Quelles responsabilités pour l’Entreprise et ses acteurs ?

La mise en place de mesures de cyber sécurité permet d’assurer la pérennité de l’entreprise, sa compétitivité et une meilleure productivité tout en renforçant la confiance de ses clients et partenaires. En outre, et elle permet d’éviter et de limiter les mises en cause de l’entreprise. Outre les aspects technologiques, il s’agit d’assurer la gestion des risques organisationnels et humains.

 

CYBER CRIMINALITE

Plus de 2/3 des entreprises françaises ont été victimes de fraudes au cours des 24 derniers mois. La France est l’un des pays les plus touché. Les principales menaces ont pour objectifs de rendre indisponible ou inopérant le service web et le système d’information. Parmi les plus connus, l’hameçonnage (phishing) vise à obtenir les coordonnées bancaires ou données de connexion du destinataire et le rançongiciel (ransomeware) consiste à envoyer un logiciel malveillant chiffrant l’ensemble des données et exigeant une rançon en contrepartie du déchiffrement. Les attaques ciblent les fichiers clients, les réponses à appels d'offre, les données personnelles des salariés, clients, dirigeants et actionnaires, des informations financières et industrielles, des secrets de fabrique ou d’affaires, le secret des correspondances, le secret bancaire ou médical…

L’accès à ce patrimoine atteint l’image de l’entreprise et le dysfonctionnement temporaire de l'entreprise entraine des coûts importants. Outre ces atteintes, les cyberattaques impactent la responsabilité de l’entreprise mais aussi de ses divers acteurs

 

LES RISQUES JURIDIQUES DE l’ENTREPRISE

Il n’existe pas de cadre légal uniformisé de la cyber sécurité. Les dispositions existantes proviennent de différents textes tels que le code pénal, la loi informatique et libertés, des directives européennes etc.

  • L'entreprise :

La personne morale est responsable civilement de son patrimoine informationnel. Elle est tenue de veiller à la sécurité de ses données et fichiers et a l’obligation de prendre toute précaution utile pour préserver la sécurité de ses données. De nombreuses entreprises se font régulièrement condamnées par la CNIL notamment en raison de fuites de données personnelles. Nous attirons votre attention sur les sanctions de la CNIL qui peuvent désormais aller jusqu’à 3 millions d’euros.

  • Le chef d’entreprise 

En cas de défaillance de son système d’information, le chef d’entreprise ou responsable des traitements de données, risque d’engager sa responsabilité́ civile et pénale, s’il n’a pas pris les mesures techniques et d’organisation appropriées pour protéger son système d’information contre des risques internes ou externes. Sur le plan civil, il engage sa responsabilité délictuelle en raison d’une faute ou négligence de sa part, mais aussi du fait de ses préposés, en raison du mauvais usage de son système d’information par son salarié, causant un dommage à autrui.

  • Le salarié 

Sur le plan civil, il est responsable envers son employeur s’il commet une faute lourde dans l’exécution de son contrat de travail, caractérisée par l’intention de nuire à l’employeur ou à l’entreprise. Il est responsable envers les tiers s’il agit hors de ses fonctions, sans autorisation et à des fins étrangères à ses attributions.

  • Responsabilité et délégation de pouvoir 

Dans l’hypothèse d’une délégation de pouvoir du dirigeant au responsable de sécurité du système d’information, la responsabilité́ du DSI/RSSI ne pourra être engagée que s’il est prouvé qu’il a commis une faute, dans le champ de compétence délégué.

À noter : Les obligations sont renforcées pour les opérateurs d’importance vitale (OIV).

 

QUELLES MESURES PRENDRE POUR SE PROTEGER ET LIMITER SA RESPONSABILITE ?

Plusieurs mesures peuvent être mise en place pour être en capacité de prouver sa diligence, notamment à travers les outils suivants :

 

  • Chartes informatiques et de codes éthiques

La charte permet de limiter la responsabilité des dirigeants en définissant les droits et obligations concernant l’utilisation du système d’information de l’entreprise. Elle édicte les précautions et règles de sécurité à l’égard de tous les utilisateurs potentiels du système : dirigeants, salariés, visiteurs, adhérents etc.

 

  • Dispositif d’alerte professionnelle

Le dispositif permet aux salariés de signaler, au chef d’entreprise ou à une autre personne désignée, des pratiques illicites pouvant sérieusement affecter l’activité d’une entreprise ou engager gravement sa responsabilité.

 

  • Politique de Sécurité des Systèmes d’Information PSSI

La PSSI est l’ensemble des dispositions réglementaires, organisationnelles et techniques fixant les principes directeurs de la sécurité des systèmes d’information d’une entreprise.

 

  • Normes règlementaires et ISO

Ces normes renforcent la crédibilité des mesures prises pour garantir la sécurité du système.

 

  • Audit de sécurité

Elle consiste à faire analyser la politique de sécurité informatique de l’entreprise par des spécialistes, à identifier les risques auxquels celle-ci s’expose, et à prendre les mesures en conséquence.

 

  • Formation des salariés

Selon une étude PWC, les incidents liés à des actes de cybercriminalité en 2015, provenait à 34 % de salariés actuels, à 29% d’anciens salariés. Il convient donc de sensibiliser les utilisateurs aux « risques informatiques », à la loi « informatique et libertés » et notamment aux risques liés à l’utilisation de bases de données.

 

  • L’Assurance responsabilité civile dédiée à la cyber sécurité

L’entreprise n’est généralement pas couverte pour les incidents liés à la cyber sécurité. Elle doit souscrire une assurance dédiée. Ces assurances sont adaptées au cyber risques et permettent, par exemple, de couvrir l’indisponibilité du réseau informatique, les pertes ou les dommages des biens numériques ou l’atteinte par un virus informatique.

 

NOTRE CONSEIL

Pensez à protéger votre entreprise des cyber risques, tant d’un point de vue technique que légal et assurantiel.

Le Cabinet OFFROY-FRANCES se tient à votre disposition pour vous accompagner, notamment à travers des formations en interne, de la rédaction de contrats et d’une charte informatique, ainsi que pour toute procédure et situation contentieuse (Expertise judiciaire ...).