Quelle responsabilité lors de la diffusion de virus ?

Selon les articles L323-1 et suivants du Code Pénal, est répréhensible toute atteinte portée à un système de traitement automatisé d’information.La loi GODFRAIN du 5 janvier 1988 punit l’entrave au fonctionnement d’un système, l’accès et le maintien frauduleux, l’altération et la suppression des données.

Les peines encourues sont de deux ans d’emprisonnement et de 200.000,00 F d’amende, outre les dommages et intérêts civils.

La tentative est punissable au même titre que le délit constitué.

A ce titre, les entreprises mal protégées subissent particulièrement les conséquences d’un virus qui a pour effet d’envoyer via serveur ou via messagerie ce même virus à d’autres fichiers ou à des tiers.

En cas d’envoi de virus, l’entreprise émettrice de l’envoi du virus reste responsable de ce délit, même si l’opération se déroule à ses dépens. L’entreprise réceptrice en établissant l’origine de l’envoi se retournera contre son émetteur.

Pour éviter une telle mise en cause, l’entreprise à l’origine du message devra apporter la preuve de sa bonne foi.

Sa négligence à mettre en place les outils adéquats de protection pourra être retenue. Le montant des dommages et intérêts qui peuvent lui être réclamés sont sans commune mesure avec la mise en place de l’outil de protection adapté.

De même, les garanties souscrites, comme l’assurance de responsabilité professionnelle, pourront également exciper de la négligence manifeste liée au défaut de politique de protection en interne.

Des virus peuvent également avoir comme effet d’expédier des fichiers à l’extérieur de l’entreprise. Celle-ci, souvent liée par contrat de confidentialité avec ses partenaires, les enfreint alors à nouveau à ses dépens.

Ici encore, sa responsabilité pourra être recherchée pour non-respect de la confidentialité des informations émises.

Acculée à une telle responsabilité, on pourrait imaginer qu’en interne, l’on recherche les responsabilités : de l’administrateur réseau pour ne pas avoir mis en place les outils appropriés, du directeur informatique pour ne pas les avoir proposés, du responsable des relations avec l’extérieur…

Sauf délégation expresse de pouvoir, la responsabilité relève du représentant légal de la société ou de la personne morale concernée.

Toutefois, la mission confiée à un salarié peut prévoir des délégations strictes en terme de sécurité et une faute professionnelle peut parfois être démontrée.

L’entreprise peut également s’interroger sur la responsabilités de ses prestataires extérieurs tels que les hébergeurs ou les fournisseurs d’accès.

Souvent liés par une obligation de moyens, leur responsabilité, à défaut de stipulation expresse, sera difficile à retenir. Toutefois, on peut envisager des engagements spécifiques en matière d’alerte et d’informations.

En toute hypothèse, il semble indispensable d’exiger de tous les prestataires externes une totale disponibilité dans la recherche de la preuve.

En effet, puisqu’il appartient à l’entreprise de prouver sa bonne foi, elle aura tout intérêt à utiliser la procédure appropriée en terme de préservation de la preuve.

.