"Piété,
propreté et ponctualité
font la force d'une bonne affaire"
Article 1 du règlement intérieur
de la Bonneterie de Chaumont, 1856
D'autres chroniques d'Isabelle
Renard
|
|
Comme le temps passe ! A part la ponctualité,
tout cela est devenu politiquement bien incorrect. De nos jours, les DSI qui sont
à la tête du système d'information d'une bonne affaire se
demandent s'ils peuvent ou non ouvrir les messages des salariés, et ils
s'interrogent sur leur responsabilité pénale du fait d'un problème
de sécurité du système d'information de leur entreprise.
La notion "d'homme raisonnable", à
l'aune de laquelle les magistrats mesurent le comportement du particulier comme
du professionnel, évolue avec son temps. Le problème, pour le DSI,
c'est que le concept de DSI raisonabilus n'a pas encore émergé
de façon très claire. Les règles de responsabilité
de droit commun ne font pas toujours bon ménage avec le droit du travail,
et le moins qu'on puisse dire est que les décisions des tribunaux en matière
de surveillance des salariés, par exemple, manquent singulièrement
de cohésion.
Les
risques et conséquences juridiques associés à un défaut
de sécurité du système d'information sont perçus par
la plupart des professionnels de l'informatique et de la sécurité
comme une jungle peu lisible, porteuse de contraintes diffuses et mal identifiées.
Nous avons souhaité, de façon très
résumée, donner quelques clés de décodage à
ceux qui sont inquiets au regard des risques qu'ils encourent. Dans un premier
tableau, nous avons résumé la possibilité pour l'entreprise,
le dirigeant, le DSI ou le "simple" salarié de voir sa responsabilité
pénale ou civile engagée du fait d'un préjudice causé
à un tiers au travers du système d'information de l'entreprise.
Dans un second temps, nous avons répertorié les cas les plus probables
d'infractions pénales liées à l'utilisation du système
d'information.
I - Les responsabilités encourues par
l'entreprise, son dirigeant ou un salarié
|
Responsabilité
civile
|
Responsabilité
pénale
|
Entreprise
|
ar un tiers ayant subi un dommage,
sur un fondement contractuel ou délictuel (si aucun contrat avec l'entreprise)
|
Oui, si prévue par le
Code Pénal
|
Dirigeant |
Rare (faute de gestion) |
Oui, si la faute est commise personnellement
par le dirigeant, ou par un préposé dans le cadre de son emploi |
Dirigeant DSI |
Non, mais recours disciplinaire
de l'employeur |
Oui :
- pour les fautes commises personnellement
- Et pour les fautes commises par un préposé si le DSI a une délégation
de pouvoir valable |
Salarié |
Non, mais recours disciplinaire
de l'employeur |
Oui, pour les fautes commises personnellement |
Ces principes
généraux doivent bien entendu être replacés dans le
contexte considéré , et peuvent soulever des difficultés
d'application : une délégation de pouvoir n'est pas toujours valable,
et il n'est parfois pas simple de déterminer si la faute commise par un
employé se rattache ou non à son activité professionnelle.
Ce qui est sûr est qu'il est indispensable de mettre au point et d'appliquer
une charte informatique qui encadre avec précision l'utilisation des moyens
informatiques de l'entreprise, selon des modalités qui permettent de l'opposer
à tous les salariés (discussion collective, intégration
au règlement intérieur).
II - Les principales infractions pénales
en matière de système d'information
Chacune de ces infractions peut engager
la responsabilité de l'entreprise, de son dirigeant, du responsable muni
d'une délégation de pouvoir ou encore du salarié, selon les
circonstances.
- Toutes infractions pénales commises par
le salarié à partir de leur accès aux ressources informatiques
de l'entreprise et au réseau (diffamation, fraude, escroquerie, etc
)
- L'atteinte à un "secret de fabrique", qui sanctionne
les directeurs ou employés ayant révélé un secret
ou un savoir-faire (art L152-7 du Code du travail).
- Les infractions à la législation sur les données
nominatives. L'article 226-17 du Code Pénal prévoit des
peines lourdes pour quiconque aura procédé ou de fait procéder
à un traitement automatisé d'informations nominatives sans prendre
toutes les précautions utiles pour préserver la sécurité
de ces informations, et notamment empêcher qu'elles ne soient communiquées
à des tiers non autorisés.
- La loi Godfrain du 5 janvier 1988, en cas d'intrusion non autorisée
par un salarié de l'entreprise dans un autre système d'information
à partir des moyens fournis par son employeur (Art 323-1 et suivants Nouveau
Code Pénal).
- La contrefaçon, en cas
d'introduction dans l'entreprise sans autorisation d'éléments protégés
par un droit de propriété intellectuelle (logiciels, logiciels libres
si commercialisés en contravention de leur licence, textes et contenus,
etc
).
Tout métier comporte des risques, et ce
d'autant plus que notre société se judiciarise beaucoup. Les nouveaux
métiers comme ceux de DSI ou de RSSI n'y échappent pas ; simplement,
comme les risques sont nouveaux, les repères sont encore un peu flous.
Car c'est bien de "repère" qu'il s'agit, nul ne prétend
que le zéro défaut existera jamais en matière d'informatique.
Ce qui existe, c'est un comportement "raisonnable" et "diligent"
compte tenu de l'organisation de l'entreprise et de l'état de l'art de
la technique, et c'est au regard de ce modèle que les magistrats apprécieront,
au cas par cas, la responsabilité éventuelle de ceux qui ont pour
tâche de gérer le système d'information de l'entreprise.
|