Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 97
des référentiels et cahiers des charges,
clauses de garantie et de responsabilité, contrôle de l'efficacité des
prestations tout au long de la relation
contractuelle),
■ à la sensibilisation du personnel, ce
qui implique notamment de mettre
en place, avec l'aide du responsable
juridique, une charte d'utilisation des
outils informatiques et des réseaux (qui
définira notamment les limites d'utilisation et les modalités de contrôle par
l'entreprise dans le respect du droit du
travail et des libertés individuelles des
salariés) mais également des formations. La sensibilisation du dirigeant
est également nécessaire afin que ce
dernier puisse notamment prendre
conscience des risques informatiques
et des failles de sécurité auxquelles
l'entreprise peut être confrontée et
ainsi évaluer leurs impacts sur la santé
économique de l'entreprise, y compris
le risque en termes de réputation.
Les responsabilités encourues
par le responsable informatique
de son fait personnel ou du fait
d'autrui
Du fait de son rôle central au sein de l'entreprise, le responsable informatique, en tant
que salarié, peut, le cas échéant et en toute
logique, voir sa responsabilité engagée
pour son propre fait qui aura mis l'entreprise voire son dirigeant en difficultés. En
revanche, se pose de manière plus complexe
la question de sa mise en cause en raison
de négligences voire de malveillances d'un
autre salarié de l'entreprise ou d'un tiers à
l'entreprise.
S'agissant de la responsabilité civile, il
incombe en principe à l'employeur de
répondre vis-à-vis des tiers des agissements
de ses salariés que sont notamment les
responsables informatiques de l'entreprise.
En effet, l'article 1242 nouveau du code civil
dispose que l'employeur est responsable du
dommage causé par « ses préposés dans les
fonctions auxquelles ils les ont employés ».
L'assemblée plénière de la Cour de cassation a posé le principe selon lequel le
préposé qui a agi sans excéder les limites
de sa mission n'engage pas sa responsabilité personnelle à l'égard des tiers
(Cass. ass.plén., 25 février 2000, n° 97-17378,
arrêt « Costedoat »). Ainsi, la responsabilité civile de l'employeur sera retenue dès
lors que les faits sont commis par le salarié « au temps et au lieu de son travail, à
l'occasion des fonctions auxquelles [il] était
employé et avec le matériel mis à sa disposition » (voir pour un exemple de détournement de fonds commis par le salarié d'une
compagnie d'assurance - Cass. 2ème civ.,
19 juin 2003, n° 932, Bull. civ. n°202). Même
en présence d'une délégation de pouvoirs,
l'employeur restera en principe responsable
des dommages civils causés par le délégataire. L'employeur se voit donc en attribuer
directement les risques nés de l'activité de
son entreprise, plus spécialement ceux liés à
l'activité de ses salariés.
Les types d'agissements susceptibles d'engager la responsabilité civile ou pénale
du responsable informatique et/ou de l'entreprise sont nombreux : utilisation d'un
logiciel sans licence d'utilisation, utilisation
illicite des réseaux, absence de mesures
de sécurité raisonnables pour la protection
du système informatique, altération de ce
système, détournement de données personnelles des salariés, fourniture aux salariés
des moyens ayant permis la réalisation
d'une infraction, négligence ou imprudence
dans le fonctionnement du système informatique ou la sécurisation de l'utilisation des
BYOD, défaut de sécurisation des données
personnelles, etc.
Toutefois, cette « immunité civile » du salarié
n'est pas sans limite. Ainsi, le salarié pourra notamment voir sa responsabilité civile
engagée lorsqu'il a agi à des fins étrangères
à ses attributions, c'est-à-dire étrangères à
l'intérêt de l'employeur, sans l'autorisation
de celui-ci, et hors de ses fonctions (Cass.
2ème Civ., 12 mai 2011, n° 10-20.590). On
parle alors « d'abus de fonction » et les trois
conditions précitées doivent être réunies
cumulativement. L'employeur pourra alors
se retourner contre le salarié pour obtenir
que ce dernier l'indemnise si l'employeur
s'est trouvé obligé de réparer le dommage
résultant de la faute de son salarié ou encore
En matière de cyber-sécurité, le responsable
informatique doit être en mesure d'apprécier si l'entreprise est suffisamment armée
pour neutraliser les principales cyber-menaces. Il doit en rapporter au dirigeant pour
le cas échéant l'alerter sur des insuffisances
ou défaillances des systèmes de protection
mis en place.
En présence de dommages survenus à la
suite d'une cyber-attaque, quel partage de
responsabilité existe-il entre le responsable
informatique et les dirigeants de l'entreprise ?
EXPERTISES MARS 2017
s'il a lui-même été victime du dommage
puisqu'il dispose du droit appartenant
à toute victime d'un préjudice d'en demander en principe réparation à son auteur.
Sur les fondements de cette jurisprudence, il est tout à fait envisageable de voir
la responsabilité du responsable informatique mise en cause dans les conditions
rappelées ci-avant.
Sur le plan pénal, dans la mesure où
la responsabilité pénale est strictement
personnelle, le principe en la matière est
que chacun doit répondre des infractions
pénales dont il s'est rendu coupable et
notamment le salarié, le chef d'entreprise
en tant que personne physique, la société en
tant que personne morale.
Le responsable informatique, comme
tout salarié, et quel que soit son niveau
de responsabilité, devra répondre des
infractions qu'il a commises personnellement et notamment de toutes les atteintes
aux systèmes de traitement automatisé de
données prévues par les articles 323-1 et
suivants du code pénal qu'il aurait volontairement commis au préjudice de son
employeur.
Ces infractions ont ainsi déjà pu être reprochées à des salariés cherchant à nuire à
leur employeur en cas de conflit avec ces
derniers, s'agissant notamment :
■ d'un ingénieur informatique qui s'était
introduit et avait entravé le fonctionnement du système informatique de
l'entreprise qui l'employait en ayant
modifié les mots de passe d'accès
audit système (CA Paris, 8 juin 2012,
n°10/08175) ;
■ d'un administrateur réseau qui s'était
introduit et maintenu frauduleusement
dans le système informatique de son
employeur et qui avait intercepté
et détourné des correspondances
électroniques dont il avait rendu public
le contenu alors qu'il était en conflit
avec son employeur sur le paiement
d'heures supplémentaires (Tr. Corr.,
4 déc. 2015, Téfal et autres / M.M.C et
Mme J.L., confirmé partiellement par
CA Chambéry, 16 nov 2016).
La responsabilité pénale du responsable
informatique pourra par ailleurs être
recherchée dans l'exercice des missions
qui lui sont confiées par le dirigeant, notamment en tant que délégataire d'une délégation de pouvoirs ayant pour effet d'opérer
un transfert de la responsabilité pénale du
chef d'entreprise. En matière de systèmes
97
�
Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422
Couverture
Editorial & Sommaire
MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
DOCTRINE
SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 84
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 85
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 86
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 87
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 88
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 89
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 90
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 92
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 93
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 94
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 95
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 97
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 98
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 99
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 100
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 101
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 102
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 104
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 105
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 106
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 107
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 109
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 110
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 111
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 112
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 114
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 115
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 117
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 118
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 120
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com