Savoir tenir le bouclier du droit - Numéro 457
01/05/2016
Le patrimoine informationnel des entreprises de grande consommation, comme de tous les secteurs majeurs, n’est pas à l’abri de cyberattaques, comme en témoigne, en 2014, l’affaire du distributeur Target, victime du vol des données bancaires de quarante millions de clients. En 2015, un pirate avait trouvé le moyen de diffuser le son d’un film porno dans l’enceinte d’un magasin de cette même chaîne, visant à atteindre son image.
Ces sociétés détiennent un trésor comprenant les données clients et fournisseurs, du savoir-faire, des brevets, des bases de données. Ces informations1 sont diverses, certaines peuvent entrer dans une ou plusieurs catégories juridiques et sont protégeables à ce titre. La protection des données personnelles est ainsi au cœur d’enjeux essentiels, puisque la valeur d’une société se juge à sa capacité de résister à des cyberattaques2. Les préjudices pour un piratage sont importants, comme le montre Axa3, dans un cas où un vol de données sur un site de vente de meubles a conduit Google à l’inscrire sur liste noire, à une perte de chiffre d’affaires de 30 000 euros pour deux semaines de blocage, et à une inestimable perte financière due à la baisse de confiance des clients4.
Valoriser le patrimoine informationnel consiste à définir et à mettre en place des actions qui vont créer de la valeur. Il appartient au chef d’entreprise de gérer cet actif en se donnant les moyens d’identifier et de contrôler les catégories juridiques qui permettent de le protéger. À mesure que la valeur des données personnelles augmente, la conformité des entreprises avec les réglementations applicables devient un enjeu concurrentiel. Beaucoup ont compris que les données auront peu de valeur si elles ne sont pas collectées et traitées conformément aux réglementations applicables ; elles sont donc de plus en plus soucieuses de leur conformité.
Depuis les lois du 13 mars 2000 et du 21 juin 2004, le droit de la preuve électronique encadre l’archivage électronique, dont la problématique est posée par l’article 1316-1 du Code civil : « sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ». Deux éléments en ressortent : l’identification et l’intégrité. Au niveau normatif, l’Afnor a publié en 2001 la norme Z42-013 et en 2005 la norme Z43-400 ; les normes ISO, NF ISO 15489-1 et FD ISO 15489-2 reprennent des notions similaires. Ces normes mettent en exergue les notions de disponibilité, d’accessibilité, de durabilité, d’intégrité et de confidentialité des données, ainsi que l’identification, l’authentification et la traçabilité.
Dans le patrimoine informationnel, l’archivage électronique n’est pas qu’un effet de la dématérialisation de l’archivage physique. Il faut aussi prendre en compte le cycle de vie des informations. La protection du patrimoine informationnel correspond aux risques entourant l’obsolescence des données. Lorsque la préservation et l’accès aux données sont garantis, il reste au chef d’entreprise à assurer la sécurité juridique des accès.
Un arsenal en évolution constante
La sécurité juridique du patrimoine informationnel passe par la protection des informations en elles-mêmes, par les droits de la propriété intellectuelle comme le droit d’auteur, le droit des bases de données, le droit des brevets, le droit des marques, le droit des dessins et modèles, la protection du savoir-faire, la protection du secret de fabrique, la protection des signes distinctifs (nom commercial, enseigne, dénomination sociale et nom de domaine), et par les mesures techniques de protection et d’information. Cette protection ne peut être que lacunaire dès lors qu’elle n’épuise pas tous les droits ni toutes les informations d’un patrimoine informationnel qui ne seraient pas couvertes par un droit spécifique.
Il existe des instruments juridiques intéressant d’une part la politique interne de sécurité, le rôle et les responsabilités du personnel concerné (DSI, RSSI et RSI), d’autre part la confidentialité des informations. À cet égard, il peut être conseillé à toute entreprise d’envisager la création d’une charte d’utilisation des communications électroniques, mais aussi l’insertion de clauses de confidentialité dans les contrats de travail, les règlements intérieurs et les contrats avec les tiers.
La responsabilité du chef d’entreprise peut être actionnée sur le fondement de la loi informatique et libertés en ce qui concerne les données à caractère personnel et la sécurité exigée. Sa responsabilité peut être aussi engagée sur le plan civil, en raison de fautes qui viendraient à être commises par un salarié. Enfin, certaines atteintes au patrimoine informationnel peuvent engager la responsabilité du chef d’entreprise sur le plan pénal, sur la base d’infractions d’accès frauduleux, ou d’atteintes volontaires à l’intégrité des données.
Concernant le vol de données immatérielles, après une réticence doctrinale affirmée et une insécurité juridique problématique, puisque certaines décisions avaient franchi le pas d’une timide reconnaissance du vol d’éléments immatériels5, le législateur, par la loi du 13 novembre 2014 contre le terrorisme, a admis la répression de l’extraction de données, assimilée au vol, ce qui renforce la protection du patrimoine informationnel, notamment des entreprises de grande consommation. Le nouvel article 323-3 du Code pénal permet de réprimer une large gamme d’agissements frauduleux (extraction, détention, reproduction, transmission).
Formation et sensibilisation
Mettre en alerte constante les entreprises est essentiel à leur prospérité, et dans ce domaine la coopération public-privé prend tout son sens. Ainsi, la Direction centrale du renseignement intérieur et la gendarmerie6 proposent dans le cadre de formations des règles de bonne conduite pour limiter les dégâts causés aux entreprises, à leur image et à leur santé financière, et dans un deuxième temps pour asseoir leur pérennité sur de bonnes bases sécuritaires. De nombreuses associations regroupant des acteurs privés ont un rôle essentiel dans la sensibilisation à la culture numérique, par exemple dans le cadre du Cigref7. Autre exemple : le Club des directeurs de sécurité des entreprises (CDSE) et la DCPJ ont signé un protocole de coopération contre toutes les formes de fraudes et d’escroqueries d’envergure ou d’une particulière complexité.
Le Parlement européen a voté le 14 avril dernier la directive sur le secret des affaires8. Elle établit des règles visant à faciliter les recours juridiques des entreprises pour obtenir réparation du vol ou de l’abus de données relevant du secret des affaires. Les eurodéputés ont obtenu que la liberté d’expression et d’information soit protégée et que ces règles n’entravent pas le travail de la presse. Le même jour, ils ont adopté des dispositions sur la protection des données personnelles. Ce vote clôture quatre ans de travaux sur une réforme complète, composée d’un règlement général sur la protection des données personnelles et d’une directive relative aux transferts de données à des fins policières et judiciaires. Le règlement inclut des dispositions sur le droit à l’oubli et le consentement clair et explicite de la personne concernée, il prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires mondial total d’une entreprise en cas de violation de ses dispositions. Il sera applicable dans tous les États membres courant 2018. •