D’un point de vue strictement légal, les entreprises ont-elles une obligation de garantir leur sécurité informatique?

Oui, puisque la loi Informatique et Libertés du 6 janvier 1978 dispose que les entreprises, en tant que responsable des informations qu’elles recueillent, doivent en garantir la sécurité et notamment qu’un tiers non autorisé ne puisse y avoir accès. Il s’agit aussi pour l’entreprise d’un devoir vis-à-vis de ses clients et de ses employés afin de maintenir une relation de confiance.

L’article 29 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés énonce que “‘toute personne ordonnant ou effectuant un traitement d’informations nominatives, s’engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées, endommagées, ou communiquées à des tiers non autorisés‘”.  

La violation de cet article 29 est lourdement sanctionnée pénalement par l’article 226-17 du code pénal (cinq ans d’emprisonnement et 300000 euros d’amende).

Référence : http://www.cnil.fr/les-themes/securite/ 

L’article 17 de la directive du 24 octobre 1995 vient compléter cette obligation de sécurité qui pèse sur le responsable du traitement. Celui-ci ‘doit mettre en œuvre les mesures techniques et d’organisations appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que toute autre forme de traitement illicite. Ces mesures doivent assurer, compte-tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des risques à protéger.

Les obligations en matière de conservation des données dans le cadre de la poursuite des infractions pénales et de la lutte contre le terrorisme :

Le décret d’application de l’article L. 34-1 étant paru au Journal Officiel du 26 mars 2006, les obligations de conservation des données sont effectives pour ce qui concerne la recherche, la constatation et la poursuite des infractions pénales. Ce décret précise que : « Les informations permettant d’identifier l’utilisateur ; Les données relatives aux équipements terminaux de communication utilisés ; Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ; Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; Les données permettant d’identifier le ou les destinataires de la communication ; doivent être conservées par l’opérateur pendant un an à compter du jour de leur enregistrement. »

Concrètement, l’obligation de conservation des données s’applique aux opérateurs de communications électroniques ainsi qu’à toute autre personne qui fournit un accès Internet dans le cadre d’une activité professionnelle. Les exploitants de « hotspots », tels que les cafés, les restaurants, les hôtels, les centres d’affaires, les cybercafés sont donc concernés, que l’activité de fournisseur d’accès soit effectuée à titre onéreux ou à titre gratuit et sans considération du fait qu’il s’agisse d’une activité principale ou  secondaire.

S’agissant particulièrement de la prévention des actes de terrorisme, l’article L. 34-1-1 du CPCE (Code des Postes et Communications électroniques) prévoit le cas des réquisitions administratives qui permettent aux agents de la police et de la gendarmerie nationales habilités à cet effet d’obtenir communication de ces données auprès des opérateurs et des autres personnes mentionnées ci-dessus. L’article 434-4, selon lequel “est puni de trois à cinq ans d’emprisonnement et de 45000 à 75 000 euros d’amende le fait, en vue de faire obstacle à la manifestation de la vérité (…) de détruire, soustraire, receler ou altérer un document public ou privé ou un objet de nature à faciliter la découverte d’un crime ou d’un délit, la recherche des preuves ou la condamnation des coupables“. Ce texte concernant les actes d’entrave à la justice, une personne tenue par la loi de communiquer des données techniques à la police, dans le cadre d’une enquête judiciaire, pourrait – si elle refusait de s’exécuter – être poursuivie sur le fondement de cet article.

La loi du 13 novembre 2014 (lutte contre l’apologie du terrorisme): L’objectif est de « faciliter la recherche par l’autorité judiciaire des données dans des serveurs informatiques (…), dans le cadre d’une perquisition, afin que la justice conserve ses capacités d’investigation avec les nouvelles technologies…»

Cas de jurisprudence : L’arrêt de la cour d’appel d’Aix-en-Provence du 13 mars 2006 reconnaît l’employeur comme étant responsable de la faute commise par un salarié ayant créé un site personnel illicite en utilisant l’accès à Internet fourni par son entreprise.

                                            “Lucent Technologie” s’est vu condamnée comme complice d’un de ses salariés car elle n’avait pas mis en œuvre des moyens suffisants pour éviter les pratiques de son salarié.

                                             BNP Paribas, qui a été condamnée pour ne pas avoir été capable de fournir les logs demandés par réquisition judiciaire.