De nouveaux risques engageant la responsabilité du gérant

Peu ou mal informés, les dirigeants de TPE et PME n'anticipent que trop rarement les risques qu’ils encourent et leurs conséquences, pensant qu'ils seront couverts par le contrat responsabilité civile de leur entreprise en cas de problème. De manière générale, la directive première d'un dirigeant est de faire fonctionner et de développer son entreprise, sous entendu qu'il ne peut la mettre en péril faute d'une mauvaise gestion. En cas de problème ou de sinistre majeur, cela impacterait à la fois la santé financière de son entreprise et son patrimoine propre mais pourrait également engager sa responsabilité devant les Tribunaux.

En matière informatique, de nouveaux risques frappent de plus en plus pourtant les TPE et PME, tels que les risques liés à la cyber-criminalité ou d'image qui engagent la responsabilité civile et pénale du dirigeant : piratages des systèmes informatiques, cyber-attaques (virus informatiques, chevaux de Troie, vers, bombes logiques etc.), sans compter les risques internes de se voir voler ou copier ses disques durs et données sensibles. Aussi, une simple panne informatique ou le blocage des systèmes d'information par un virus informatique peuvent également laisser s'échapper des données personnelles et entraîner des conséquences lourdes.

Adoptée par le Parlement européen le 27 avril 2016, une réglementation européenne sur la protection des données devant s'appliquer à toute entreprise traitant des données personnelles de citoyens européens et ce, quelque soit sa localisation géographique et sa taille,entrera en vigueur le 25 mai 2018.

L'objectif premier de ces textes légaux est de protéger les droits des personnes concernées par le traitement de données personnelles.

La responsabilité pénale du gérant en matière informatique

Le gérant doit mettre en œuvre des mesures techniques et d’organisation pour protéger les données à caractère personnel qu'il collecte dans le cadre de son activité (contre la destruction, la perte, l’altération, la diffusion ou l’accès non-autorisé - accidentels ou illicites) et ce notamment lorsque le traitement des données personnelles comporte des transmissions de données dans le cadre d'un réseau (internet et autres !). C'est dire le nombre d'entreprises concernées ici...

• Article 34 – Loi informatique et Libertés Modifié par Loi n°2004-801 du 06 août 2004
  • « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
• Article 226-17 du Code Pénal
  • « Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d'information) et adaptées à la nature des données et aux risques présentés par le traitement. »

Le manquement à cette obligation de sécurité est lourdement sanctionné pénalement par l'article 226-17 : jusqu'à 5 ans d’emprisonnement et 300 000 euros d’amende.

La responsabilité civile de l'entreprise en matière informatique

L'entreprise qui n’aura pas pris les mesures de sécurité nécessaires pour protéger les serveurs de son entreprise (contre les virus informatiques également !) pourra en répondre civilement de sa responsabilité : en effet, l'Article 1384 du Code Civil prévoit que la responsabilité civile du dirigeant est engagée si par une faute caractérisée de sa part - telle l’absence de sauvegarde –, l’entreprise subit une perte de données qui lui soit très dommageable.

La responsabilité civile est également engagée face à une absence avérée de mesure d’organisation ou de protection du système d’information de l’entreprise.

Le manquement à ces obligations de sécurité des données peut également entraîner de lourdes sanctions pécuniaires prononcées par la CNIL :  le 5 novembre de l'année dernière,  Optical Center a ainsi été condamné à ce titre à une amende de 50 000 euros...

Il faut sécuriser les serveurs de votre entreprise !

Cette sécurisation s'opère à 2 niveaux : sur le plan technique et sur le plan juridique (ou contractuel).

Sur le plan technique :

Vous devez installer des mesures de blocage des tentatives d’intrusion et de virus informatiques (firewall, anti-virus) mis à jour quotidiennement, penser à gérer les mots de passe et selon la nature de vos données utiliser des clés de cryptologie. Vous devrez également sécuriser les infrastructures informatiques physiques (sécurité des locaux).

Sur le plan juridique :

Vous êtes invité à rédiger des chartes d’utilisation de l’outil informatique et des réseaux au sein de votre entreprise qui définiront les procédures de sécurité à respecter. Ces mêmes dispositions contractuelles devront être prises avec les administrateurs réseaux et tout autre tiers amenés à utiliser ou à accéder à vos serveurs.

Par ailleurs, une société étant en principe responsable de l’utilisation de ses systèmes d'information par ses salariés, l'employeur est tout amené à encadrer cet usage afin d'éviter d'être reconnu complice ou responsable d'un usage illicite en cas de délit de la part d'un salarié qui commettrait un méfait depuis le système d'information de l'entreprise. En effet, le même Article 1384 du Code Civil qui prévoit explicitement le cas de la responsabilité du commettant (c’est-à-dire l’employeur dans le cadre de ses fonctions) du fait de ses préposés (c’est-à-dire de tous ses salariés), est généralement applicable pour engager la responsabilité civile de la société du fait d’une faute de l’un de ses salariés (cf. l'affaire Lucent Technologies c/ ESCOTA jugée par la Cour d’appel d’Aix-en-Provence en 13 mars 2006).