Windows Onward

La prévention du risque juridique lié à la sécurité de l’entreprise numérique

Évaluer cet élément
(0 Votes)

La sécurité n’est plus une assurance contre le risque mais une garantie pour la pérennité et l’intégrité de votre entreprise. Il convient donc de prévenir les risques inhérents à la gestion des données, la sécurité de votre entreprise étant le garant de vos profits !

Plus que jamais donc le dirigeant d’entreprise doit faire face, en matière de sécurité, aux risques de perte de ses informations : celles-ci constituent maintenant un véritable patrimoine, et parfois même le seul, de l'entreprise ! L'insécurité informatique est donc un risque majeur qui peut conduire à une perte de profits conséquente, voire même à une crise sans précédent ! Les dirigeants d’entreprise doivent en prendre conscience et tenir compte des vulnérabilités de leur système d’informations face aux menaces de cyberattaques, de vol ou d’extraction, par des tiers, de leurs données ainsi que des contraintes légales et réglementaires.


Est-ce possible de prévenir juridiquement ces risques informatiques ?
Au préalable, il ne faut pas oublier que le client n’est pas un professionnel de l’informatique. « Si le client n’est pas conseillé par un spécialiste, il ne remarquera pas les pièges d’un contrat dont le modèle est souvent proposé par le fournisseur. Il est souhaitable qu’il se fasse assister par un professionnel, avocat et/ou société de conseil qui connaisse bien le sujet et ait une expérience de terrain des difficultés qui peuvent se poser lors de l’exécution de ce type de contrat », précise Isabelle Renard, avocat et ingénieur.

Certaines clauses sont essentielles et doivent absolument être intégrées au contrat. « Il convient de vérifier que les niveaux de sécurité proposés par l’hébergeur sont en adéquation avec la sensibilité pour l’entreprise des données et applications concernées. La protection est-elle suffisante : le client peut-il effectuer des tests d’intrusion pour le vérifier ? La clause d’audit est indispensable pour les prestations d’hébergement de haut niveau, car elle permet au client de s’assurer que ses exigences sont respectées, telles que la protection physique des appareils, ou la non mutualisation des serveurs. Cependant, il ne faut pas confondre le prestataire hébergeur avec l’assureur du client. Le risque informatique doit être partagé entre le prestataire et le client, qui doit impérativement mettre en place un plan de continuité d’activité qui se déclenchera en cas d’incident grave et évitera de subir des pertes d’exploitation trop lourdes », poursuit Isabelle Renard.

Quelle responsabilité et quelles sanctions pour l’hébergeur ?
Fabrice Naftalski, membre de l’AFAI associé EY, avocat spécialisé en droit des TIC, explique que « plusieurs cas peuvent se présenter dans lesquels la responsabilité de l’hébergeur peut être relevée, étant précisé en synthèse que depuis la transposition en droit français de la directive concernant le commerce électronique du 8 juin 2000 (par la loi pour la confiance dans l’économie numérique du 21 juin 2004), l’hébergeur n’a pas d’obligation générale de surveillance des contenus hébergés en dehors des hypothèses très spécifiques visant des infractions d’une extrême gravité ».

Le principe de responsabilité de l’hébergeur est posé par l’article 6-3 de la loi pour la confiance dans l’économie numérique du 21 juin 2004 qui dispose que les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de com­munication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsa­bilité civile engagée du fait des activités ou des informations stockées à la demande d'un des­tinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible.

Linda DUCRET

 

Trois questions à Matthieu Bourgeois, avocat, associé, spécialiste en droit des nouvelles technologies de l’informatique et de la communication de KGA Avocats et à  Amira Bounedjoum, juriste, élève-avocat de KGA Avocats

GPO Magazine : Les cyberattaques sont-elles la crainte n°1 des entreprises en matière de sécurité informatique ? Comment ont évolué dans le temps ces attaques ?
> Les cyberattaques représentent l’une des formes de criminalité qui connaît le taux de croissance le plus fort. Entre 2012 et 2013, les cyberattaques ont doublé1 et en 2013, 93 % des entreprises françaises de plus de 250 salariés en ont été victimes. L’impact pour les entreprises victimes de ces attaques se traduit tant financièrement (pertes d’exploitation en raison de l’arrêt du service informatique, frais d’investigation et d’investissement pour le rétablissement de la sécurité du système…) qu’en termes d’image. À titre d’exemple, l’attaque subie par la société Orange et sa condamnation2 récente pour défaut de sécurité des données, relayée par plusieurs médias, ont été très nocives pour l’image de cette entreprise. La multiplication des attaques et les préjudices considérables qui en découlent en font un risque majeur pour toute entreprise.


GPO Magazine : De quelle manière les entreprises, notamment les PME, peuvent-elles se protéger juridiquement face aux cyberattaques ?
> Contre les cyberattaques, les entreprises, doivent se protéger sur le plan technique et juridique.
Sur le plan technique, il est fortement recommandé aux entreprises de mettre en place notamment une politique d’habilitation d’accès au Système d’Information (SI), d’authentifier chaque utilisateur de l’entreprise et de sécuriser tous les postes de travail, notamment par des antivirus performants, activés et mis à jour. Le réseau informatique de l’entreprise doit également être sécurisé via, par exemple, une limitation des flux réseaux et un chiffrement des communications. Sur le plan juridique, tout accès/intervention sur le SI de l’entreprise doit donner lieu à la formalisation d'un contrat indiquant les limites de l’habilitation d’accès conférée. Des accords de confidentialité peuvent également être signés par le personnel de l’entreprise mais aussi par tout prestataire externe.

Des services spécialisés de la justice, tels que la Brigade d'enquête sur les fraudes aux technologies de l'information (BEFTI) ou l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) assistent les entreprises victimes de cyberattaques et coordonnent les enquêtes de la police.


GPO Magazine : Faut-il faire de la prévention dans ce domaine?
> Absolument ! Il convient de rappeler que les entreprises, même victimes d’attaques virtuelles,  demeurent  responsables de leurs données. La majorité des cyberattaques étant internes aux entreprises, une sensibilisation dans ce domaine est indispensable. Cette sensibilisation peut prendre la forme de chartes éthiques et informatiques qui, lorsqu’elles sont  déployées comme un règlement intérieur, ont une force contraignante. La prévention passe également par la réalisation d’audits de sécurité.

1. Selon l’étude menée par Iron Mountain et Pwc sur la gestion des risques de l’information dans les entreprises
2. Délibération de la formation restreinte de la Cnil n°2014-298 du 7 août 2014 prononçant un avertissement à l’encontre de la société Orange

 

 

Contrats d’externalisation : sécurisez les données personnelles de votre entreprise

Afin d’optimiser leurs frais généraux, de plus en plus de PME/ETI recourent à un prestataire chargé de leur fournir des ressources informatiques et d’héberger/traiter l’ensemble de leurs données. Les données sont alors stockées sur les serveurs distants, parfois localisés dans le monde entier.

Ce type de prestation nécessite d’être vigilant sur le plan juridique, notamment au regard de la loi du 6 janvier 1978 (« loi informatique et libertés »). En sa qualité de « responsable de traitement », l’entreprise doit prendre toutes précautions utiles pour préserver la sécurité de ses données et empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Tout manquement à cette obligation est lourdement sanctionné (jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende – art. 226-17 c. pén.).
La loi informatique et liberté rend, par ailleurs, indispensable de formaliser un contrat entre l’entreprise et son prestataire (alors qualifié de « sous-traitant »), imposant notamment à ce dernier des obligations de sécurité, de confidentialité et de garantie. Ce contrat doit également procéder à un partage clair des responsabilités lors­que le prestataire dispose d’une autonomie dans la détermination des moyens ainsi que des finalités du traitement, car il est alors, selon la Cnil, susceptible d’être considéré comme « responsable du traitement » aux côtés de l’entreprise.

Cela peut, par exemple, être le cas d’un « Cloud provider » offrant une solution packagée et imposant des choix techniques et fonctionnels à ses clients qui ne décident pas alors seuls de toutes les finalités du traitement de leurs données. Il est également indispensable que l’entreprise connaisse précisément la chaîne des intervenants étant amenés à traiter ces données personnelles, afin de ne pas en perdre le contrôle, ainsi que les pays ou ceux-ci opèrent, afin de pouvoir, si ces pays sont situés en dehors de l’Union Européenne, solliciter l’autorisation préalable de la Cnil comme la loi l’exige.

Source : Mathieu Bourgeois, avocat, associé, spécialiste en Droit des nouvelles technologies de l’informatique et de la communication de KGA Avocats et Amira Bounedjoum, juriste, élève-avocat de KGA Avocats.

 

 

Lu 11574 fois Dernière modification le jeudi, 01 octobre 2015 13:24
Linda Ducret

Linda Ducret a une double formation : littéraire (hypokhâgne, licence de philosophie) et juridique (maîtrise de droit des affaires, DESS de Contrats Internationaux). En 1987, elle devient avocate et crée son cabinet en 1990. Elle exerce pendant 15 ans dans différents domaines du droit (droit des affaires, droit pénal, droit de la famille…).

Depuis 2005, elle est journaliste avec comme terrains de prédilections : les dossiers stratégie du dirigeant, propriété intellectuelle, nouvelles technologies, Incentive...Mais également les visions et les portraits d’entrepreneurs.

Écrire est l’une de ses passions. En 2009, elle publie un roman policier Taxi sous influence, finaliste du Prix du Premier roman en ligne.

Elle a publié un recueil de nouvelles : Le Ruban Noir ainsi qu’un polar : L’inconnue du Quai Henri IV.

Annonces

Windows Onward

Le magazine digital

Inscrivez-vous à notre édition digitale pour feuilleter gratuitement le prochain numéro

inscrit.png   

Paru le 4 mars 2024
GPO Magazine N°113
Demandez votre exemplaire au service Vente au numéro

Lire l'extrait GPO 113.png

Paru le 27 novembre 2023
Édition Spéciale Transformation digitale
Recevez-le dès aujourd'hui !
Abonnez-vous à l'année en cliquant ici

Vignette Lire un extrait HS Transfo Digitale.png

Livres Blanc et E-book

Le Système d'Exploitation Hybride Windows 11 de Microsoft Booste la Productivité et la Sécurité en Entreprise
Microsoft a récemment dévoilé Windows 11, son dernier système d'exploitation, qui s'adapte parfaitement au mode…
Quelle stratégie pour établir une relation commerciale durable en Allemagne : un guide pour les dirigeants d’entreprises françaises
L'Allemagne, premier partenaire commercial de la France, demeure un marché d'exportation incontournable pour les entreprises…
Comment favoriser sa transition vers une économie mondiale durable ?
La CSRD contribue à l’objectif de l’Union européenne de promouvoir une économie durable et responsable,…
Plus de livres blanc

Webinaires

Facturation Électronique 2024 : une opportunité de performer pour les entreprises !
Une enquête de Wax Digital a révélé que 70 % des professionnels de la comptabilité…
Comment faire prospérer son entreprise dans la conjoncture actuelle ?
Pour accompagner les entreprises au plus près de leurs préoccupations, les experts de KPMG, Crédit…
Comment aborder la fin du « quoi qu’il en coûte » ?
Symboles du « quoi qu'il en coûte » comme réponse au Covid-19, les prêts garantis…
Plus de webinaires

Services aux entreprises

è Découvrez le réel impact de Windows 11 Professionnel

Grâce à la sécurité activée par défaut, les entreprises du monde entier prennent des initiatives plus audacieuses et des décisions plus rapides.

 
è Facturation électronique 2026

Un guide détaillé sur les étapes clés pour réussir son passage à la facturation électronique 2026 et franchir le pas de la dmatérialisation, avec tous les bénéfices qui l'accompagnent.

LB Facturation electronique 2026 Docuware.png

 

è  BUSINESS FRANCE : Établir des relations commerciales en l'Allemagne

L'Allemagne est le premier partenaire commercial de la France et représente le plus fort potentiel à l'export de la France à horizon 2025. Ce marché à la fois passionnant et exigeant mérite d'adopter une stratégie durable pour établir une relation commerciale sur le long terme. Tel est l'objectif de ce livre blanc de 64 pages intitulé "Quelle stratégie pour établir une relation commerciale avec l'Allemagne", proposé par Business France et ses partenaires de la Team France, et téléchargeable gracieusement.

 Couverture Livre Blanc Business France Allemagne.png

 
è  SYLOB : ERP pour l'industrie

Anticiper les évolutions industrielles et se projeter dans l'usine intelligente du futur, tels sont les objectifs visés par ce guide pratique de 20 pages à destination des PME intitulé "Industrie 4.0 & ERP", proposé par Sylob et téléchargeable gracieusement.

Couv Sylob CTA.png

 

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts