Informatique
Edito
La responsabilité du DSI en matière de SI : les mesures de préventions à prendre …
Des risques et des responsabilités sans cesse étendus
Aujourd’hui, le périmètre de connaissance du DSI va au-delà de l’informatique pure et s’étend aux compétences associées aux échanges d’informations via l’utilisation de nouvelles technologies dans l’entreprise.
Le DSI est au cœur de la sécurité du système d’information de l’entreprise. Or la sécurité technique participe de la sécurité juridique. Le DSI doit donc avoir un minimum de connaissances juridiques en ce domaine.
Parmi les principaux gisements de risques figurent les traitements de données à caractère personnel, le droit d’auteur, la contrefaçon et les usages illicites des outils de l’entreprise par les salariés.4En outre, le nombre croissant de contraintes légales en matière de sécurité (LSF, Sarbanes-Oxley, I & L …) et les nouvelles méthodes de partage de l’information (portable, liaison WiFi, port USB…) qui rendent plus perméable le SI accroissent la responsabilité du DSI.
L’enjeu
Ne pas mettre en danger l’entreprise en gérant au mieux le système d’information et en ayant une connaissance des principaux axes juridiques qui s’imposent à l’activité de DSI.
Comment prévenir les risques ?
Cette responsabilité croissante au niveau technique s’accompagne également d’une responsabilité plus importante au niveau juridique.
La gestion du risque et de sa responsabilité passera par la prévention et la mise en place de chartes de bonne conduite des salariés concernant l’utilisation des systèmes d’information mis à leur disposition.
Cette charte qui peut être annexée au règlement intérieur, peut être complétées par des livrets de procédure de sécurité afin d’organiser la traçabilité des incidents, le contrôle et la conservation de la preuve numérique.
La Cour d’appel d’Aix en Provence (1) vient de condamner un employeur pour un usage illicite d’internet par un des ses employé ayant créée un site diffamant hébergé sur le serveur de l’entreprise.
L’employeur doit donc prévoir explicitement toutes les interdictions en matière d’utilisation de l’internet sur le lieu du travail sous peine de voir sa responsabilité engagée au plan judiciaire.
Ces interdictions doivent être fixées dans la limite du respect de la vie privée résiduelle, principe considéré comme fondamental par la Cour de cassation en 2001 (2), aux termes duquel un salarié a droit, « même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ».
Les conseils
Etablir avec le plus grand soin des chartes Intranet/Internet ; Les accompagner d’un livret de procédure et d’un guide pratique de maintien des preuves définissant les conditions matérielles du contrôle des salariés.
Notes
(1) CA Aix en Provence, 2ème ch., 13 mars 2006.
(2) Cass. soc. 2 octobre 2001, arrêt Nikon.
Benoit de Roquefeuil
Avocat, Directeur du département « contentieux informatique »