Interview de Maître Christiane Féral-Schuhl, avocate associée (société d’avocats Féral-Schuhl / Sainte-Marie)
La gestion du risque informatique constitue un enjeu majeur pour les entreprises, parfois sous-estimé. Les conséquences sont lourdes en cas de défaillance.
L’avocat peut constituer un partenaire privilégié de l’entreprise dans sa politique de sécurité des systèmes d’information, d’autant plus que l’utilisation des nouvelles technologies implique souvent un risque juridique.
Maître Féral-Schuhl, avocate spécialiste des nouvelles technologies, livre à entreprise-et-droit une approche concrète de ces risques. Quels sont-ils ? Comment s’en prémunir ?
Entreprise-et-droit : Comment définir le risque informatique ? Quelles précautions prendre ?
Maître Christiane Féral-Schuhl : On pense spontanément aux risques d’agression (intrusion, virus, vol d’informations…). Ces risques sont bien réels mais ce qu’on oublie le plus souvent, c’est que ces atteintes trouvent leur source à l’intérieur de l’entreprise. Il faut donc, en marge des solutions standard mises en œuvre partout (comme les anti-virus), mettre en place une veille sécuritaire. Elle peut être ponctuelle, par exemple sous la forme d’audits ou encore de tests d’intrusion. Elle peut être permanente, par exemple par un contrôle de la gestion des accès. En marge de ces mesures préventives, il faut bien sûr veiller à la mise à niveau permanente des solutions technologiques, tout particulièrement des anti-virus évoqués précédemment. Il faut également s’assurer que les tiers, tout spécifiquement les prestataires de téléassistance, n’ont plus accès au réseau une fois leur prestation terminée. Récupérer les badges, changer les codes d’accès constituent des précautions élémentaires. Sur un terrain plus juridique, il convient également de vérifier les clauses de confidentialité dans les contrats de travail, dans les contrats des tiers qui ont accès à l’entreprise.
E&D : En pratique, quels sont les risques les plus importants pour les entreprises ? Quelles sont les erreurs à ne pas commettre ?
Me C. Féral-Schuhl : En dehors des atteintes en provenance de l’intérieur comme de l’extérieur de l’entreprise, je vois deux risques principaux : le risque de discontinuité du service qui peut mettre l’activité de l’entreprise en péril et le risque de perte du patrimoine informationnel. L’erreur, c’est évidemment de sous-estimer ces risques et de ne pas les anticiper.
E&D : Comment peut-on anticiper le risque de discontinuité du service ?
Me C. Féral-Schuhl : Il existe plusieurs solutions à la fois juridiques et opérationnelles. Il faut tout d’abord identifier les applications sensibles et vérifier, pour chacune d’elles, s’il existe un plan de réversibilité ou de transférabilité. L’idée, c’est de pouvoir basculer, dans la continuité, sur une autre solution technologique sans perte de qualité, ou tout au moins en maîtrisant le processus. Il est également utile de prévoir des solutions de contournement, par exemple, si les fiches de paye ne peuvent pas être émises, quelle est la solution susceptible d’être mise en œuvre ? Il faut bien sûr prévoir des sauvegardes et des contrats de back-up. N’oublions pas que les entreprises qui ont survécu au 11 septembre sont celles qui disposaient de solutions de back-up, leur permettant ainsi de poursuivre leur activité. Enfin, l’accès aux codes-source des logiciels sensibles participe également d’une solution de sauvegarde préservant l’autonomie de l’entreprise. Pour autant, il ne faut pas négliger l’examen des contrats d’assurances et la vérification concrète de ce qui se passe si le scénario catastrophe se produit. Quant aux contrats concernés, il faut vérifier plus particulièrement deux clauses : la clause de force majeure et les conséquences liées à la fin du contrat.
E&D : Peut-on établir un lien entre risque informatique et risque juridique ?
Me C. Féral-Schuhl : Le risque lié à la perte du patrimoine informationnel en est un excellent exemple. Le chef d’entreprise a l’obligation de restituer l’information d’une part, dans le respect des prescriptions légales : 30 ans (contrats de travail, contrats de société…), 10 ans (contrats commerciaux, factures….), 5 ans (documentation informatique relative aux traitements informatisés des données comptables…) et, d’autre part, avec toutes les garanties d’intégrité et d’authentification imposées par la loi.
E&D : Quels sont, sur le terrain technologique, les autres responsabilités du chef d’entreprise ?
Me C. Féral-Schuhl : La cybersurveillance engage la responsabilité du chef d’entreprise. S’il s’agit d’un outil relevant de son pouvoir de contrôle, il n’en reste pas moins tenu à deux règles : le principe de proportionnalité et le principe de transparence. L’outil doit être « proportionné » à la finalité du dispositif mis en œuvre et sa mise en œuvre doit être portée à la connaissance de l’employé et du comité d’entreprise, lorsqu’il y en a un. La jurisprudence en la matière démontre qu’il s’agit d’un domaine sensible.
Le respect de la loi informatique et libertés est également un sujet de préoccupation pour le chef d’entreprise. Tous les traitements de données qui permettent, directement ou indirectement, d’identifier une personne physique sont concernés. Outre les formalités déclaratives auprès de la Cnil, le chef d’entreprise a une obligation de transparence à l’égard des personnes concernées. Celles-ci doivent bénéficier également des droits d’accès, de rectification et d’opposition.
Sur un plan à la fois plus classique et plus large, il ne faut pas oublier les contraintes du code de la propriété intellectuelle. Les logiciels doivent être utilisés, au sein de l’entreprise, en conformité avec les termes de la licence souscrite (nombre d’utilisateurs limités). Le site web ou encore les bases de données ne doivent pas contenir d’éléments protégés.
E&D : Est ce qu’il existe des obligations spécifiques pour les entreprises qui ont une activité on-line ?
Me C. Féral-Schuhl : Il peut y en avoir. Pour ne prendre qu’un seul exemple, les entreprises qui font du commerce électronique ont l’obligation d’archiver les transactions d’un montant supérieur à 120 euros. Plus généralement, toutes les entreprises qui font de la prospection commerciale doivent respecter certaines règles. On retrouve un principe de transparence avec l’obligation d’identifier les messages à caractère publicitaire, l’émetteur du message et du site et de respecter la législation sur les offres promotionnelles. A ce titre, il faut tout particulièrement tenir compte de la règle de l’opt-in, c’est-à-dire s’assurer du consentement des internautes auxquels on adresse un mailing. Les seules dérogations possibles visent les produits ou services analogues fournis par la même personne physique ou morale et si le destinataire peut s’opposer sans frais ou encore les messages envoyés à des personnes physique « au titre de la fonction qu’elles exercent dans l’organisme privé ou public qui leur a attribué cette adresse ».
E&D : En quoi une approche juridique permet-elle de réduire le risque informatique ? Quels sont les outils juridiques utiles ?
Me C. Féral-Schuhl : Nous avons mis au point au cabinet une approche par les risques. Cette méthodologie a permis de répertorier sept risques majeurs pour l’entreprise et donc sept zones d’investigations. Pour chaque zone, il s’agit d’identifier le risque juridique et d’y apporter des solutions juridiques et opérationnelles. L’approche est dynamique et permet de trouver très rapidement – une réunion de deux heures suffit – les brèches des dispositifs en place. Elle permet aux responsables juridiques et informatiques de définir un plan d’action et de réaction.
Quant aux outils utiles, il y bien sûr la charte internet qui permet de bien encadrer les conditions d’utilisation des outils technologiques dans l’entreprise, tout particulièrement l’accès internet. Il y a également des registres des licences à mettre en place. On peut recourir à des actions de sensibilisation des employés, à des audits périodiques. Mais dans le cadre de la méthodologie évoquée, c’est indiscutablement la matrice des risques qui constitue l’outil de synthèse d’autant plus efficace qu’il a vocation à évoluer et qu’il assure le dialogue entre le juridique et l’opérationnel.
E&D : Quel est le rôle de l’avocat en matière de risque informatique?
Me C. Féral-Schuhl : Son expérience des contentieux lui permet d’enrichir la matrice des risques, tout particulièrement par la formulation de solutions juridiques. Il sait ce qui aurait dû ou pu être fait dans telle ou telle situation. L’avocat spécialiste en matière de technologie ajoute également une dimension opérationnelle. L’objectif, dans l’analyse du risque informatique, c’est de le détecter et de l’anticiper.
Le risque est bien réel. Il peut se concrétiser mais si le scénario de substitution a été mis au point, s’il fait l’objet d’une mise à niveau périodique, il n’y aura pas de surprise et donc pas de mise en jeu de la responsabilité. L’avocat peut accompagner constructivement cette démarche et faire en sorte qu’il n’y ait pas de contentieux.
Féral-Schuhl / Sainte-Marie
Société d’avocats
9, rue Royale – 75008 Paris
Tél : +33 1 70 71 22 00
Fax : +33 1 70 71 22 22
contact@feral-avocats.com
www.feral-avocats.com