• Quelle responsabilité en matière de sécurité informatique ? -fr 
Nos publications

Quelle responsabilité en matière de sécurité informatique ?

A défaut de mettre en place une politique de sécurité en interne, le chef d’entreprise risque de voir sa responsabilité engagée…

Contexte

Les différents types d’attaques informatiques (virus, vers, chevaux de Troie, bombes logiques) sont sanctionnés pénalement en droit français par les articles 323-1 à 323-7 du nouveau code pénal issus de la loi Godfrain.

En particulier, ‘le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 300000 francs d’amende’ (article 323-2 Nouveau Code Pénal). De même, ‘le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de modifier frauduleusement les données qu’il contient‘ est puni des mêmes peines (article 323-3 NCP).

Ces deux textes ont été utilisés très tôt par la jurisprudence comme fondement juridique d’une action pénale contre une infection par un virus informatique (CA Paris, 15 mars 1995, JCP 1995, IV, 1425). Ce sont donc ces textes pénaux que l’entreprise victime pourra invoquer à l’encontre de l’auteur des atteintes de son système informatique, même si bien souvent l’identification de cet auteur ne sera pas aisée à déterminer.

La nécessité de sécuriser le serveur de l’entreprise.

Les serveurs d’entreprises doivent donc être sécurisés face à ce type d’attaques de plus en plus perfectionnées et nombreuses. Cette sécurisation doit s’effectuer sur un double plan : technique et juridique (ou contractuel).Les entreprises sont invitées, notamment par la C.N.I.L., à rédiger des chartes d’utilisation de l’outil informatique et des réseaux au sein de l’entreprise. Les dispositions de ces chartes doivent définir des procédures de sécurité strictes à respecter.

Les mêmes dispositions contractuelles doivent être prises avec les administrateurs réseaux et tout tiers amené à accéder ou à utiliser le serveur de l’entreprise. Une formation du personnel sera également la bienvenue.

Ce premier stade de sécurité permet de sensibiliser les salariés aux problèmes de sécurité et de se déresponsabiliser partiellement.

Du point de vue technique, l’entreprise devra également prendre un certain nombre de mesures avec notamment l’installation d’un firewall, d’anti-virus mis à jour quotidiennement, des mesures de blocage des tentatives d’intrusion et des virus informatiques, la gestion de mots de passe et autres systèmes d’accès limité et hiérarchisé utilisant des clés de cryptologie.Il faudra également sécuriser les installations informatiques au niveau physique (sécurité des locaux).

En l’absence de ce minimum de diligence quant à la mise en œuvre de mesures de sécurité, les serveurs d’entreprises sont exposés à un risque réel d’attaque. Les hackers aiment sévir de façon anonyme ou en usurpant l’identité d’autres personnes. Se servir d’un serveur d’entreprise les intéresse donc au plus haut point pour propager des virus, notamment aux adresses électroniques répertoriées sur ledit serveur (adresses de clients, de partenaires, fournisseurs, salariés…).Dès lors, dans quelle mesure l’entreprise, expéditrice naïve d’un virus, pourrait-elle voir ses responsabilités pénale et/ ou civile engagées? En cas de contentieux, il appartiendra au juge et aux experts désignés d’apprécier l’existence ou non de la responsabilité en fonction des mesures préventives qui ont été prises, de l’état de l’art de la sécurité informatique et de l’apparition de nouveaux types de virus.

Ainsi, une entreprise qui sera victime de la première ‘vague de contamination’ d’un nouveau virus, qu’aucun anti-virus ne connaît, ne verra sans doute pas sa responsabilité engagée ; alors que si le serveur de l’entreprise est infecté par un virus qui date de plusieurs mois et propage celui-ci, sa responsabilité sera certainement retenue.

 

L’éventuelle responsabilité pénale.

L’article 29 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés énonce que ‘toute personne ordonnant ou effectuant un traitement d’informations nominatives, s’engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées, endommagées, ou communiquées à des tiers non autorisés‘. La violation de cet article 29 est lourdement sanctionnée pénalement par l’article 226-17 du code pénal (cinq ans d’emprisonnement et 300000 euros d’amende). L’article 17 de la directive du 24 octobre 1995 vient compléter cette obligation de sécurité qui pèse sur le responsable du traitement.Celui-ci ‘doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que toute autre forme de traitement illicite. Ces mesures doivent assurer, compte-tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des risques à protéger‘.

La vocation première de ces textes est de protéger les droits fondamentaux des personnes concernées par le traitement de données personnelles.

Mais le contenu de ces dispositions reste large ( ‘et notamment‘) et il semble pouvoir couvrir le cas d’une infection d’un client par un virus informatique émis par le serveur de l’entreprise; serveur qui constitue le traitement automatisé de données et sur lequel se trouve notamment le carnet d’adresses des clients.

Il est souvent considéré que le manquement de l’obligation de sécurité prévue à l’article 29 de la loi de 1978 pourrait servir de fondement à une action si les employés, les clients ou les internautes subissent un préjudice du fait d’une mauvaise protection du système informatique (absence d’un firewall par exemple) et du fait de l’intrusion d’un virus facilitée par défaut de filtres techniques ou de vigilance.

La jurisprudence semble ne pas avoir encore eu à se prononcer sur la question. En tout état de cause, si la responsabilité pénale de l’employeur n’était pas retenue, celui-ci pourrait voir sa responsabilité civile engagée sur le fondement des articles 1382, 1383 et 1384 alinéa 5 du code civil.

La responsabilité civile de l’employeur.

L’absence d’une grande partie des moyens de sécurisation du serveur de l’entreprise décrits ci-dessus est susceptible de constituer une faute civile donnant lieu à responsabilité.Cette omission dans la mise en place de mesures de sécurité suffisantes caractérisera une faute par abstention. L’article 1383 du code civil énonce que ‘chacun est responsable du dommage qu’il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence‘. L’entreprise qui n’aura pas pris des mesures de sécurité raisonnables pour protéger son serveur contre une infection informatique virale sera de toute évidence négligente au sens de cette disposition.

Comme nous l’avons dit précédemment, ce sera au juge et aux experts de déterminer si la faute est constituée.

Lorsque le virus (ou la bombe logique) est installé sur le serveur de l’entreprise par un de ses salariés, les clients ou partenaires de l’entreprise qui seraient ensuite contaminés par ce virus (depuis ce serveur) peuvent bien sûr engager la responsabilité pénale dudit salarié sur le fondement des articles 323-2 et 323-3 du code pénal, mais également la responsabilité civile de l’employeur sur le fondement de l’article 1384 alinéa 5 du code civil.Cet article énonce que ‘les maîtres et les commettants (sont responsables) du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés‘. Dans l’hypothèse qui nous intéresse, ce texte aura vocation à s’appliquer de manière certaine tant les juges ont fait une application très large de cet article dans d’autres domaines.

En effet, la jurisprudence considère que dès l’instant que le salarié a agi sur le lieu de son travail, pendant le temps et à l’occasion de celui-ci, le salarié n’agit pas hors de ses fonctions.

Tel a été le cas du préposé d’une entreprise de nettoyage ou de gardiennage auteur d’un vol dans les locaux extérieurs que son entreprise était chargée de nettoyer ou de surveiller (Civ. 2ème, 22 mai 1995, crim., 16 février 1999), ou encore du salarié qui a projeté de l’air comprimé dans le rectum d’un compagnon de travail, trouvant dans son emploi l’occasion et les moyens de sa faute (Crim., 23 juin 1988).

Certes, l’employeur pourra ensuite se retourner contre le salarié fautif, mais sans être certain d’être intégralement remboursé (problèmes d’insolvabilité).

La jurisprudence ne s’est pas encore prononcée sur la responsabilité d’un employeur du fait des dommages causés par l’introduction sur son serveur, par l’un de ses salariés, d’un virus ayant contaminé des clients.Le tribunal correctionnel de Lyon, le 20 février 2001 a condamné un ancien salarié qui avait envoyé, depuis son nouveau poste de travail et sur le matériel mis à sa disposition par son nouvel employeur, une grande quantité de courriers électroniques et de fichiers sur le serveur de son ancien employeur dans le seul but d’encombrer la bande passante et de ralentir son système.

Ce salarié écopa de huit mois de prison avec sursis et 20000 francs d’amende et fut condamné à 300000 francs de dommages et intérêts pour les préjudices qu’il avait causé à son ancien employeur.

Dans cette affaire, la responsabilité civile du nouvel employeur du fait de son salarié sur le fondement de l’article 1384 alinéa 5 ne fut pas engagée, mais ce risque existe bel et bien, ce pourquoi, l’employeur doit assurer la sécurité de son serveur et faire signer à ces différents salariés des règles d’utilisation de l’outil informatique.

Conclusion

Toute entreprise qui possède son propre serveur est donc vivement incitée à prendre des mesures de sécurité appropriées, tant sur le plan technique, juridictionnel et organisationnel.En effet, en cas de faute ou de négligence quant à cette obligation de sécurité provoquant l’infection par un virus préalablement contracté de milliers de clients et de fournisseurs, l’entreprise, au-delà du fait qu’elle est susceptible de voir sa responsabilité engagée verra son image de marque ternie et perdra la confiance de ses différents interlocuteurs… confiance qui est au cœur du succès du commerce électronique.