Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Isabelle Landreau, Cabinet LANDREAU : le risque informatique dans l’entreprise, quelle gestion pour l’employeur ?

mai 2011 par Isabelle LANDREAU, Avocate à la Cour, cabinet LANDREAU, www.droitdanslemil.fr, ©Cabinet LANDREAU 2011

Plusieurs risques informatiques existent au sein de l’entreprise. Nous envisagerons deux cas : le premier est celui de la fuite accidentelle d’informations, le second la fuite intentionnelle d’informations.

Premier cas : La fuite accidentelle d’information due à mauvaise gestion de l’information par l’entrepris s’analyse en tant que divulgation inopportune des données de l’entreprise mettant en péril la sécurité juridique, informatique et industrielle de l’entreprise. C’est la préoccupation première des PDG d’entreprises.
Le salarié dans l’entreprise est tenu à une obligation de discrétion de par son contrat de travail et à une obligation de confidentialité variable selon le secteur dans lequel il exerce et selon son niveau de responsabilité au sein de l’entreprise.
Au regard des échanges de données qui peuvent être considérées comme sensibles pour l’entreprise, l’employeur a tout intérêt à définir lors de la signature du contrat de travail quelles sont les données jugées confidentielles pour l’entreprise.

L’entreprise peut mettre en place une charte précisant les règles de confidentialité. Cela vise les entreprises mais aussi les universités et les centres de recherche.
Chaque employé doit signer personnellement cette charte pour qu’elle lui soit opposable.
Il est préférable de faire signer cette charte dès l’entrée en fonction de l’employé.
Par sa signature, chaque employé reconnaît avoir été informé des obligations mises à sa charge, des contrôles du respect de la confidentialité auxquels il pourrait se voir exposé, ainsi que des sanctions disciplinaires auxquelles il s’expose en cas de non respect des règles posées par la Charte.

Selon l’article 122-39 du code du Travail, cette charte peut être assimilée à un règlement intérieur. Pour qu’elle soit dotée de la même valeur juridique qu’un règlement intérieur, il faut qu’elle remplisse certaines conditions, à savoir :
- obtenir l’avis du Comité d’entreprise, ou à défaut, l’avis des délégués du personnel ;
- assurer la publicité de la Charte par voie d’affichage ;
- déposer un exemplaire au secrétariat greffe au Conseil des Prud’hommes ;
- communiquer la Charte à l’inspecteur du travail.

L’entreprise a par ailleurs l’obligation de mettre en place un firewall. Le firewall est un logiciel de sécurisation du réseau local de l’entreprise par l’installation de système de filtrages.

Ce système permet de détecter les intrusions et d’organiser un « pare-feu ». Le firewall permet aussi de réduire l’accès vers l’extérieur en limitant l’accès à certains services, notamment les sites de jeux en ligne et les sites pornographiques.

Il appartient à l’entreprise de mettre en place ce pare-feu et de décider quels sont les sites accessibles ou non.

Cependant, l’entreprise ne peut pas tout faire. Elle doit respecter le secret des correspondances de ses salariés. L’article 226-15 du code pénal ainsi que l’article 32-3 du code des postes et télécommunications prévoit le secret des correspondances.
Le secret des correspondances entre dans le cadre de la protection de la vie privé, visé à l’article 9 du code civil et à l’article 8§1 de la CEDH.

La CNIL a adopté une position médiane, qui ne manque pas de logique : tous les mails issus et reçus sur le poste de travail revêt un caractère professionnel (Rapport CNIL 28 mars 2001).

Ainsi donc l’entreprise peut contrôler ces message et faire installer des logiciels espions afin d’éviter les virus ou les fichiers malfaisants.

L’entreprise ne sera pas toujours tenue responsable des défaillances du système informatique et la Cour de cassation fait une application classique de la responsabilité contractuelle.
Cass. Com. 7 juillet 2009, N° 08-14231
« que la responsabilité d’un prestataire de service ne peut être engagée sur le fondement d’un manquement au devoir de conseil que s’il est établi qu’il existe un lien de causalité entre la faute reprochée à celui-ci et le dommage subi ; que la cour d’appel, en jugeant que la société Nextira One devait être déclarée responsable des conséquences du dysfonctionnement de l’installation téléphonique de la société Gamma Cadjee, faute d’avoir proposé les systèmes les plus adaptés aux besoins de l’utilisateur au regard des problèmes de sécurités téléphonique et informatiques susceptibles d’être rencontrés »

Second cas : Lorsque la fuite est intentionnelle, elle se caractérise par le recel d’information et constitue un délit pénal.

Le recel est puni à l’article 321-1 du code pénal de 5 ans d’emprisonnement et de 375.000€ d’amende. L’intrusion informatique est punie à l’article 321-1 du code pénal de 2 ans de prison et de 30.000€ d’amende. Si l’intrusion vise la suppression ou la modification de données contenues dans le système, la sanction est portée à 3 ans de prison et 45.000€ d’amende.

Le recel d’information est difficilement chiffrable pour les entreprises. Mais à l’heure du numérique et de l’internationalisation des ressources humaines, l’environnement numérique facilite ce type de recel.

Les récentes affaires Michelin et Renault prouvent que l’information est un bien immatériel qui s’ignore et que les dispositions actuelles ne suffisent plus à l’heure du numérique et des échanges à l’international dans un système concurrentiel accru.

C’est pourquoi le député Carayon a dévoilé le 12 janvier dernier un projet de loi visant à renforcer la protection du secret des affaires. Une nouvelle catégorie d’information va apparaître, l’information économique protégée accompagnée de mesures juridiques appropriées pour préserver les intérêts économiques des entreprises.

De l’autre côté de l’atlantique, des mesures ont déjà été prises.

Le Cohen Act vise à protéger le secret des affaires, qui est défini très largement comme une information privilégiée et instaure un délit de « vol de secret des affaires » puni de 10 ans de prison et 5 millions d’amende de dollars en cas de violation. Cette loi vise très clairement à non seulement protéger les entreprises contre l’espionnage économique mais met les entreprises et leurs droits de propriété intellectuelle dont le savoir-faire au cœur des préoccupations économiques.

Depuis 2005, il existe le Privacy Act of 2005 définit de façon large les données à caractère personnel, et inclus notamment les e-mails, photographies et numéro de téléphone. Cette loi prévoit aussi le nom de la personne ou entité qui rassemble ces données, et d’informer de l’utilisation qui en sera faite, le type d’informations personnelles et la description des destinataires possibles.

Le Privacy Act oblige les entreprises à mettre en place des systèmes de sécurité pour lutter contre la fuite d’informations. Les entreprises ont aussi l’obligation d’informer leurs clients lorsqu’elles sont victimes de telles fuites ou attaques. Par exemple, l’Université de Los Angeles a été victime d’un vol d’information sur 800.000 noms.

Ainsi donc, les Etats sont soucieux de protéger les entreprises et leurs intérêts économiques et érigent en un droit nouveau le secret des affaires et l’information confidentielle, dans un environnement de plus en plus concurrentiel.


Voir les articles précédents

    

Voir les articles suivants