![Aspects juridiques du management de la sécurité au sein de l’entreprise [par Sandrine Cullaffroz-Jover et Pierre Lubet du cabinet ALTANA]](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-1920x735.jpeg)
Aspects juridiques du management de la sécurité au sein de l’entreprise par Sandrine Cullaffroz-Jover et Pierre Lubet du cabinet ALTANA
![Image [Rédaction d’une PSSI :] les salariés soulignent le manque d’implication de la direction](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-management-direction-human-rh-885x690.jpg)
![Image [Forum InCyber 2024] Comment l’[IA générative] va « augmenter » le SOC](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-885x690.jpg)
![Image France : création d’une « Ligue pour la sécurité du [Web3] »](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-web3-exploration-2024-885x690.jpg)
La prévention et la gestion des risques informatiques représentent des enjeux majeurs au sein de l’entreprise. Une bonne gouvernance passe par la mise en place d’un ensemble cohérent et personnalisé d’outils techniques, organisationnels et juridiques visant (i) à protéger, dans les conditions les plus optimales, les données générées par une activité commerciale ou professionnelle, et (ii) à mettre en œuvre une politique stratégique de défense et de valorisation des actifs ainsi créés auprès de tiers.
Il appartient ainsi à l’entreprise de ne pas négliger les aspects juridiques du management de la sécurité, au risque de faciliter la réalisation de son préjudice ou de voir sa responsabilité engagée.
Quatre domaines d’action sont à privilégier dans le cadre d’un management juridique des politiques de sécurité des systèmes d’information.
1. Définition d’une chaîne des responsabilités
La définition d’une chaîne des responsabilités est fondamentalement le gage d’une bonne gouvernance. Elle permet d’une part, de sensibiliser et de responsabiliser ses acteurs de l’entreprise, et d’autre part, de prévenir la réalisation du risque pénal encouru par la négligence des consignes de sécurité.
Le mécanisme de la délégation de pouvoirs offre un mode de répartition et de transfert de la responsabilité pénale d’une autorité (le délégant) vers des préposés (le délégataire), plus à même de gérer l’application d’une politique de sécurité cohérente et d’empêcher, le cas échéant, la commission d’une infraction.
A ce titre, la jurisprudence a déjà pu considérer l’absence de délégations comme la preuve d’une mauvaise organisation, ou une « circonstance aggravante » de la responsabilité pénale de l’entreprise.
La validité de la délégation pouvant être discuté, il est primordial que le délégataire soit doté de l’autorité, des moyens et de la compétence nécessaire à l’exécution effective de sa mission.
En cas de faute, d’erreur ou d’omission dans l’accomplissement de la délégation de pouvoirs, le délégataire endossera la responsabilité pénale qui pesait sur le délégant, pour autant que l’infraction éventuelle lui soit entièrement imputable.
La responsabilité pénale du délégataire n’est pas pour autant exclusive de celle de l’entreprise. La chambre criminelle de la Cour de Cassation a ainsi jugé à plusieurs reprises que le délégataire de pouvoirs devait être considéré comme un représentant de la personne morale au sens de l’article 121-2 du Code Pénal. De même, la responsabilité pénale de la personne morale ne fait pas disparaître celle de la personne physique ayant agi dans l’exercice de ses fonctions.
Dans le cadre de la prévention des risques cyber, l’établissement d’une politique de délégation de pouvoirs est indispensable pour permettre à l’entreprise de confier aux directions opérationnelles les missions relatives à la sécurité des systèmes d’information et assurer la protection effective des actifs.
2. Définition et suivi des bonnes pratiques en interne
Les directions opérationnelles sont tenues d’établir et de faire appliquer les bonnes pratiques d’utilisation des systèmes d’information et/ou des données de l’entreprise, conformément au degré de criticité des risques préalablement identifiés.
L’ensemble de ces règles peuvent être utilement compilées au sein d’une charte informatique dont la valeur juridique relève du choix de l’entreprise : soit une déclaration morale peu contraignante, soit intégrée au règlement intérieur, auquel cas les instances représentatives du personnel devront être informées et consultées, et le projet soumis à l’inspection du travail.
Une fois intégrée au règlement intérieur, la violation des règles fixées par la charte informatique permet de caractériser une faute de nature à justifier un licenciement.
Si traditionnellement la charte informatique comportait un nombre attendu de dispositions, leur rédaction peut s’avérer aujourd’hui plus créative afin d’intégrer les évolutions de la perception des ressources informatiques par le personnel de l’entreprise (usage des BYOD, des réseaux sociaux, maîtrise du shadow IT (i.e. applications mises en œuvre au sein d’organisations sans l’approbation de la direction des systèmes d’information), etc.).
3. Négociation et suivi de l’exécution des contrats informatiques
La gestion des relations contractuelles avec les prestataires tiers ne doit pas non plus être négligée par l’entreprise qui doit développer et contrôler le cycle de vie des contrats conclus en son nom.
Le recours de plus en plus récurrent aux solutions d’externalisation impose notamment aux directions opérationnelles de négocier et de stipuler des clauses de sécurité et de réversibilité des données au sein des contrats. Les contrats dits de « Cloud Computing » ajoutent à la difficulté quand il s’agit de déterminer la localisation et les modalités de traitement des données à caractère personnel.
Dans le cadre de certains projets, une attention particulière devra également être portée sur la rédaction de la clause de propriété intellectuelle afin de garantir une exploitation ou une utilisation paisible du bien immatériel livré.
En tout état de cause, la gestion des risques associés à l’exécution des contrats informatiques doit pouvoir faciliter la négociation de polices d’assurances adaptées aux enjeux et activités de l’entreprise.
4. Conformité juridique des processus
L’accompagnement juridique des stratégies de sécurité des systèmes d’informations est traditionnellement déterminé à l’issue d’audits sur la conformité légale et réglementaire de l’ensemble des processus de l’entreprise (ex : procédures de cyber surveillance, traitement de données à caractère personnel mis en œuvre, journalisation des logs ou implémentation de solutions forensiques).
Par « processus », il convient de prendre en compte ici tout traitement, règle, politique, procédure de contrôle, solution ou application nécessaire à la poursuite de l’activité de l’entreprise et à la mise en œuvre de la sécurité de son système d’information.
L’établissement d’un plan de mise en conformité pourra être envisagé, étant précisé que ce dernier doit s’inscrire dans le cadre d’une démarche d’amélioration continue.