La prévention du risque juridique lié à la sécurité de l’entreprise numérique
La sécurité n’est plus une assurance contre le risque mais une garantie pour la pérennité et l’intégrité de votre entreprise. Il convient donc de prévenir les risques inhérents à la gestion des données, la sécurité de votre entreprise étant le garant de vos profits !
Plus que jamais donc le dirigeant d’entreprise doit faire face, en matière de sécurité, aux risques de perte de ses informations : celles-ci constituent maintenant un véritable patrimoine, et parfois même le seul, de l'entreprise ! L'insécurité informatique est donc un risque majeur qui peut conduire à une perte de profits conséquente, voire même à une crise sans précédent ! Les dirigeants d’entreprise doivent en prendre conscience et tenir compte des vulnérabilités de leur système d’informations face aux menaces de cyberattaques, de vol ou d’extraction, par des tiers, de leurs données ainsi que des contraintes légales et réglementaires.
Est-ce possible de prévenir juridiquement ces risques informatiques ?
Au préalable, il ne faut pas oublier que le client n’est pas un professionnel de l’informatique. « Si le client n’est pas conseillé par un spécialiste, il ne remarquera pas les pièges d’un contrat dont le modèle est souvent proposé par le fournisseur. Il est souhaitable qu’il se fasse assister par un professionnel, avocat et/ou société de conseil qui connaisse bien le sujet et ait une expérience de terrain des difficultés qui peuvent se poser lors de l’exécution de ce type de contrat », précise Isabelle Renard, avocat et ingénieur.
Certaines clauses sont essentielles et doivent absolument être intégrées au contrat. « Il convient de vérifier que les niveaux de sécurité proposés par l’hébergeur sont en adéquation avec la sensibilité pour l’entreprise des données et applications concernées. La protection est-elle suffisante : le client peut-il effectuer des tests d’intrusion pour le vérifier ? La clause d’audit est indispensable pour les prestations d’hébergement de haut niveau, car elle permet au client de s’assurer que ses exigences sont respectées, telles que la protection physique des appareils, ou la non mutualisation des serveurs. Cependant, il ne faut pas confondre le prestataire hébergeur avec l’assureur du client. Le risque informatique doit être partagé entre le prestataire et le client, qui doit impérativement mettre en place un plan de continuité d’activité qui se déclenchera en cas d’incident grave et évitera de subir des pertes d’exploitation trop lourdes », poursuit Isabelle Renard.
Quelle responsabilité et quelles sanctions pour l’hébergeur ?
Fabrice Naftalski, membre de l’AFAI associé EY, avocat spécialisé en droit des TIC, explique que « plusieurs cas peuvent se présenter dans lesquels la responsabilité de l’hébergeur peut être relevée, étant précisé en synthèse que depuis la transposition en droit français de la directive concernant le commerce électronique du 8 juin 2000 (par la loi pour la confiance dans l’économie numérique du 21 juin 2004), l’hébergeur n’a pas d’obligation générale de surveillance des contenus hébergés en dehors des hypothèses très spécifiques visant des infractions d’une extrême gravité ».
Le principe de responsabilité de l’hébergeur est posé par l’article 6-3 de la loi pour la confiance dans l’économie numérique du 21 juin 2004 qui dispose que les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible.
Linda DUCRET
Trois questions à Matthieu Bourgeois, avocat, associé, spécialiste en droit des nouvelles technologies de l’informatique et de la communication de KGA Avocats et à Amira Bounedjoum, juriste, élève-avocat de KGA Avocats GPO Magazine : Les cyberattaques sont-elles la crainte n°1 des entreprises en matière de sécurité informatique ? Comment ont évolué dans le temps ces attaques ?
1. Selon l’étude menée par Iron Mountain et Pwc sur la gestion des risques de l’information dans les entreprises
|
Contrats d’externalisation : sécurisez les données personnelles de votre entreprise Afin d’optimiser leurs frais généraux, de plus en plus de PME/ETI recourent à un prestataire chargé de leur fournir des ressources informatiques et d’héberger/traiter l’ensemble de leurs données. Les données sont alors stockées sur les serveurs distants, parfois localisés dans le monde entier. Ce type de prestation nécessite d’être vigilant sur le plan juridique, notamment au regard de la loi du 6 janvier 1978 (« loi informatique et libertés »). En sa qualité de « responsable de traitement », l’entreprise doit prendre toutes précautions utiles pour préserver la sécurité de ses données et empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Tout manquement à cette obligation est lourdement sanctionné (jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende – art. 226-17 c. pén.). Cela peut, par exemple, être le cas d’un « Cloud provider » offrant une solution packagée et imposant des choix techniques et fonctionnels à ses clients qui ne décident pas alors seuls de toutes les finalités du traitement de leurs données. Il est également indispensable que l’entreprise connaisse précisément la chaîne des intervenants étant amenés à traiter ces données personnelles, afin de ne pas en perdre le contrôle, ainsi que les pays ou ceux-ci opèrent, afin de pouvoir, si ces pays sont situés en dehors de l’Union Européenne, solliciter l’autorisation préalable de la Cnil comme la loi l’exige. Source : Mathieu Bourgeois, avocat, associé, spécialiste en Droit des nouvelles technologies de l’informatique et de la communication de KGA Avocats et Amira Bounedjoum, juriste, élève-avocat de KGA Avocats.
|
Linda Ducret
Linda Ducret a une double formation : littéraire (hypokhâgne, licence de philosophie) et juridique (maîtrise de droit des affaires, DESS de Contrats Internationaux). En 1987, elle devient avocate et crée son cabinet en 1990. Elle exerce pendant 15 ans dans différents domaines du droit (droit des affaires, droit pénal, droit de la famille…).
Depuis 2005, elle est journaliste avec comme terrains de prédilections : les dossiers stratégie du dirigeant, propriété intellectuelle, nouvelles technologies, Incentive...Mais également les visions et les portraits d’entrepreneurs.
Écrire est l’une de ses passions. En 2009, elle publie un roman policier Taxi sous influence, finaliste du Prix du Premier roman en ligne.
Elle a publié un recueil de nouvelles : Le Ruban Noir ainsi qu’un polar : L’inconnue du Quai Henri IV.
Dernier de Linda Ducret
- Olivier de Préville, un Serial entrepreneur autodidacte
- Thierry Mosa, un dirigeant à la conquête de l’international
- Éric Baudry, la construction avec le politique et les acteurs économiques d’un ticket gagnant et vertueux
- Matteo Amerio : un Startuper visionnaire derrière Navee, engagé dans la lutte contre la contrefaçon
- Damien Bodoy, Directeur général de Lacroix Sports : un dirigeant à la fois sur les pentes et sur les « greens »