Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Sécurité des sites internet et des systèmes d’informations : quelles responsabilités ?

Fraude informatique : Loi Godfrain du 5 janvier 1988

Obligation de sécurité des données : articles 34 et 35 Loi Informatique et Libertés

Vous êtes ici : Accueil > Actualités

L’ouverture des entreprises au réseau internet s’est accompagnée de nouveaux risques juridiques, aggravés par un durcissement législatif en terme de responsabilité. En effet, les défaillances de sécurité, qui rendaient hier l’entreprise victime en cas d’intrusion ou d’entrave à son traitement automatisé de données (1), peuvent désormais la rendre responsable, voire coupable. Ce peut être le cas, par exemple, lorsqu’une faille de sécurité permet l’accès aux données de l’entreprise ou lorsqu’un virus est rediffusé à travers elle.

dimanche 20 mai 2007

Les sanctions pénales en cas d’atteinte au traitement automatisé de données

Le fait d’accéder ou de se maintenir frauduleusement dans un système de traitement automatisé de données est puni de deux ans d’emprisonnement
et de 300 00 euros d’amende (2).

Lorsqu’il en résulte une suppression ou modification des données contenues dans le système, ou une altération de son fonctionnement, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende (3).

De plus, le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données, d’y introduire frauduleusement des données, de supprimer ou modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75000 euros d’amende (4).

Enfin, les personnes physiques coupables de ces délits encourent des peines complémentaires dont notamment l’interdiction, pour une durée de cinq ans au plus, d’exercer l’activité professionnelle ou sociale à l’occasion de laquelle l’infraction a été commise (5).

Toutefois, force est de constater que le durcissement pénal des atteintes aux systèmes des données n’est pas appliqué, en raison du faible nombre de victimes qui portent plainte. Et lorsque c’est le cas, les peines prononcées demeurent modestes.

Ainsi, le gérant d’un portail commercial, spécialisé dans le divertissement à caractère pornographique, a porté plainte à la suite d’un courrier électronique lui demandant de fermer son site internet ou d’accepter son rachat pour 3000 € par mois sous menace d’attaques Dos (Déni de service, Denial of service).

Dix jours après l’envoi de cette missive électronique, le site faisait l’objet de plusieurs attaques de type déni de service, destiné à altérer son fonctionnement par une saturation de requêtes. Ces attaques ont fini par entraîner la paralysie totale des services en ligne.

Par jugement du 19 mai 2006, le Tribunal de Grande Instance de Paris a condamné les prévenus à 5 000 euros d’amende pour entrave au fonctionnement d’un système de traitement automatisé de données et à indemniser la société victime de la fraude informatique pour la mobilisation des ressources humaines (9 600 euros) et l’atteinte à l’image (3 000 euros) (6).

L’étendue de la responsabilité du dirigeant et du responsable des traitements

En cas de défaillance de son système d’information, le dirigeant, en tant que chef d’entreprise ou responsable des traitements, risque d’engager sa responsabilité civile et pénale, s’il n’a pas pris les " mesures techniques et d’organisation appropriées (7) " pour protéger son système d’information contre des risques internes (8) ou externes.

La Cour de cassation a ainsi jugé qu’une erreur du système informatique de la Caisse d’allocations familiales ne pouvait servir de base légale à une demande de restitution d’allocations indûment perçue, et au contraire a condamné celle-ci à verser des dommages-intérêts d’un montant égal à l’indu réclamé (9).

De manière générale, en cas d’information incorrecte résultante d’un système d’information, qui peut avoir des effets négatifs sur les tiers, le responsable des traitements devra réparer le préjudice subi en versant des dommages et intérêts (10).

Récemment, le Crédit Lyonnais a été condamné à 45 000 € d’amende par la Commission Nationale Informatique et Libertés pour enregistrement abusif de plusieurs de ses clients dans le fichier des incidents de paiement de la Banque de France (11).

Il convient donc d’appréhender de manière précise le standard que les juges exigent du " bon professionnel" (12) à travers l’obligation de sécurité de la loi Informatique et Libertés.

En effet, la faute, l’imprudence ou la négligence peuvent engager la responsabilité pénale du chef d’entreprise en cas de divulgation de données à caractère personnel (13).

Le dirigeant doit en conséquent prendre les " précautions utiles" (14) exigées par la loi Informatique et Libertés pour assurer, " compte tenu de l’état de l’art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par les traitements et de la nature des données à protéger " (15).

Les exigences légales de sécurité, obligation de moyens renforcée, seront donc plus strictes dans des domaines sensibles comme les établissements bancaires et la santé.

La politique de sécurité informatique

En conclusion, bien que toutes les entreprises et les systèmes d’information
soient différents, toute politique de sécurité informatique doit garantir la disponibilité des ressources et des informations, l’intégrité des données, la confidentialité des données et la traçabilité des accès aux informations (16).

Sur cette base, le " bon professionnel " (17) doit bâtir sa politique de sécurité sur des éléments organisationnels et fonctionnels en nommant une personne et son suppléant en charge de la responsabilité de la sécurité du système d’information - le RSSI (18) - en formant son personnel et en rédigeant un code de bonne conduite.

A défaut son assurance risque de ne pas couvrir les conséquences pécuniaires de sa responsabilité.

Enfin, les exigences légales de sécurité montrent l’intérêt de nommer, en interne ou en externe, son " Correspondant Informatiques et Libertés " - CIL (19) - qui, outre les allègements administratifs dans la création ou la gestion des fichiers clients ou prospects, garantit un contact privilégié avec la CNIL auprès d’un service dédié.

Véritable conseil " Informatique et Libertés ", il réduira d’autant les risques juridiques tout en améliorant l’image de son entreprise (un second décret d’application de la loi devra prochainement organiser la mise en place d’un label pour les organismes ayant désigné un CIL)

Au 11 septembre 2006, 416 organismes ont notifié leur CIL à la CNIL. Liste consultable à l’adresse : http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CIL/liste_designations.pdf.

  1. Les sanctions pénales de la loi n° 88-19 du 5 janvier 1988 sur la fraude informatique (loi GODFRAIN) ont été alourdies.
  2. Article L. 323-1 du Code pénal. Ibid.
  3. Articles L. 323-2 et L. 323-3 du Code pénal.
  4. Article L. 323-5 du Code pénal.
  5. Tribunal de grande instance, Ministère public / Clément P., Elypsal, Thomas P., 19 mai 2006, disponible à l’adresse www.legalis.net.
  6. Article 17-1 de la directive du 24 octobre 1995.
  7. Selon une étude réalisée en 2004 par la société Ibas : en Grande-Bretagne, 69,6% des professionnels ont commis lors de leur départ un vol de propriété intellectuelle auprès de l’entreprise qui les employait, http://www.ibas.fr/nouveautes/articles/UK-2004-05-04/view?searchterm=69.6.
  8. Cour de Cassation, 2ème ch. civ., 13 mai 2003, n° de pourvoi 01-21423, http://www.legifrance.gouv.fr/WAspad/Visu?cid=226434&indice=2&table=INCA&ligneDeb=1
  9. Cour d’appel de Bordeaux, 2ème ch., 10 mars 1993, Juris-Data n° 41323.
  10. Obs. Lamy droit de l’informatique et des réseaux, éd. 2004, n° 668.
  11. Délibération CNIL n° 2006-174 du 28 juin 2006.
  12. Cour de Cassation, ch. soc., 31 mars 2003, n° de pourvoi : 01-21490, http://www.legifrance.gouv.fr/WAspad/Visu?cid=219640&indice=3&table=INCA&ligneDeb=1.
  13. Article 226-17 du Code Pénal : " Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende ".
  14. Article 226-22 § 2 du Code Pénal : " La divulgation (…) est punie de trois ans d’emprisonnement et de 100 000 € d’amende lorsqu’elle a été commise par imprudence ou négligence ". Dans un tel cas, l’élément intentionnel de l’infraction est présumé, dès lors qu’il y a eu imprudence ou négligence au regard d’une obligation prévue par la loi.
  15. Article 34 de la loi Informatique et Libertés.
  16. Article 17-1 de la directive du 24 octobre 1995.
  17. Rapport du CLUSIF, Maîtrise et protection de l’information, juin 2006, https://www.clusif.asso.fr/fr/production/ouvrages/pdf/Maitrise_et_Protection_de_l_Information.pdf.
  18. HENAL (Y.), Sécurité : Les cinq point faibles les plus fréquents, 6 janvier 2006, http://www.lemondeinformatique.fr/partnerzone/CA/content_9.
  19. Le cas échéant, le RSSI peut être une personne externe à l’entreprise. Salarié ou non de l’entreprise, dont le poste doit être notifié à la CNIL pour bénéficier des avantages accordés par la loi et ses textes d’application.

Nicolas Samarcq

Nos partenaires

Réalisation : Clic Story ®

Plan du site