Recevez chaque jour toute l'actualité du numérique

x

"Une entreprise qui identifie clairement ses documents confidentiels limite sa responsabilité en cas d'utilisation frauduleuse", affirme Raphaël Rault

Le 7 février 2014, un internaute Français a été condamné à verser 3000 euros d'amende pour s'être maintenu sur l'extranet de l'Anses (Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail) et avoir téléchargé des milliers de documents confidentiels. Trois questions à Raphaël Rault, avocat au barreau de Lille et intervenant en informatique et données personnelles pour le cabinet BRM Avocats. Que se serait-il passé si cette fuite de données avait eu lieu en entreprise ?
Twitter Facebook Linkedin Flipboard Email
×

Une entreprise qui identifie clairement ses documents confidentiels limite sa responsabilité en cas d'utilisation frauduleuse, affirme Raphaël Rault
"Une entreprise qui identifie clairement ses documents confidentiels limite sa responsabilité en cas d'utilisation frauduleuse", affirme Raphaël Rault © Raphaël Rault

L’Usine Digitale - Un internaute vient d'être condamné en appel à 3000 euros d'amende pour avoir téléchargé des documents confidentiels qui étaient en libre-accès sur un serveur extranet non sécurisé de l'Anses (Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail), que pensez-vous de cette décision ?

Raphaël Rault - La sanction est sévère et l’on peut sérieusement s’interroger sur la notion de téléchargement "frauduleux". En effet, l'article 323-1 du Code pénal stipule que "le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni". Cela signifie que surfer sur un site dont on sait que les données qui s'y trouvent sont confidentielles est puni par la loi.

Les faits ont certainement joué un rôle majeur, près de 8000 documents ont été téléchargés et la requête sur Google était assez complexe [‘filetype:PDF’]. Même si les documents en question étaient en libre-accès, tout cela ne joue pas en la faveur du bloggeur condamné en appel. Du côté des magistrats, il y a une méconnaissance évidente des réalités informatiques et une démarche de spécialisation des juridictions devrait être envisagée en cette matière.

Si cette situation se déroulait au sein d'une entreprise, qui serait désigné responsable et quelles en seraient les conséquences ?

La responsabilité de l'entreprise peut être engagée par défaut. L'entreprise devra avoir édicté une charte informatique très précise, annexée à son règlement intérieur en vigueur, portée à la connaissance de ses salariés et permettre en interne la traçabilité de l'employé qui est à l'origine des fuites (adresse IP, numéro de poste...). A noter qu'une entreprise qui identifie clairement ses documents confidentiels, limite sa responsabilité en cas d'utilisation frauduleuse. Outre le préjudice direct de l’entreprise, sa responsabilité pourrait être recherchée pour manquement contractuel à la confidentialité des données confiées par un tiers ou encore un manquement à l’obligation de sécurité relative aux traitements de données à caractère personnel qu’elle met en œuvre et qui découle de la loi Informatique & Libertés.

Une fois l'employé qui a failli à la sécurisation des données identifié, c'est alors sa responsabilité individuelle qui peut être engagée. Si la charte informatique est annexée au règlement intérieur et qu'elle cite clairement les conditions de sécurisation des données alors une faute disciplinaire peut être caractérisée et mener le salarié jusqu’au licenciement.

Enfin concernant l'internaute qui utilise ces documents confidentiels, il s'agit de l'individu le plus facilement identifiable. Il est celui qui est à l'origine de la plus large diffusion de ces documents confidentiels. Le profil de l'internaute est également pris en compte et selon qu’il s’agisse d'un expert ou d'un novice de l'internet, la décision de justice ne sera pas tout à fait la même.

Quelles mesures doivent prendre les entreprises pour sécuriser leurs données ?

Elles sont de trois ordres : juridiques (charte informatique), techniques (politique de sécurité, d’habilitations et d’accès) et organisationnelles (procédures d’alerte et de gestion de crise). S'il y a des dispositifs de contrôle de l’activité des salariés, ils doivent être proportionnés et faire l’objet d’une information individuelle et collective, ainsi que de formalités auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL).

Propos recueillis par Wassinia Zirar

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media