L'ouverture des entreprises au réseau Internet s'est accompagnée de nouveaux risques juridiques, aggravés par un durcissement législatif en terme de responsabilité.
En effet, les défaillances de sécurité, qui rendaient hier l'entreprise victime en cas d'intrusion ou d'entrave à son traitement automatisé de données , peuvent désormais la rendre responsable, voire coupable. Ce peut être le cas, par exemple, lorsqu'une faille de sécurité permet l'accès aux données de l'entreprise ou lorsqu'un virus est rediffusé à travers elle.
[...] Sécurité des sites Internet et des systèmes d'informations : quelles responsabilités ? L'ouverture des entreprises au réseau Internet s'est accompagnée de nouveaux risques juridiques, aggravés par un durcissement législatif en terme de responsabilité. En effet, les défaillances de sécurité, qui rendaient hier l'entreprise victime en cas d'intrusion ou d'entrave à son traitement automatisé de données[1], peuvent désormais la rendre responsable, voire coupable. Ce peut être le cas, par exemple, lorsqu'une faille de sécurité permet l'accès aux données de l'entreprise ou lorsqu'un virus est rediffusé à travers elle. [...]
[...] Dix jours après l'envoi de cette missive électronique, le site faisait l'objet de plusieurs attaques de type déni de service, destiné à altérer son fonctionnement par une saturation de requêtes. Ces attaques ont fini par entraîner la paralysie totale des services en ligne. Par jugement du 19 mai 2006, le Tribunal de Grande Instance de Paris a condamné les prévenus à euros d'amende pour entrave au fonctionnement d'un système de traitement automatisé de données et à indemniser la société victime de la fraude informatique pour la mobilisation des ressources humaines ( euros) et l'atteinte à l'image ( euros)[6]. [...]
[...] Article L. 323-1 du Code pénal. Ibid. Articles L. 323-2 et L. 323-3 du Code pénal. Article L. 323-5 du Code pénal. [...]
[...] Article 226-17 du Code Pénal : Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de Euros d'amende Article 226-22 2 du Code Pénal : LLa divulgation ( ) est punie de trois ans d'emprisonnement et de d'amende lorsqu'elle a été commise par imprudence ou négligence Dans un tel cas, l'élément intentionnel de l'infraction est présumé, dès lors qu'il y a eu imprudence ou négligence au regard d'une obligation prévue par la loi. Article 34 de la loi Informatique et Libertés. Article 17-1 de la directive du 24 octobre 1995. Rapport du CLUSIF, Maîtrise et protection de l'information, juin 2006, https://www.clusif.asso.fr/fr/production/ouvrages/pdf/Maitrise_et_Protection _de_l_Information.pdf. HENAL Sécurité : Les cinq points faibles les plus fréquents janvier 2006, http://www.lemondeinformatique.fr/partnerzone/CA/content_9. Le cas échéant, le RSSI peut être une personne externe à l'entreprise. [...]
[...] Sur cette base, le bon professionnel doit bâtir sa politique de sécurité sur des éléments organisationnels et fonctionnels en nommant une personne et son suppléant en charge de la responsabilité de la sécurité du système d'information (le RSSI[18]), en formant son personnel et en rédigeant un code de bonne conduite. A défaut son assurance risque de ne pas couvrir les conséquences pécuniaires de sa responsabilité. Les sanctions pénales de la loi 88-19 du 5 janvier 1988 sur la fraude informatique (loi GODFRAIN) ont été alourdies. [...]
Source aux normes APA
Pour votre bibliographieLecture en ligne
avec notre liseuse dédiée !Contenu vérifié
par notre comité de lecture
