Responsabilité et réglementation informatique - Chefs d'entreprises

responsabilite

reglementation

Obligations

Aujourd’hui, tous les chefs d’entreprises sont soumis à
diverses réglementations.
Ces obligations valent également en matière de sécurité informatique.

responabilite

Peu ou mal informés, les dirigeants de TPE et PME n’anticipent que trop rarement les risques qu’ils encourent et leurs conséquences, pensant qu’ils seront couverts par le contrat responsabilité civile de leur entreprise en cas de problème.
De manière générale, la directive première d’un dirigeant est de faire fonctionner et de développer son entreprise, sous entendu qu’il ne peut la mettre en péril faute d’une mauvaise gestion. En cas de problème ou de sinistre majeur, cela impacterait à la fois la santé financière de son entreprise et son patrimoine propre mais pourrait également engager sa responsabilité devant les Tribunaux.

Il doit de se protéger

La responsabilité civile est également engagée face à une absence avérée de mesure d’organisation ou de protection du système d’information de l’entreprise.

1

Prévoir des moyens de traçabilité et de conservation des connexions réseau.

2

Informer les salariés de leurs droits et obligations au moyen d’une charte informatique pertinente.

3

Organiser une surveillance du réseau informatique de l’entreprise en respectant les droits des salariés.

4

Mettre l’entreprise en conformité avec la législation relative à la protection des données à caractère personnel.

5

Vérifier périodiquement la validité des licences logicielles pour éviter toute contrefaçon.

Le responsable

Ils doivent donc être en mesure de respecter et de faire respecter certaines obligations légales au sein de l’entreprise pour éviter que leur responsabilité civile et/ou pénale et celle de leur entreprise ne soit engagée, y compris en cas de négligence de leur part.

responsabilité Pénale

L’article 29 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés énonce que ‘toute personne ordonnant ou effectuant un traitement d’informations nominatives,s’engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées,endommagées, ou communiquées à des tiers non autorisés’.

Loi

La violation de cet article 29 est lourdement sanctionnée pénalement par l’article 226-17 du code pénal (cinq ans d’emprisonnement et 300000 euros d’amende).
L’article 17 de la directive du 24 octobre 1995 vient compléter cette obligation de sécurité qui pèse sur le responsable du traitement.Celui-ci ‘doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que toute autre forme de traitement illicite.
Ces mesures doivent assurer, compte-tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des risques à protéger‘.

l est souvent considéré que le manquement de l’obligation de sécurité prévue à l’article 29 de la loi de 1978 pourrait servir de fondement à une action si les employés, les clients ou les internautes subissent un préjudice du fait d’une mauvaise protection du système informatique (absence d’un firewall par exemple) et du fait de l’intrusion d’un virus facilitée par défaut de filtres techniques ou de vigilance.

La jurisprudence semble ne pas avoir encore eu à se prononcer sur la question. En tout état de cause, si la responsabilité pénale de l’employeur n’était pas retenue, celui-ci pourrait voir sa responsabilité civile engagée sur le fondement des articles 1382, 1383 et 1384 alinéa 5 du code civil.

responsabilité civile

L’absence d’une grande partie des moyens de sécurisation du serveur de l’entreprise décrits ci-dessus est susceptible de constituer une faute civile donnant lieu à responsabilité.
Cette omission dans la mise en place de mesures de sécurité suffisantes caractérisera une faute par abstention.
L’article 1383 du code civil énonce que ‘chacun est responsable du dommage qu’il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence‘. L’entreprise qui n’aura pas pris des mesures de sécurité raisonnables pour protéger son serveur contre une infection informatique virale sera de toute évidence négligente au sens de cette disposition.

Vous devez installer des mesures de blocage:

Tentatives d’intrusion 

Virus informatiques

 (firewall, anti-virus) mis à jour

Gérer les mots de passe

Selon la nature de vos données utiliser des clés de cryptologie.

Sécuriser les infrastructures informatiques physiques (sécurité des locaux).

Notre mission est aussi de vous protéger.