Le CIGREF et la Fédération de l’Information Lifecycle Management (ILM), du Stockage et de l’Archivage (FEDISA) ont publié fin 2007 un livre blanc sur la protection du patrimoine informationnel de l’entreprise qui fait la synthèse des principaux éléments techniques et juridiques attachés au patrimoine informationnel.Ce dernier peut être défini comme étant l’ensemble des données, protégées ou non, valorisables ou historiques, d’une personne physique ou morale. Le patrimoine informationnel est l’une des composantes du patrimoine immatériel des entreprises. Ces dernières sont passées d’une économie industrielle à une économie de réseaux fondée sur la connaissance, ce qui implique, pour tout chef d’entreprise, d’analyser les différentes composantes de son patrimoine informationnel (système d’information et processus organisationnel).
Ce patrimoine informationnel est constitué par l’ensemble des informations dont dispose la société et notamment des données clients et fournisseurs (voix et images), des logiciels maisons portables et documentés, du savoir-faire, des brevets, des bases de données, etc. Ces informations sont extrêmement diverses, certaines peuvent rentrer dans une ou plusieurs catégories juridique et protégeable à ce titre. Dès lors, il appartient au chef d’entreprise de valoriser cet actif et de le gérer en mettant en place les moyens afin d’identifier et de contrôler les catégories juridique qui permettent de le protéger. Par conséquent, il s’agit pour le chef d’entreprise d’obtenir les moyens de gérer les menaces identifiables et la vulnérabilité associé à ces actifs. Ce rapport a donc pour but d’informer les chefs d’entreprise sur la protection et l’enrichissement du patrimoine informationnel au regard principalement de l’archivage électronique permettant la préservation et l’accès aux informations, mais aussi par la définition d’une politique de la protection et de la valorisation du patrimoine informationnel.
Le rapport définit les critères de sécurité technique qui doivent être traités dans une entreprise afin de préserver et conserver les informations. Or ces notions apparaissent comme juridiquement liées à celle d’archivage électronique. En effet, afin de permettre à l’archivage électronique d’être conforme aux normes en vigueur doit mettre en place des dispositifs permettant d’assurer la disponibilité, l’accessibilité, la pérennité, l’intégrité et la confidentialité des données ainsi que des moyens d’identification, d’authentification et de traçabilité des accès à ces données. La notion d’archivage électronique est encadrée au plan juridique par les lois l’écrit électronique et la dématérialisation ainsi que par les normes en vigueur en la matière.
En effet, depuis les lois du 13 mars 2000 et du 21 juin 2004, le droit de la preuve électronique encadre juridiquement l’archivage électronique. La problématique de l’archivage électronique est posée par l’article 1316-1 du code civil qui prévoit « … sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ». Deux éléments ressortent clairement de cet article, l’identification et l’intégrité. C’est au niveau normatif qu’une définition a pu être précisée. D’une part l’Afnor a publié en décembre 2001 la norme Z42-013 et en septembre 2005 la norme Z43-400. D’autre part, les normes ISO : NF ISO 15489-1 et FD ISO 15489-2 reprennent des notions similaires. Ces normes mettent en exergue les notions de disponibilité, d’accessibilité, de durabilité (pérennité), d’intégrité et de confidentialité des données ainsi que l’identification, l’authentification et la traçabilité.
Les enjeux sous-tendus par ces critères encadrant l’archivage électronique sont la conservation de la preuve et la gestion de l’obsolescence des données. Dans le patrimoine informationnel de l’entreprise, l’archivage électronique n’est pas qu’un simple effet de la dématérialisation de l’archivage physique. En effet, il faut aussi prendre en compte le cycle de vie des informations. Dès lors, la protection du patrimoine informationnel d’une entreprise correspondra aux risques entourant l’obsolescence des données.
Lorsque la préservation et l’accès aux données est garantie il reste encore au chef d’entreprise à assurer la sécurité juridique de ces informations. Il s’agit de sécuriser les accès aux données sur le plan juridique mais aussi sécuriser les données au plan juridique et enfin sécuriser les possibilités d’engagement de la responsabilité du chef d’entreprise. Le rapport rappel que la sécurité juridique du patrimoine informationnel passe par la protection des informations en elles-mêmes, qui sont susceptibles d’être protégées par les différents droits de la propriété intellectuelle comme le droit d’auteur, le droit des bases de données, le droit des brevets, le droit des marques, le droit des dessins et modèles, la protection du savoir-faire, la protection du secret de fabrique, la protection des signes distinctifs (nom commercial, enseigne, dénomination sociale et nom de domaine) et les mesures techniques de protection et d’information. Cette analyse, envisage la protection des données incluses dans le patrimoine informationnel mais ne peut être que lacunaire dès lors que cette analyse n’épuise pas tout les droits ni toutes les informations incluses dans un patrimoine informationnel d’une entreprise et qui ne seraient pas couvertes par un droit spécifique. En outre, certaines redondance de couvertures sont possibles lorsqu’une qualification juridique multiple est envisageable en fonction de l’information considérée.
Ce livre blanc opère une analyse des instruments juridiques avec d’une part la politique interne de sécurité avec le rôle et les responsabilités du personnel interne concerné (DSI, RSSI et RSI)(1), et d’autre part, la sécurité en ce qui concerne la confidentialité des informations en conseillant à toute entreprise d’envisager la création d’une charte d’utilisation des communications électroniques mais aussi par l’insertion de clauses de confidentialité dans les contrats de travail, les règlements intérieurs et les contrats avec les tiers.
Le rapport distingue plusieurs volets concernant la responsabilité du chef d’entreprise et notamment la possibilité d’être actionné en responsabilité sous couvert de la loi informatique et libertés en ce qui concerne les données à caractère personnel et la sécurité exigée. Sa responsabilité peut être aussi engagé en terme de responsabilité civil découlant des fautes qui viendraient à être commises par un salarié. Enfin, certaines atteintes au patrimoine informationnel peuvent actionner la responsabilité du chef d’entreprise en terme de responsabilité pénalement (accès frauduleux, atteintes volontaire à l’intégrité des données…).
(1)DSI Directeur des Systèmes d’Information ; RSSI Responsable Sécurité des Systèmes d’Information ; RSI Responsable Sécurité de l’Information.
Rapport du Cigref 2007 sur la protection du patrimoine informationnel.