Certains risques de responsabilité civile ne sont pas directement liés aux nouvelles technologies de l’information et de la communication, ces dernières ne constituant qu’un nouveau vecteur d’engagement de leur responsabilité. A ce titre, on peut citer toutes les responsabilités qui découlent de la diffusion de contenus illicites sur internet (propos racistes, par exemple). Il est clair que la responsabilité est la même, que les propos aient été diffusés via un site internet ou via une émission de radio. De même, une entreprise peut se rendre coupable de diffamation sur internet mais aussi par voie de presse, à la télévision, etc.
C’est aussi le cas de la responsabilité pour atteinte à la propriété intellectuelle, laquelle peut être commise par l’entreprise via internet et ses systèmes d’information et/ou porter sur des logiciels ou autre oeuvre dématérialisée, sans qu’il s’agisse là non plus d’une responsabilité intrinsèquement liée au cyberespace.
En outre, avec l’avènement des réseaux sociaux, certains employeurs peuvent être tentés d’épier leurs salariés ou candidats à l’embauche grâce à internet. Là encore, l’engagement de la responsabilité de l’entreprise pour ce type d’acte, notamment en cas de violation du droit du travail, n’est pas un risque directement lié aux systèmes d’information.
On peut tout à fait estimer que toutes ces responsabilités un peu périphériques font partie des cyber-risques au sens large. Toutefois, nous choisissons de nous concentrer sur la responsabilité de l’entreprise en cas de survenance des événements redoutés, autour desquels nous avons organisé tous nos développements, à savoir l’atteinte et notamment l’interruption du système d’information et l’atteinte aux données, quelle que soit leur cause. Même restreintes à ces cas, les hypothèses d’engagement de la responsabilité des entreprises sont nombreuses.
On peut par exemple imaginer qu’une entreprise ait accidentellement transmis un virus à l’un de ses clients par le biais de la transmission d’un fichier. Ce client pourrait alors se retourner contre l’entreprise afin qu’elle prenne en charge les frais de décontamination de son système, par exemple. Une simple défaillance dans les protections antivirus, ou encore un défaut de contrôle de ces protections, peuvent être à l’origine de cette transmission de virus.
En outre, une entreprise victime d’un déni de service(97) pourrait aussi subir des réclamations de clients ou de partenaires commerciaux qui, n’ayant pu accéder aux services de l’entreprise ou à leurs données, ont eux-mêmes subi une perte.
Beaucoup de scénarios sont envisageables, mais la responsabilité la plus importante encourue par les entreprises à notre sens est celle qui résulte d’une atteinte aux données. C’est sur elle que nous nous concentrerons.
97 Cf supra Titre 1, Chapitre 1, Section 1,§2, D)
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance