annonce sa justification notamment dans le respect des droits d'auteur. Au final, c'est un souci de tous les instants sans être oppressant pour les collaborateurs.

Les bases de données peuvent-elles être protégées par la législation sur le droit d'auteur ?

Ce qu'on appelle une base de données (des données même banales structurées selon une méthode ou de manière systématique - par exemple l'annuaire téléphonique) peut disposer d'une double protection : le droit d'auteur si l'archiftecture de la base ou les données sont originales (par exemple l'annuaire téléphonique n'est pas protégé par le droit), et un droit dit sui generis (formule barbare qui veut dire que ce droit est très spécial) qui est pour le producteur de la base (celui qui a fait l'investissement) un droit d'interdire l'extraction des données de la base sans son autorisation.

Lors de l'externalisation d'un processus métier auprès d'un acteur, quels sont les risques juridiques, et comment les maitriser ?

C'est une question très globale. Comme je l'ai déjà dit, externaliser (sous-traiter) un SI comportant des données personnelles ne décharge pas le responsable du traitement de son obligation de sécurité (prendre toutes précuations utiles) devant la Loi. C'est l'article 34 de la Loi informatique et libertés de 1978 et l'article 226-21 du code pénal qui punit de 5 ans de prison et 300 000 euros d'amende, la personne qui externalise alors que son "sous-traitant" n'a pas pris toutes précautions utiles sur des données à caractère personnel (exemple : des données de carte bancaire).

Dans les débats à l'Assemblée nationale, les députés ont introduit cette disposition pour lutter contre l'externalisation en Inde de l'administration des SI (évidemment ça n'était pas tourné contre ce seul pays). On commence donc à voir pointer une réglementation de ce type sur l'externalisation des SI. C'est pourquoi, on a introduit un chapitre spécial dans le livre blanc Risc Group sur cette question.

Que se passe-t-il si une faille est générée suite à une malveillance ou négligence d'un consultant sachant que cela peut être dans ou hors de nos locaux ?

Je comprends que le consultant est en contrat avec l'entreprise. Donc, d'une certaine manière l'entreprise en est responsable. Si cette faille a eu pour conséquence de permettre à un tiers de rentrer dans le SI de l'entreprise, celle-ci pourrait avoir des difficultés à poursuivre ce tiers compte tenu de sa défaillance. C'est ce qui a été jugé dans l'affaire Kitetoa de la Cour d`appel de Paris il y a quelques années (voir la base de données de jurisprudence http://www.legalis.net/).