Les DSI et leurs prestataires de services (essentiellement des SSII) doivent, d’une part, respecter des obligations légales de sécurité quant à l’accès et au traitement des fichiers de données personnelles (1) et, d’autre part, respecter diverses obligations contractuelles portant sur la fiabilité des espaces de confiance (2).
1. Les obligations légales de sécurité inhérentes à l’exploitation des fichiers
Dans certains secteurs d’activités, des exigences techniques spécifiques peuvent être imposées en matière de sécurité.
Par exemple, les opérateurs de jeux en ligne doivent mettre en place un dispositif sécurisé permettant de garantir la traçabilité et la conservation des opérations de jeux, appelé « coffre fort électronique ». Le respect de cette obligation légale est contrôlée par l’Autorité de régulation des jeux en ligne (l’« ARJEL ») et constitue l’un des critères d’obtention et de conservation de la licence délivrée par l’ARJEL à chaque opérateur.
Les établissements bancaires doivent, quant à eux, respecter les dispositions légales relatives au secret bancaire en garantissant notamment la sécurité des accès aux données et leur stockage.
Ces obligations légales sont techniquement assumées soit par l’opérateur lui-même, soit par une SSII si elle intervient. Juridiquement, l’établissement bancaire sera responsable en cas de violation du secret bancaire induit par une défaillance du système mais pourra engager la responsabilité de la SSII si cette dernière est chargée d’assurer la fiabilité du système.
Pour assurer la sécurité des espaces de confiance où sont exploités des fichiers à caractère personnel (données relatives aux clients, à son personnel, etc.), la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés impose une obligation de sécurité.
Toutes les précautions utiles découlant de la nature des données (bancaires, sanitaires, etc.) et des risques inhérents à leur traitement doivent être prises par les opérateurs. Il leur faut empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Une obligation supplémentaire a été introduite par la directive communautaire du 25 novembre 2009 (n°2009/136/CE) et reprise dans la proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique (en cours d’examen par l’Assemblée nationale) : en cas de violation par un tiers d’un système de traitement de données personnelles, le responsable du traitement devra notifier cette violation à la Commission nationale de l’informatique et des libertés (« CNIL »).
En pratique, une procédure d’alerte interne en cas de failles des systèmes de sécurité devra être mise en place. En cas de sous-traitance, il conviendra de prévoir les modalités de cette procédure et organiser entre les parties le régime de responsabilité en cas d’inexécution de l’obligation de sécurité.
2. Les obligations contractuelles portant sur la fiabilité des logiciels de sécurité
Toute exploitation d’un service en ligne nécessite une infrastructure technique comprenant la fourniture des équipements, la maintenance des logiciels de sécurité et le traitement des données liées aux transactions.
Le responsable de la fiabilité du service en ligne devra assurer la performance quasi permanente des équipements et services fournis, en particulier de la connexion au réseau internet. Cette disponibilité s’impose pour garantir un accès permanent du service aux consommateurs mais surtout la fiabilité du système de protection des données qu’il leur doit contractuellement, sous peine d’engager sa responsabilité.
Lorsque le service est sous-traité à une SSII, les opérateurs, pour s’assurer d’une telle fiabilité, exigent souvent de leurs prestataires qu’ils s’engagent contractuellement à respecter un taux de disponibilité du service autrement appelé « Service Level Agreement » (« S.L.A. »). Le prestataire s’engage alors à fournir un service dont la disponibilité sera supérieure ou égale à un seuil souvent situé entre 95 % et 100 %.
Les prestataires de services sont en même temps obligés de contrôler leur niveau de responsabilité en prévoyant dans le contrat de service une clause limitative de responsabilité dont les termes doivent être bien pesés : une obligation peut être qualifiée dans le contrat d’obligation de résultat, de moyens voire de moyens renforcée ; si elle n’est pas qualifiée par les parties ou l’est de manière inadéquate, c’est le juge qui s’en chargera…
Les niveaux de performance et de responsabilité du prestataire informatique dépendent naturellement du prix global payé par l’opérateur, tout en étant, comme toujours, question d’équilibre.
Auteur : Jean-Vasken Alyanakian, 01net.
Avocat, est diplômé de HEC (1993). Créé en 2004, le cabinet Alyanakian Avocats, spécialisé en droit des affaires et droit du travail, accompagne les DSI, SSII et autres intervenants du secteur informatique.