i Sécurité numérique et responsabilité des entreprises | MediaTic Info
sécurité numérique

Sécurité numérique et responsabilité des entreprises

La sécurité informatique est aujourd’hui une préoccupation majeure des entreprises, TPE comme grands comptes. Il s’agit en effet, d’une part, d’éviter des pertes, destructions ou altérations de données, plus ou moins sensibles, que ce soit du fait d’un acte malveillant, d’une défaillance des systèmes ou d’une erreur humaine et d’autre part, d’éviter une éventuelle mise en jeu de la responsabilité de l’entreprise ou du chef d’entreprise qui résulterait d’un événement affectant le patrimoine informationnel de l’entreprise.

Les entreprises traitent de très nombreuses données et notamment des données personnelles, qui supposent une sécurisation tant physique et logique (système, réseaux et logiciels) que juridique, par exemple :

  • Fichiers RH
  • Fichier client et prospects
  • Utilisation d’un système téléphonique permettant l’attribution des communications à des postes individuels
  • Géolocalisation des salariés
  • Fichiers techniques,  etc.

Or, les responsables de traitements de données personnelles engagent leur responsabilité pénale et civile en cas de non-respect des obligations légales imposées par la Loi Informatique et Libertés, notamment.

En outre, le fait pour les entreprises de ne pas avoir mis en place de plan de restauration de données peut leur faire subir un préjudice extrêmement important en cas de destruction volontaire ou involontaire des données.

Le comportement des salariés peut également être à l’origine la mise en jeu de la responsabilité de l’entreprise.

Ainsi, à titre d’exemple les tribunaux ont eu à se prononcer sur la responsabilité d’une entreprise du fait de comportements fautifs d’un salarié ayant téléchargé des logiciels sans licence, faute d’une charte informatique claire.

En effet, l’entreprise est toujours responsable du comportement de ses salariés, sauf lorsque celui-ci est détachable de ses fonctions. Dans le cas d’espèce, l’entreprise n’a pu invoquer la faute détachable et s’exonérer de sa responsabilité, faute de prouver l’existence d’une charte et d’une information claire adressée aux salariés.

De même, le comportement d’un salarié déposant des propos injurieux ou diffamant sur des blogs ou réseaux sociaux à partir des outils informatiques de l’entreprise a pu entraîner la responsabilité civile de l’entreprise, ou encore l’intrusion d’un salarié dans le système informatique d’un tiers à partir du système de son entreprise.

Le développement des BYOD (« bring your own device ») permettant aux salariés de travailler sur leur propre matériel, en partie financé par l’entreprise (ou non) génère de nouvelles responsabilités et suppose que de nouvelles précautions soient prises, mais surtout que la règle du jeu soit claire.

Enfin, l’entreprise peut être appelée à gérer des données appartenant à des tiers et qui lui sont confiées, par exemple, dans le cadre d’accords de confidentialité. Une faille de sécurité peut entraîner la dissémination de ces informations et la mise en jeu de la responsabilité de l’entreprise

Il résulte de tout ceci que, pour conforter leur activité, préserver les données indispensables à leur activité et éviter la mise en jeu de leur responsabilité, les entreprises ont tout intérêt à mettre en place des outils et des procédures, relativement simples, mais particulièrement efficaces, de façon à s’assurer de leur situation au regard des règles régissant les données personnelles et de définir une règle du jeu au moyen d’une charte d’utilisation des outils numériques d’autre part.

La sécurité numérique repose ainsi sur trois piliers essentiels et complémentaires :

Un pilier technique : la sécurisation physique et logique des SI

Un pilier juridique : l’audit des données juridiquement sensibles et des contrats et la mise en place de mesures adaptées

Un pilier psychologique : la sensibilisation des utilisateurs. En effet, faute d’une telle sensibilisation permettant aux utilisateurs de comprendre les enjeux, les deux autres phases perdent considérablement en efficacité. La sensibilisation est même la première étape avant la mise en place de procédures et d’outils.

La sécurité numérique est donc le fruit d’une sensibilisation des acteurs et de la coopération de divers intervenants

Sécuriser ses systèmes d’information, c’est sécuriser son patrimoine et éviter des risques susceptibles de mettre en jeu la responsabilité de l’entreprise.

Jean-Pierre Gasnier – Avocat associé Cabinet AKHEOS

Membre de Medinsoft et du CIP

Ce contenu a été publié dans Avis d'Experts, avec comme mot(s)-clé(s) , , . Vous pouvez le mettre en favoris avec ce permalien.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *