8 mars 2010

Informatique La gouvernance des SI Renforcer sa politique de sécurité : une préocupation constante de l’entreprise Les moyens informatiques et les réseaux de télécoms sont devenus des outils de travail indispensables à l’activité quotidienne des entreprises.Or, l’utilisation de systèmes d’information et de communication de plus en plus ouverts avec l’extérieur rend indispensable la mise en œuvre d’une politique de sécurité visant à protéger de risques variés. Face aux nombreuses menaces et compte tenu des obligations imposées notamment par l’article 35 de la loi Informatique et Libertés (1) applicables à la protection des systèmes et des données nominatives, les entreprises doivent définir des politiques globales de sécurité. Les moyens techniques même s’ils sont indispensables ne sont pas suffisants et doivent s’accompagner d’une politique d’information et de sensibilisation des utilisateurs pour éviter que ceux-ci, par un comportement inapproprié, ne compromettent la sécurité de l’entreprise.Ceci explique le succès grandissant des chartes depuis quelques années dont la généralisation répond à ces préoccupations. En complément de la charte il apparaît nécessaire de définir des procédures pour la recherche et la conservation de la preuve en cas d’utilisation déviante des systèmes d’information et de télécoms ou encore d’agissement frauduleux avérés. Ces procédures doivent permettre de concilier efficacité et fiabilité des constats pour que ceux-ci soient juridiquement recevables et probants dans le respect des dispositions édictées par le Code du travail et par la loi Informatique et Libertés qui consacrent des exigences de proportionnalité, de transparence et de loyauté. Leur mise en œuvre nécessite par conséquent une bonne connaissance des textes applicables et des jurisprudences rendues en ces matières. Par ailleurs, il ne faudra pas oublier la gestion assurantielle des risques liés à la sécurité résultant notamment de la perte de chiffre d’affaires induite par des actes frauduleux ou encore les coûts engendrés par la reconstitution des données qui seraient altérées ou perdues. (1)Loi du 06/01/1978 modifiée par la loi du 06/08/2004. Paru dans la JTIT n°50/2006 p.2 (Mise en ligne mars 2004)

Informatique La gouvernance des SI Gérer la convergence des systèmes d’information Il est extrêmement fréquent, voir courant, en cas de fusion ou de rachat de sociétés, ou même tout simplement en cas d’acquisition de nouveaux sites, que les différentes entités qui se regroupent disposent de systèmes informatiques différents. La forte augmentation des ERP ou des systèmes intégrés au sein des entreprises, rend indispensable pour les entreprises qui se rassemblent la disposition d’un seul et même système d’information pour l’ensemble du groupe. Elles doivent en effet, pouvoir obtenir des remontées d’informations homogènes de l’ensemble des sociétés du groupe et disposer de données uniques et conjointes. Faire converger les SI de plusieurs entreprises constitue un véritable projet informatique. Sa mise en oeuvre peut en effet, se révéler extrêmement délicate : ce n’est pas parce qu’un système a été éprouvé au sein d’une entreprise que la migration s’effectuera facilement au sein d’une entreprise nouvellement acquise. Il s’agit pour cette dernière d’un véritable projet de changement de SI. La réalisation d’un tel projet n’est pas limitée au choix du SI qui sera privilégié, même si cela constitue un préalable à la convergence des systèmes. Encore faut-il en examiner les modalités. Toutes les étapes nécessaires à l’implémentation d’une nouvelle solution devront également être respectées, depuis la vérification des besoins jusqu’à la conduite du changement. Cette convergence peut également avoir pour effet de remettre en cause les processus et implémentations d’ores et déjà réalisées dans l’entreprise dont le système d’information a été privilégié. Lorsqu’il y a plusieurs sites, différentes démarches peuvent être adoptées : déploiement du système déjà éprouvé sur l’ensemble des autres sites et identification des écarts ; réalisation d’un site pilote sur l’un des sites, avant déploiement du système… toutes ces solutions nécessitent de : vérifier les contrats existants sur chacun des autres sites et effectuer les due diligences (licences, maintenance, propriété, CNIL, assurance, sécurité…) ; souscrire un nouveau contrat avec l’intégrateur prestataire et/ou l’éditeur qui sera chargé d’effectuer cette convergence, l’enjeu étant considérable ; gérer l’impact sur le plan social : modification des conditions de travail nécessitant une interventions des IRP, redéploiement des ressources humaines… effectuer un audit de mise en conformité avec la loi informatique et libertés. Paru dans la JTIT n°53/2006 p.4 (Mise en ligne juin 2006)

Informatique La gouvernance des SI La gouvernance des systèmes d’information (SI) : une nécessité ! Aujourd’hui, le périmètre de connaissance du DSI va au-delà de l’informatique pure et s’étend aux compétences associées aux échanges d’informations via l’utilisation de nouvelles technologies dans l’entreprise. Le DSI est au cœur de la sécurité du système d’information de l’entreprise. Or la sécurité technique participe de la sécurité juridique. Le DSI doit donc avoir un minimum de connaissances juridiques en ce domaine. Parmi les principaux gisements de risques figurent les traitements de données à caractère personnel, le droit d’auteur, la contrefaçon et les usages illicites des outils de l’entreprise par les salariés. En outre, le nombre croissant de contraintes légales en matière de sécurité (LSF, Sarbanes-Oxley, I & L …) et les nouvelles méthodes de partage de l’information (portable, liaison WiFi, port USB…) qui rendent plus perméable le SI accroissent la responsabilité du DSI. Cette responsabilité croissante au niveau technique s’accompagne également d’une responsabilité plus importante au niveau juridique. La gestion du risque et de sa responsabilité passera par la prévention et la mise en place de chartes de bonne conduite des salariés concernant l’utilisation des systèmes d’information mis à leur disposition. Cette charte qui peut être annexée au règlement intérieur, peut être complétées par des livrets de procédure de sécurité afin d’organiser la traçabilité des incidents, le contrôle et la conservation de la preuve numérique. La Cour d’appel d’Aix en Provence (1) vient de condamner un employeur pour un usage illicite d’internet par un des ses employé ayant créée un site diffamant hébergé sur le serveur de l’entreprise. L’employeur doit donc prévoir explicitement toutes les interdictions en matière d’utilisation de l’internet sur le lieu du travail sous peine de voir sa responsabilité engagée au plan judiciaire. Ces interdictions doivent être fixées dans la limite du respect de la vie privée résiduelle, principe considéré comme fondamental par la Cour de cassation en 2001 (2), aux termes duquel un salarié a droit, « même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ». (1) CA Aix en Provence, 2ème ch., 13 mars 2006. (2) Cass. soc. 2 octobre 2001, arrêt Nikon. (Mise en ligne Mars 2006)

Informatique La garantie et la maintenance La maintenance curative Deux contrats de prestation de maintenance ont été signés avec une société informatique, lesquels prévoyaient une clause de résiliation en cas d’inexécution des obligations contractuelles. Malgré ces contrats, la société cliente a subi un certain nombre de pannes répétées entraînant pour elle un préjudice non négligeable. Après mise en demeure, cette même société décida de résilier le contrat et demanda réparation du préjudice subi. A l’inverse des juges du fond, la cour d’appel a considéré que le prestataire n’avait pas respecté ses obligations contractuelles. Rappelant la double obligation d’entretenir et de réparer le matériel, la cour a signalé que le prestataire n’avait pas respecté la seconde de ces obligations. Il aurait, en effet, dû procéder à une analyse approfondie des pannes, ainsi qu’à une recherche systématique de leurs causes et de leurs remèdes et enfin à des investigations au niveau de la fiabilité du matériel en rapport avec sa vétusté. En outre, concernant la preuve de l’exécution de ses obligations, il appartenait au prestataire de répondre par écrit au courrier de mise en demeure et de justifier par la production de fiches techniques d’intervention du déplacement de ses techniciens et du remède apporté aux pannes. Le client s’est donc, à juste titre, retiré de ses obligations contractuelles par sa lettre de résiliation qui, en outre, reste valable, même si elle ne rappelle pas les causes de résiliation. CA Paris 5e ch. sect. C, 25 février 1993 (Mise en ligne Février 1993)

Informatique La garantie et la maintenance L’appréciation de la conformité Ayant conclu un contrat de vente d’un système informatique financé par crédit-bail, une société informatique avait installé l’ordinateur et le logiciel de base et avait sous-traité la réalisation du logiciel d’application. Après avoir fait la commande de divers matériels informatiques directement auprès de la société sous-traitante, la société cliente remarqua quelques dysfonctionnements, notamment au niveau du logiciel d’application, ce qui la poussa à assigner la société informatique en résolution du contrat. Traditionnellement, le client procède à une série de tests avant de prononcer la réception du matériel sans réserve. Malgré l’existence d’un bon de visite signé par le client et indiquant «travail effectué : recette de l’application site», la cour de cassation n’a pas considéré que ce dernier valait réception sans réserve du logiciel d’application litigieux fourni. En revanche, cette pièce établissait la preuve que le logiciel en question fonctionnait plus de quatre mois après son installation. De ce fait, la cour en a déduit que la réception sans réserve était acquise de plein droit et que seule une erreur de manipulation pouvait être la cause des dysfonctionnements invoqués. Cette affaire souligne la possibilité d’une réception tacite du logiciel par le client exploitant le logiciel en réel. Cass. com. 3 janvier 1995 (Mise en ligne Janvier 1995)

Informatique La garantie et la maintenance La maintenance préventive Une société de maintenance informatique avait signé avec l’un de ses clients un contrat visant à assurer une maintenance préventive et curative sur un matériel de très grande valeur impliquant entre autre l’intervention d’une équipe de techniciens dans les deux heures ouvrées suivant l’appel du client. A la suite de la démission de l’équipe du prestataire, le client adressa une lettre de résiliation pour manquement aux obligations contractuelles, sans mise en demeure. Se fondant sur le risque que faisait courir le prestataire au client, la cour d’appel a considéré que la résiliation était justifiée. De ce fait, la garantie de la disponibilité d’une équipe en cas de panne devient une obligation contractuelle, cause de résiliation, en cas d’inexécution en vertu de l’article 1184 du Code civil. Il est à noter que la valeur du matériel a largement motivé cette décision, la cour soulignant la gravité de la négligence du prestataire. Ayant disposé d’un délai d’un mois et sept jours, qu’elle n’a pas mis à profit pour reconstituer une équipe susceptible d’intervenir sur le site pour assurer la maintenance permanente du matériel prévue, la société informatique ne peut reprocher au client de ne pas l’avoir mis en demeure avant la résiliation. Cette affaire démontre qu’il est possible de résilier préventivement son contrat de maintenance dans certains cas. CA Paris, 5e ch., 14 décembre 1995 (Mise en ligne Décembre 1995)

Informatique La garantie et la maintenance La maintenance évolutive Ayant conclu en 1992 un contrat de vente pour une installation téléphonique comportant un logiciel de taxation avec un fournisseur informatique, une clinique avait renouvelé chaque année, jusqu’au 29 septembre 2000, le contrat de maintenance qui y était associé. Aux abords de l’an 2000, le fournisseur signifia à la clinique qu’il fallait changer l’installation pour que le système puisse faire face au « bogue de l’an 2000 ». La jurisprudence antérieure avait considéré que la maintenance évolutive ne visait que les modifications de la législation, ce qui est sans rapport avec la survenance de l’an 2000. Cependant, l’obligation d’information du fournisseur implique que ce dernier doit mettre en garde ses clients face aux difficultés liées au changement de millénaire. Dans cette affaire, le tribunal a considéré que le contrat de maintenance, reconduit jusqu’au 29 septembre 2000, impliquait que l’installation fonctionne correctement pendant toute cette période et a fortiori qu’elle passe l’an 2000. L’argumentation du fournisseur a donc été rejetée au motif que le contrat de maintenance restait en vigueur au-delà de l’année 2000 et que le client s’était acquitté des sommes prévues par le contrat liant les parties. Les coûts d’adaptation au passage à l’an 2000 ont été mis à la charge du fournisseur, conformément à ce que préconisait une étude réalisée par le Cigref fin 1996. Cette affaire démontre toute l’importance de la durée du contrat de maintenance, qui doit absolument correspondre à une période pendant laquelle le fonctionnement du système doit être assuré. TGI Marseille, 9 décembre 1999 (Mise en ligne Décembre 1999)

Informatique La garantie et la maintenance L’appréciation des vices cachés Un ordinateur acheté auprès d’un grand distributeur s’est révélé très vite défectueux concernant la fonction d’impression. Se fondant sur les dispositions de l’article 1641 du Code civil relatives à la garantie des vices cachés, l’acheteur assigna le distributeur en résolution de la vente et en paiement de dommages et intérêts. En l’espèce, l’impossibilité d’imprimer à partir de l’ordinateur fourni est bien née d’un dysfonctionnement antérieur à la vente du produit et est d’une gravité suffisante pour qualifier cette anomalie de vice caché. Présumé connaître les vices cachés affectant la chose vendue, le vendeur doit donc verser des dommages et intérêts à l’acheteur. Dans cette affaire, ce dernier avait bien subit un préjudice du fait de l’obligation de se déplacer de nombreuses fois auprès de différents établissements au détriment de son activité professionnelle. Toutefois, sa demande initiale fut revue à la baisse, les juges usant de leur pouvoir souverain d’évaluation des dommages. CA Paris 25e ch. A, 8 mars 2002 Article 1641 du Code civil (Mise en ligne Mars 2002)

Informatique La garantie et la maintenance La simple correction d’anomalie ne donne pas lieu à la création d’un logiciel dérivé La Cour d’appel de Paris considère dépourvue de toute originalité et par là même non susceptible d’être protégée par le droit d’auteur, la version d’un logiciel, dont les modifications qui ont été apportées par rapport à la version initiale relèvent de la maintenance corrective, soit qu’elles viennent pour la plupart « combler une lacune, corriger une anomalie ou une non-conformité aux normes », soit qu’elles apportent « une simple commodité ». Dans cet arrêt, deux sociétés, la société Perform et la société Actane, s’étaient accordées pour réaliser, en commun, un progiciel. Elles avaient, ainsi, conclu un contrat, dans lequel elles s’étaient accordées pour considérer que ce progiciel serait la propriété commune des deux sociétés. S’agissant, par contre, des développements complémentaires devant être réalisés sur ce progiciel, ainsi que de ses mises à jour, les parties avaient convenu qu’ils devaient être uniquement réalisés par l’une des société, l’autre disposant de la faculté de les commercialiser en exclusivité pour certains de ses clients, dont la société France Télécom. C’est dans ce cadre qu’a été fourni à l’opérateur de télécommunication, qui avait déjà acquis un droit d’usage sur la version initiale du progiciel réalisé en commun par les deux sociétés, une mise à jour dudit progiciel, pour évaluation. Cette nouvelle version ayant été finalement déployée par l’opérateur de télécommunication sur l’ensemble de ses sites, en remplacement de la version initiale, ce dernier a été assigné en contrefaçon et concurrence déloyale par la société Actane. La nouvelle version du progiciel lui ayant été fournie par la société Perform, l’opérateur de télécommunication l’a appelé en garantie, dans le cadre de la procédure. Or, par arrêt du 14 juin 2006 de la Cour d’appel de Paris, la société Actane a été déboutée de l’intégralité de ses demandes et a, au contraire, été condamnée à payer à l’opérateur de télécommunication la somme de 10 000 euros, à titre de dommages et intérêts, en réparation du préjudice subi par cette dernière, lié à la désorganisation de ses services. S’appuyant sur le rapport d’expertise, qui avait été établi dans le cadre de la procédure, la Cour d’appel de Paris a considéré que les modifications du progiciel, qui étaient invoquées par la société Actane, relevaient de la maintenance corrective du logiciel et que, de ce fait, la version intégrant ces modifications était dépourvue de toute originalité et ne pouvait, donc, faire l’objet d’une protection au titre du droit d’auteur. CA Paris, 4e ch., sect. A, 14 juin 2006 (Mise en ligne Juin 2006)

Informatique La garantie et la maintenance Tierce maintenance applicative (TMA) : enjeux et tendances A l’origine, la tierce maintenance applicative est un concept qui s’est développé lorsque les éditeurs, au lieu d’effectuer la maintenance de leur propre produit, ont confié cette maintenance à des sociétés tierce. Puis la tierce maintenance applicative est devenue un service à part entière qu’un certains nombres d’entreprises privées ont confiés à des professionnels externes avec l’objectif pour ces derniers de maintenir les applicatifs de leur entreprise. Elle concerne essentiellement les logiciels spécifiques d’une entreprise ou les modules spécifiques ou adaptations réalisés sur la base de progiciel, puisque les progiciels eux-mêmes sont maintenus par leurs éditeurs. L’un des enjeux principaux est d’assurer un équilibre entre la sécurité et les services internes qui vont être externalisés pour éviter tout risque de déperdition de connaissance et de savoir-faire et d’une manière générale, du lien fort entretenue entre le service informatique interne avec ses applications. Il va donc falloir conserver le niveau de sécurité qui pourrait être assuré en interne de manière beaucoup plus direct et obtenir une qualité de service qui soit au moins équivalent à celle qui était obtenue en interne sinon meilleure et en tout cas un coût inférieur. De plus en plus d’entreprises de TMA ont mis en place des normes et des méthodologies extrêmement structurées à travers des processus industriels de type CMM (Capability Maturity Model). Il est donc très important de se renseigner pour savoir si votre futur prestataire a une certification qualité quelconque ou une certification par rapport à une norme. Cela permet d’avoir une meilleure connaissance des processus de qualité et de vérification qui sont mis en œuvre par le prestataire pour s’assurer de son sérieux et de son expérience. Cette normalisation fait entièrement partie du référentiel légal. Sa connaissance est donc essentielle en cas de manquement difficile a cerner ou d’un mécontentement général sur une mauvaise qualité de service difficile à démontrer. Elle permet de vérifier si part rapport à la norme de qualité ou à la méthode contractualisée, il n’y a pas eu d’écarts. Elle permet aussi de constater un manquement par rapport à un état de l’art que le prestataire s’était engagé à respecter. Paru dans la JTIT n°66-67/2007 p.4 (Mise en ligne Juillet-Août 2007)

Informatique La garantie et la maintenance Le devoir d’information du concepteur de progiciel Doit être confirmé l’arrêt qui condamne une société informatique à des dommages-intérêts, in solidum avec un consultant informatique dont les donneurs d’ordre s’étaient assurés les conseils, dès lors que l’arrêt retient qu’au moment où elle a établi sa proposition, la société en cause ne pouvait pas ignorer que ce progiciel ne supportait pas le passage à l’an 2000, sauf mise à jour qu’elle facturerait, alors qu’il existait déjà une version disponible V3 du progiciel qui le permettait. Les donneurs d’ordre étaient par conséquent fondés à attendre, à cette date, que leur soit livré un produit correspondant pendant la durée de vie effective à leurs besoins et la société, dès lors qu’elle n’a pas proposé le progiciel V3, aurait dû les informer de la nécessité de mettre à jour le produit qu’elle livrait et du montant des frais devant être supportés. Par ailleurs, la présence d’un professionnel de l’informatique aux côtés d’un client pour l’assister dans ses choix ne dispense pas le concepteur d’un progiciel du devoir d’information dont il est tenu envers son client pour lui permettre de prendre la décision appropriée à sa situation Cass. com. 19 février 2008, pourvoi 06-17.669 (Mise en ligne Février 2008)

Informatique Fraude informatique Le vol d’information Ayant, sur l’incitation de son ancien supérieur hiérarchique, quitté sa société d’assurance, un employé avait emporté ses fichiers personnels et était retourné dans les locaux de son ancienne société pour subtiliser diverses disquettes informatiques et listings papier contenant des listes de clients à démarcher ou ayant déjà souscrit un contrat d’assurance. Cette affaire fait appel à la notion de vol d’information, thème très controversé au sein de la doctrine et de la jurisprudence. Le vol implique une atteinte à la propriété, or l’information n’est pas un bien susceptible d’appropriation. Pourtant, les juges ont considéré que l’infraction de vol pouvait être qualifiée, en énonçant que la documentation personnelle d’un salarié constituée à l’occasion de son travail et dans le cadre de celui-ci est et reste la propriété de son employeur et qu’il en est spécialement responsable, ainsi des fichiers de clients réels ou potentiels constitués par des démarcheurs et autres commerciaux, dès lors qu’ils ont le statut de salarié. La cour a considéré de plus que l’infraction de vol constituait une atteinte à la possession et non à la propriété, éludant ainsi le problème de la notion de vol d’information. L’élément intentionnel, quant à lui, existe dès lors que l’auteur a su que l’objet volé n’était pas sa propriété personnelle, ce qui est le cas en l’espèce. CA Grenoble ch. corr., 15 février 1995 (Mise en ligne Février 1995)

Informatique Fraude informatique La cyberdélinquance en 2004 Le Clusif a présenté le 13 janvier 2005 son panorama de la cybercriminalité, année 2004(1) dans lequel il fait état de la tendance à la professionnalisation de la cyberdélinquance qui semble se dessiner. Deux tendances lourdes dans cette recherche de profits illicites : le vol et le chantage. Il s’agit pour les cyberdélinquants de s’approprier des fichiers de données et/ou des codes soit pour en bénéficier à titre personnel, soit pour les revendre à des concurrents ou à des utilisateurs peu regardants sur l’origine de ces produits. Paradoxalement, ce sera rarement le délit de vol qui sera poursuivi pour ce type de pratiques car ce délit est caractérisé par « la soustraction frauduleuse de la chose d’autrui ». Or, il n’est pas établi qu’une information numérique puisse être qualifiée de « chose ». La frontière ne semble pas infranchissable pour la qualification de vols puisque l’article L. 311-2 du Code pénal envisage le vol d’énergie. En l’état, les moyens privilégiés de poursuite d’un tel comportement sont les délits de fraude informatique qui sanctionnent : de 2 ans de prison ou 30 000 € d’amende, le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitements automatisés de données (STAD) ; de 3 ans de prison et de 45 000 € d’amende, le même délit lorsqu’il en résulte soit la suppression ou modification de données du système, soit une altération de son fonctionnement ; de 5 ans de prison et de 75 000 € d’amende, le fait d’entraver ou de fausser le fonctionnement d’un STAD. En outre, pour les producteurs de bases de données, l’article L. 341-1 du Code de la propriété intellectuelle dispose que ce dernier a le droit d’interdire « l’extraction par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support par tout moyen ou sous toute forme que ce soit… ». Le non-respect d’un tel droit civilement et pénalement sanctionné (3 ans de prison et 300 000 € d’amende ou 5 ans de prison et 500 000 € d’amende pour les délit commis en bande organisée). (1)Disponible au format PDF ou ZIP sur www.clusif.asso.fr Paru dans la JTIT n°37/2005 p.2 (Mise en ligne Janvier 2005)

Informatique Fraude informatique Cybercriminalité En adoptant une nouvelle incrimination, le droit pénal français renforce ses moyens de lutter contre les atteintes aux systèmes de traitement automatisé de données (STAD). Alors que les peines prévues concernant les actes déjà précédemment réprimés : l’accès ou le maintien frauduleux dans tout ou partie d’un système de traitement automatisé de données ; le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données ; le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou modifier frauduleusement les données qu’il contient ; font maintenant l’objet d’un doublement dans la plupart des cas, est désormais interdite la simple détention d’un moyen, quelqu’il soit, conçu ou spécialement adapté à la commission des infractions qui relèvent de la fraude informatique. Ainsi le fait de détenir « tout simplement » un logiciel permettant de contourner un dispositif de protection logique d’un système d’information, est passible des sanctions pénales de la fraude informatique. Pour y échapper, il faut démontrer l’existence d’un motif légitime dont les contours restent à préciser. (Mise en ligne Avril 2005)

Informatique Fraude informatique La fraude informatique Un informaticien a été sévèrement condamné pour accès frauduleux et entrave au fonctionnement de systèmes informatiques. Il a pris le contrôle du serveur d’une société à partir duquel il a lancé des attaques systématiques vers des centaines de sites gouvernementaux pour soit disant « explorer leurs failles ». Pour cela, il a introduit dans le serveur divers programmes lui permettant de contrôler le serveur à distance. Il a ensuite introduit la liste des cibles choisies, ainsi que sa revendication, un message d’alerte aux administrateurs sur l’insécurité de leur système. Au total, 394 serveurs gouvernementaux (dont le serveurs du Casier judiciaire national) ont été attaqués et 63 autres serveurs publics ou privés (sites d’entreprises ou de grandes écoles). Le tribunal correctionnel de Paris a fait preuve d’une certaine exemplarité, car les faits n’ont pas eu de conséquences dramatiques. L’auteur des attaques a été condamné, au titre de la loi Godfrain, sur la fraude informatique (notamment accès frauduleux et entrave au fonctionnement d’un STAD), à quatre mois de prison avec sursis avec inscription au casier judiciaire, ainsi qu’à indemniser les parties civiles à hauteur de 1500 € chacune. Cette décision illustre la capacité des tribunaux à apporter une véritable réponse judiciaire à ce type de criminalité et doit inciter les entreprises victimes à porter plainte pour être indemnisées. TGI Paris, 12e ch., 02 juin 2006 (Mise en ligne Juin 2006)

Informatique Fraude informatique Les chartes d’entreprise : une protection efficace contre la fraude informatique ! Usurpation de codes informatiques, détournement des systèmes de protection, introduction d’opérations fictives dans le système d’information, autant de pratiques relancées par les récents événements survenus dans le secteur bancaire. Ces agissements sont susceptibles de recevoir une qualification pénale. Ainsi, de nombreuses dispositions(1) répriment avec rigueur la fraude informatique. Articulée autour de quatre incriminations, la répression des atteintes aux systèmes de traitement automatisé de données porte sur : le fait d’accéder ou de se maintenir frauduleusement dans toute ou partie d’un système d’information, avec ou sans influence ; le fait d’entraver ou de fausser le fonctionnement d’un système d’information ; le fait d’introduire frauduleusement des données dans un système d’information ou de supprimer ou modifier frauduleusement les données qu’il contient ; le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçue ou spécialement adaptée pour commettre une fraude informatique. La fraude informatique donne lieu à de lourdes sanctions, notamment financières, à l’encontre des personnes physiques et des personnes morales(2). Cette délinquance toujours plus ingénieuse est souvent le fruit de la malveillance interne. Certains y voient le résultat d’une absence d’étique(3) qu’un dispositif de régulation doit permettre de compenser. En matière d’usage des ressources des systèmes d’informations de l’entreprise, on veillera ainsi à disposer d’une charte d’utilisation adjointe à la charte des administrateurs systèmes. La charte d’utilisation, dont la vocation est de réguler l’usage des systèmes informatiques et de télécommunications, permet aussi de sensibiliser les utilisateurs à ce qui est interdit par la loi, par exemple, contrefaçon, traitement de données à caractère personnel et fraude informatique. La charte administrateur, qui encadre les fonctions assurées par ce personnel, permet aussi de faciliter l’administration de la preuve des usages indélicats, ou tout simplement pénalement répréhensibles, ce qui fait parfois défaut en la matière (fiabilité des preuves numériques et difficultés de la preuve du caractère intentionnel et de l’imputabilité). Notes (1) C. pén., art. 323-1 et s. (2) TGI Paris, 12e ch., 02/06/2006. (3) Les entreprises et la fraude, étude Grant Thornton, juin 2002. www.grantthornton.fr Paru dans la JTIT n°74/2008 p.1 (Mise en ligne Février 2008)

Informatique Fraude informatique Aspects juridiques de la sécurité informatique : le rapport Clusif 2008 Le Clusif (club de la sécurité de l’information français) a publié au mois de juin 2008 son rapport annuel sur la sécurité des systèmes d’information : « menaces informatiques et pratiques de sécurité en France ». Ce rapport couvre un large spectre puisqu’il repose sur une enquête détaillée menée auprès d’entreprises de plus de 200 salariés couvrant de nombreux secteurs d’activités mais aussi des collectivités locales et des internautes. Les indicateurs nombreux et précis présentés dans le rapport permettent de constater « un inquiétant sentiment de stagnation » selon les termes du rapport, dans la mise en application concrète des politiques de sécurité. Les constats du Clusif sont en effet relativement inquiétants lorsqu’il est mentionné que 40 % des entreprises ne disposent pas de plan de continuité d’activité pour traiter les crises majeures et 30 % admettent ne pas être en conformité avec la loi Informatique et libertés. Pour autant, c’est fort justement que le Clusif souligne que les risques ne faiblissent pas et deux exemples récents dont la presse s’est fait l’écho illustrent la menace que fait peser sur une entreprise une malveillance sur un système d’information ou une défaillance affectant la disponibilité des services. Ainsi le 3 septembre 2008 la société Dassault Systems a indiqué qu’un fichier comportant les adresses de 3 216 clients et un ensemble secrets commerciaux avait été diffusé sur l’intranet d’une filiale du groupe Siemens et ce alors que ces données étaient protégées. Plus récemment, le 8 septembre, une panne informatique de près de sept heures a contraint le London Stock Exchange à suspendre les cotations de la bourse de Londres. Ces deux incidents sont emblématiques en ce qu’ils concernent des acteurs qui disposent sans doute des politiques de sécurité parmi les plus sophistiquées et ceci rappelle que le risque zéro n’existe pas. Pour autant, une telle actualité montre l’impérieuse nécessité de se doter des moyens techniques organisationnels, budgétaires mais aussi juridiques permettant de minorer si ce n’est d’éliminer de tels risques. Le volet juridique est bien une composante structurelle des politiques de sécurité en ce qu’il ne doit pas seulement être le recours ultime quand le risque s’est réalisé mais un ensemble de mesures et pratiques concourrant à la gestion de ce risque. Les aspects juridiques divers et variés concourrant à une politique de sécurisation des systèmes d’information peuvent être implémentés à des fins préventives, de manière évolutive et enfin de manière curative. En effet, l’exploitation d’un système d’information s’inscrit dans un contexte légal et réglementaire plus ou moins complexe selon les secteurs d’activités concernés. Un système d’information est juridiquement sensible, notamment en ce qu’il met en œuvre des éléments logiciels des données et des bases de données. Du point de vue des éléments logiciels, ceux-ci présentent la particularité d’être soumis à la protection par le droit d’auteur, ce qui confère à leurs auteurs ou éditeurs des prérogatives extrêmement larges du point de vue de leurs conditions d’utilisation et de maintenance. Des pratiques de commercialisation ou de distribution extrêmement variées sont ainsi développées : de la licence propriétaire la plus stricte jusqu’aux licences de logiciels libres les plus libérales. La disponibilité des droits d’exploitation des logiciels concourrant au bon fonctionnement des systèmes d’information constitue une mesure de base indispensable à la garantie de la continuité du service. A titre d’exemple d’une politique juridique des systèmes d’information, le contrôle des droits d’exploitation des composants logiciels semble être une précaution élémentaire et indispensable. Il en est de même pour les données et les bases de données qui, sous certaines conditions (notamment d’originalité), peuvent être qualifiées d’œuvres de l’esprit protégeables par la législation sur le droit d’auteur. L’importation et la diffusion par exemple sur l’intranet de l’entreprise de données protégées ne sont a priori pas libres et doivent donc faire l’objet de mesures préventives pour éviter des téléchargements illicites et des mesures de contrôle pour valider les droits d’exploitation des données utilisées. Enfin, même non originales, les bases de données considérées comme des collections de données bénéficient d’une protection juridique particulière permettant à leur producteur de définir les conditions d’utilisation qualitativement ou quantitativement substantielles de leur base de données. Le contrôle des politiques de liens sur les bases de données à usage restreint fait aussi parti des mesures juridiques concourrant à une politique de sécurité des systèmes d’information. Ces quelques exemples ne portent que sur la gestion des droits de propriété intellectuelle dans les composants des systèmes d’information. Cependant, les aspects juridiques de la sécurité ne se limitent pas à ces risques de non-respect des droits de propriété intellectuelle et l’on peut également évoquer l’obligation de conformité de la collecte et des traitements de données à caractère personnel par rapport à la loi Informatique et libertés ou encore les exigences de traçabilité et de transparence des systèmes et des traitements au regard des dispositions légales relatives aux comptabilités informatisées ou de la loi sur la sécurité financière. De même, peut être intégrée dans les processus concourrant à une politique de sécurité la vérification des impacts de l’évolution ou de la modification des systèmes d’information en vue notamment de déclencher les procédures d’information ou de consultation des institutions représentatives des personnels quand il y a lieu. Le rapport du Clusif souligne qu’un certain nombre d’entreprises et de collectivités locales organisent leur politique de sécurité conformément à un environnement normatif de type ISO 17799 ou 27001, ce qui paraît encourageant à la condition que les aspects juridiques de la sécurité soient pris en compte et intégrés le plus en amont possible dans les systèmes de management de la sécurité de l’information. Rapport 2008 du Clusif disponible sur www.clusif.asso.fr (Mise en ligne Septembre 2008)

Informatique Fraude informatique Accès non autorisé à un système informatique dépourvu de dispositif de sécurité La protection d’un système de traitement automatisé de données par un dispositif de sécurité n’est pas une condition du délit d’accès frauduleux dans un système de traitement automatisé de données : il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées. Dans son arrêt du 30 octobre 2002 réformant le jugement du Tribunal de grande instance du 13 février 2002, la Cour d’appel de Paris ne dit pas autre chose en considérant qu’ « il ne peut être reproché à un internaute d’accéder (..) aux parties d’un site qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font (…) l’objet d’aucune protection de la part de l’exploitant du site (…) devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès ». En d’autres termes, le caractère frauduleux de l’accès ne saurait être constaté dans le cas d’un système en libre accès, mais seulement dans la mesure où l’accès normal au système est restreint, sans pour autant devoir systématiquement recourir à un dispositif de sécurité. CA Paris 12e ch., sect. A, 30 octobre 2002, Antoine C. / Ministère public, société Tati. (Mise en ligne Octobre 2008)

Informatique Les droits et obligations de l’utilisateur Les droits de l’utilisateur : la copie de sauvegarde Un distributeur de logiciels, qui offrait à la vente un logiciel et une copie de sauvegarde de celui-ci protégés contre toute copie illicite par une technique de « plombage », avait vu deux sociétés informatiques proposer à la vente des programmes de « déplombage » permettant la reproduction de ces logiciels et avait en outre diffusé des propos dénigrants à son égard. Le législateur a, depuis longtemps, introduit la notion de copie de sauvegarde, dont un seul exemplaire est autorisé, afin de pallier la défaillance de la version acquise. Cependant, la mise sur le marché de moyens permettant d’effectuer une copie de sauvegarde n’est pas prohibée et comme l’indiquent l’article 5 de la directive du 14 mai 1991 et l’article L122-6-2 du Code de la propriété intellectuelle, on ne peut empêcher par contrat l’utilisateur de faire une copie de sauvegarde et les notices d’utilisation doivent rappeler que l’utilisation de moyens illicites est passible de sanctions en cas de contrefaçon. En l’espèce, la cour de cassation a estimé que dès lors qu’il a reçu du vendeur une copie de sauvegarde, fût-elle unique et protégée contre les reproductions, l’acheteur est rempli de ses droits. Les deux sociétés informatiques ont été condamnées pour concurrence déloyale. L’interprétation de la notion de copie de sauvegarde doit être stricte, celle-ci ne pouvant être utilisée sans l’accord de l’auteur que lorsqu’elle est nécessaire pour préserver l’utilisation du logiciel. Cass. com. Paris, 22 mai 1991 Article L. 122-6 du Code de la propriété intellectuelle (Mise en ligne Mai 1991)

Informatique Les droits et obligations de l’utilisateur Le paiement du prix et l’exception d’inexécution Après avoir commandé divers logiciels de paie et de comptabilité auprès d’un fournisseur informatique, une société de presse avait assigné le prestataire en résolution de la vente, ce dernier n’ayant pu réaliser les adaptations à ses besoins spécifiques. Face à une demande de soustraction à une obligation de payer, les juges recherchent la gravité de l’inexécution des obligations des parties et examinent si le client n’a commis aucun manquement à son obligation de collaboration. En l’espèce, le client avait été parfaitement informé des possibilités et des limites des logiciels vendus. De surcroît, la modification n’a pu être menée à bien à cause notamment du comportement du client, lequel a rompu les relations contractuelles prématurément. Le client a donc manqué à ses obligations contractuelles, il ne peut demander, de ce fait, la résolution du contrat et doit en payer le prix. L’exception d’inexécution n’est applicable que dans des cas bien limités, d’une certaine gravité et ne doit en aucun cas être invoquée lorsque le client a manqué à son obligation de collaboration. Cass. com. 9 mai 1995 (Mise en ligne Mai 1995)