03
 
 
  LE CABINET
 
02
02
02
 
LES SERVICES
 
02
02
02
02
02
 
LES BULLETINS 02
01
 
02
02
02
02
02
02
02
02
02
02
 
 
 
02
02
02
02
02
Le Droit de l'Entreprise

DROIT DE L'INFORMATIQUE
Sécurité du système d'information : où s'arrêtent les responsabilités du DSI ?
Publié le 09/02/2009
Partager sur FacebookPartager sur LinkedinPartager sur Viadeo separateur version imprimable 

Les DSI sont, en tant que responsables hiérarchiques, opérationnels et hommes de l'art, exposés à divers risques juridiques. Essayons de définir les limites de leurs responsabilités, au regard de chacune de leurs missions essentielles.

L'analyse des vulnérabilités

Qu'il soit RSSI ou DSI, le responsable opérationnel de la sécurité des systèmes d'information, joue, en raison de son savoir-faire, de sa connaissance des processus et des systèmes d'information, un rôle de plus en plus important depuis l'avènement d'internet et le développement du concept d'entreprise étendue. Il ne s'agit plus d'"empiler les technologies" en installant et en paramétrant de manière pragmatique des pare-feu et des antivirus, mais de gérer, de manière méthodique, des processus en recherchant la probité, la confidentialité et l'authenticité.

Cette évolution conduit également à exposer le DSI à un risque plus important. Toutefois, la faute qu'il pourrait commettre dans l'analyse des vulnérabilités serait appréciée au regard de son expérience et de son ancienneté au sein de l'entreprise - un parcours "sans faute" atténuant la gravité d'une erreur ou d'une négligence unique - , du degré de difficulté de sa tâche et des moyens à sa disposition pour l'accomplir.

La sécurité des données nominatives

Le DSI peut, tout d'abord, engager sa responsabilité s'il ne prend pas de mesures suffisantes pour assurer la sécurité des données nominatives. Il doit, en conséquence, mettre en oeuvre toute mesure utile afin d'éviter une faille de sécurité qui permettrait à un pirate de détourner des données nominatives.

L'article 29 de loi "informatique et liberté" du 6 janvier 1978 prévoit, rappelons-le que "Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés".

L'article 226-17 du Code Pénal réprime, par ailleurs, le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations, et notamment d'empêcher qu'elles ne soient communiquées à des tiers non autorisés. Il est intéressant à cet égard de noter que le fait pour une société de ne pas respecter cette obligation de sécurité prive celle-ci de tout recours contre le pirate qui a détourné son fichier client (Cour d'Appel de Paris, 30 octobre 2002, Tati).

La gravité des conséquences d'un tel manquement peut, le cas échéant, caractériser une faute grave justifiant un licenciement immédiat du DSI sans préavis ni indemnité. Mais comme pour la faute dans l'analyse des vulnérabilités, ce manquement serait apprécié au regard des "états de service" du DSI.

La sécurité des données confidentielles de l'entreprise

L'article L. 152-7 du Code du travail prévoit que"Le fait, par tout directeur ou salarié d'une entreprise où il est employé, de révéler ou de tenter de révéler un secret de fabrique est puni de deux ans d'emprisonnement et de 30 000 euros d'amende....".

Certes, ce délit est intentionnel, de sorte qu'il convient de démontrer l'intention de "révéler un secret". Il demeure que le DSI s'expose au risque d'avoir à justifier, devant le juge pénal, les mesures mises en oeuvres afin de protéger les données confidentielles de l'entreprise en cas de prise de connaissance de ces données par un tiers non autorisé.

Le fonctionnement continu du système

Le DSI doit garantir que l'entreprise saura répondre aux exigences légales ou simplement fonctionnelles dans les délais impartis. En fait, il est responsable de la continuité du service au niveau des outils informatiques.

En cas de rupture prolongée du service en raison d'un dysfonctionnement du système d'information dont le DSI serait responsable, celui-ci peut être sanctionné par une sanction disciplinaire, voire par un licenciement si une insuffisance professionnelle ou une faute disciplinaire est établie.

L'archivage et la sauvegarde des fichiers

Aucune entreprise ne peut se passer de procédure définissant les mesures palliatives et de récupération de fichiers sains, sauf à s'exposer à d'importantes pertes financières (les compagnies d'assurances refusant d'assurer un système ne comportant pas de système de sauvegarde fiable).

Le DSI doit donc, et c'est là l'une de ses missions premières, mettre en œuvre les mesures (techniques, outils, organisation) nécessaires à l'archivage et la sauvegarde des données.

Le manquement à cette obligation pourrait conduire à une sanction disciplinaire pouvant aller, le cas échéant, jusqu'au licenciement pour faute grave (sans préavis ni indemnité).

Risque pénal en cas de délégation de pouvoirs

S'il existe une délégation de pouvoirs confiée au DSI par les mandataires sociaux, la responsabilité de la société peut être mise en cause au travers du DSI (son "organe" ou "représentant" au sens de l'article L 121-2 du nouveau Code pénal), aux côtés des mandataires sociaux.

Le DSI pourrait donc, en ce cas, être mis en cause dans le cadre d'une action pénale, notamment dans l'hypothèse du non-respect des obligations de sécurité susvisées ou en cas de violation des correspondances privées, étant précisé que les courriels sont considérés par les tribunaux comme une forme de correspondance au sens de l'article L. 226-15 du Code pénal.

Exemple de Charte d'utilisation du Système informatique pour les organismes disposant d'un aministrateur système : modèle.

Pascal ALIX
Avocat à la Cour



  CONTACTS :01Tél. : 09 61 45 85 24 (demander maître ALIX) 02 e-mail : alix@virtualegis.com  

  © Pascal Alix - 1999 à 2024 - Tous droits réservés - Virtualegis ®