JURIDIQUE 
Responsabilité de l'entreprise et de ses dirigeants du fait de la perte de données informatiques
par Maître Isabelle Renard
August & Debouzy (23 janvier 2003)
         
  D'après une étude récente réalisée par Acadys France, les directions générales prennent conscience de ce que le système d'information d'une entreprise s'évalue non pas uniquement en terme de budget et de coût, mais également en terme de "valeur". L'informatique sort du rôle d' "outil" pour devenir un véritable levier de compétitivité, notamment pour ce qui concerne l'amélioration de la gestion de l'information et de l'image de l'entreprise.

L'information gérée par les systèmes informatiques comprend des éléments de nature et d'utilité très différentes : information financière susceptible de donner des indicateurs pertinents aux dirigeants ; information stratégique liée à l'exploitation des méthodes d'intelligence économique ; résultats de la R&D ; information relatives aux fusions acquisitions envisagées ; information client ; information sur le personnel, et bien d'autres encore qui sont fonction du métier de l'entreprise.

Ces données a priori disparates ont néanmoins des points communs : elles sont confidentielles et/ou ont une valeur stratégique forte pour l'entreprise. Leur perte, leur altération, ou leur divulgation involontaire est susceptible de causer un dommage important soit à l'entreprise elle même (perte d'image, perte financière, dévalorisation de l'actif net) ou à des tiers personnes physiques ou morales (par exemple divulgation d'un fichier client comportant des données sensibles, ou dissémination d'information confidentielle d'un partenaire commercial ou de R&D).

De tels évènements dommageables peuvent provenir d'attaques externes au système d'information (piratages, virus), et ce sont à elles que l'on pense le plus souvent car elles ont été fortement médiatisées. Mais, comme le montrent plusieurs enquêtes récentes, le danger le plus sérieux pour les ressources stratégiques de l'entreprise émane aussi souvent de malveillances internes, qui sont le fait d' "espions" infiltrés dans l'entreprise et ayant un accès trop facile aux postes utilisateurs, souvent mal protégés par un simple mot de passe.

Il en résulte qu'une gestion "en bon père de famille" du système d'information afin de protéger ces données et éviter les dommages nécessite non seulement de se munir d'outils contre les attaques externes, mais de mettre en place une gestion stricte et sécure des postes de travail en interne, de contrôler les flux entrant et sortant, et de maîtriser les relations avec les prestataires.

A défaut, la responsabilité de l'entreprise, ou le cas échéant de son dirigeant, pourrait être en mise en cause en vertu de l'un des principes que l'on rappelle brièvement ci-après pour ce qui concerne la responsabilité des dirigeants :

- La responsabilité civile du dirigeant peut être engagée pour des dommages causés à la société ou aux tiers du fait d'une faute du dirigeant, caractérisée soit par le non respect de dispositions légales ou réglementaires applicables à la société, soit pour faute de gestion (acte contraire aux intérêts de la société). S'agissant des tiers, la responsabilité du dirigeant ne peut être engagée que si la faute est détachable de ses fonctions.
- La responsabilité pénale du dirigeant peut être engagée pour une infraction qu'il a personnellement commise dans l'exercice de ses fonctions, mais également pour une infraction commise par un préposé, au titre de son obligation d'exercer un contrôle sur le fonctionnement de l'entreprise. Une délégation de pouvoir (valable) peut exonérer le dirigeant de sa responsabilité pénale.

En matière pénale, c'est par principe le dirigeant qui est responsable, sauf si un texte spécifique permet d'engager la responsabilité pénale de l'entreprise, le choix restant à la discrétion du parquet.

Appliqués aux dommages relatifs à la dégradation de données gérées par les systèmes d'information de l'entreprise, ces principes généraux permettent d'établir une typologie sommaire des chefs de responsabilité qui pourraient être imputables à l'entreprise ou son dirigeant.

1 - La responsabilité civile du dirigeant pourrait être engagée si par une faute caractérisée de sa part, l'entreprise subissait une perte de données qui lui serait très dommageable (on peut penser à un secret de fabrique ou de savoir-faire, une donnée particulièrement stratégique, ou la diffusion d'une information corporate confidentielle dont la diffusion prématurée peut désorganiser l'entreprise) ; à notre sens, une telle faute pourrait s'entendre par une incapacité avérée et répétée du dirigeant à prendre la moindre mesure d'organisation et de protection du système d'information de l'entreprise.

2 - La responsabilité pénale du dirigeant ou de l'entreprise (selon le cas) pourrait être engagée sur différents fondements qui sont pour l'essentiel :

- la législation protectrice des données nominatives
L'article 226-17 du Code Pénal réprime le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations, et notamment d'empêcher qu'elles ne soient communiquées à des tiers non autorisés.

Il est intéressant à cet égard de noter que le fait pour une société de ne pas avoir respecté cette obligation de sécurité a conduit les magistrats à considérer que cela privait cette dernière de tout recours contre le pirate qui avait détourné son fichier client. Dans un jugement rendu par la Cour d'Appel de Paris le 30 octobre 2002, Tati s'était constituée partie civile à l'encontre de l'animateur du site kitetoa.com pour accès frauduleux dans son système d'information, mais la Cour avait considéré que : "(la société Tati) ne saurait se prévaloir de ses propres carences et négligences pour arguer d'un prétendu préjudice, en réalité subi par les personnes victimes éventuelles de violations de leur vie privée ; qu'il y a lieu, en conséquence, de débouter cette société de ses demandes".

- L'atteinte à un "secret de fabrique", qui sanctionne les directeurs ou employés ayant révélé un secret ou un savoir-faire (art L152-7 du Code du travail).

En conclusion, il nous paraît utile d'attirer l'attention des dirigeants sur la part de risque que recèle un système d'information mal protégé, y compris pour eux à titre personnel dans des cas extrêmes ; cette responsabilité va de pair avec la prise de conscience de ce que l'information est devenue valeur, parfois la seule détenue par une entreprise, et qu'elle est traitée par des systèmes qui ne fonctionnent pas tout seuls mais en vertu de la façon dont les hommes les exploitent…

 

 
 Isabelle Renard
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Chaine Parlementaire Public Sénat | Michael Page Interim | 1000MERCIS | Mediabrands | Michael Page International

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters