Ces nouvelles pratiques, nous les connaissons déjà, ce sont le cloud computing (§1) et le Bring Your Own Device (BYOD) (§2). Nous avons évoqué les risques supplémentaires qu’ils impliquent en termes de sécurité du système. Voyons maintenant quelles sont les conséquences de ces pratiques sur la responsabilité des entreprises.
§1 : Responsabilités dans le cadre du cloud computing
Dans le cadre du cloud, les données ne sont plus physiquement sous le contrôle de l’entreprise qui ne maîtrise plus directement leur sécurisation. Pour mesurer les risques qui en découlent pour l’entreprise, il convient de déterminer sur qui pèse la responsabilité d’une atteinte à des données personnelles hébergées dans le nuage (A). Par ailleurs, la question de la localisation des données dans le cadre du cloud est cruciale, car tout transfert de données personnelles hors de l’Union Européenne (UE) est réglementé (B).
A) La qualité de responsable de traitement dans le cadre du cloud
Afin de déterminer laquelle des parties est responsable du traitement des données personnelles dans le nuage, nous nous intéresserons d’abord aux dispositions de la loi Informatique et Libertés. Nous verrons qu’elle n’aborde pas directement la question mais qu’elle régit néanmoins le cas du recours à un sous-traitant (1). Si le prestataire de cloud semble pouvoir être qualifié de sous-traitant, la prudence reste de mise (2).
1) Les dispositions de la loi Informatique et Libertés
Rappelons que l’article 3 de la loi de 1978 définit le responsable d’un traitement de données à caractère personnel, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, comme « la personne, l’autorité public, le service ou l’organisme qui détermine ses finalités et ses moyens ». N’est donc pas visé celui qui effectue concrètement le traitement.
Dans le cadre du cloud public, les entreprises clientes ne sont pas propriétaires mais louent, en fonction de leurs besoins, des applications et une architecture qui leur permettent le stockage et l’utilisation de leurs données. Mais elles demeurent néanmoins propriétaires de leurs données et à ce titre elles déterminent toujours les « finalités » et les « moyens » du traitement de ces informations. A fortiori, il en est ainsi, également, dans les hypothèses de cloud hybride ou privé interne comme externe.
Il semble donc que les entreprises qui recourent au cloud computing conservent leur qualité de responsable de traitement et restent soumises aux obligations imposées par la loi Informatique et Libertés. A fortiori, elles conservent le poids de la responsabilité en cas d’incident.
C’est en tout cas ce que prévoit expressément la loi en cas de recours par le responsable de traitement à un sous-traitant : « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.
Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement »(110).
Cette disposition se justifie parfaitement au regard de la définition de la sous-traitance. Selon l’Association française de Normalisation (Afnor), il s’agit de « l’opération par laquelle un entrepreneur confie par un sous-traité, et sous sa responsabilité, à une autre personne appelée sous-traitant, tout ou partie de l’exécution du contrat d’entreprise ou du marché public conclu avec le maître de l’ouvrage ». Il paraît donc logique que les obligations imposées par la loi en matière de protection des données à caractère personnel et la responsabilité afférente demeurent à la charge de l’entreprise principale qui sous-traite le traitement opérationnel de ses données, le sous-traitant n’ayant aucune maîtrise sur ce traitement et n’agissant que sur ordre de l’entreprise principale.
Mais peut-on réellement transposer ces dispositions dans le cadre du nuage ?
2) Les doutes sur la qualification juridique du prestataire
Reste à savoir si le fournisseur de cloud computing peut être qualifié de sous-traitant. Dans une synthèse(111) des réponses à la consultation publique sur le cloud computing lancée par la CNIL fin 2011, cette dernière a estimé que le cloud pouvait se définir comme un mécanisme de sous-traitance informatique. La CNIL avait même initialement proposé que cette qualité de sous-traitant du fournisseur de cloud soit présumée, mais cela n’a pas été retenu et à juste titre. En effet, la qualification de sous-traitant ne peut être générale tant les prestations de type cloud computing sont variables. Tout dépend du degré de maîtrise du prestataire sur les données. Dans certains cas, le client et son fournisseur pourraient être conjointement qualifiés de responsables de traitement et parfois même le prestataire pourrait être responsable unique, si c’est lui seul qui définit la « finalité » et les « moyens » du traitement de données à caractère personnel.
Prudence donc avec cette qualification de sous-traitant. Les entreprises qui utilisent les services de cloud computing doivent s’assurer que leurs données hébergées dans le nuage bénéficient d’une protection suffisante en matière de sécurité et de confidentialité. Elles doivent pour cela prêter une grande attention au contrat qui les unit au prestataire qui doit retranscrire les obligations de ce dernier et prévoir des sanctions suffisamment dissuasives. Actuellement, ce n’est toutefois pas chose facile puisque les contrats se présentent majoritairement comme des contrats d’adhésion. Seuls de grands groupes pourraient parvenir à les négocier.
Outre la question de la qualification juridique du prestataire, une autre problématique fait couler beaucoup d’encre sur le cloud computing. Il s’agit de la localisation (ou plutôt de la délocalisation) des données hébergées dans le nuage. Cette question n’est pas neutre non plus s’agissant de la responsabilité de l’entreprise.
B) La problématique de la localisation des données dans le cadre du cloud
Nous verrons quelle est la réglementation française applicable au responsable de traitement souhaitant transférer des données personnelles hors de l’Union Européenne (1) avant d’évoquer les spécificités de l’hébergement de données aux Etats-Unis (2).
1) Les dispositions applicables à l’hébergement de données personnelles à l’étranger
Beaucoup d’incertitudes planent sur la localisation exacte des données, surtout dans le cloud public. En effet, les fournisseurs utilisent plusieurs centres d’hébergement des données, lesquelles sont transférées de l’un à l’autre continuellement dans le but d’optimiser les performances de l’infrastructure. Il est pourtant capital pour une entreprise française de savoir où sont localisées ses données puisque l’hébergement de données hors de France fait l’objet d’une réglementation française et doit également répondre aux exigences de la loi du pays d’hébergement.
La législation applicable en France résulte de la directive européenne de 1995, dont les dispositions qui nous préoccupent ont été transposées en droit français par une loi du 6 août 2004(112) et figurent aujourd’hui aux articles 68 à 70 de la loi Informatique et Libertés.
Ces articles prévoient que si le transfert de données a lieu vers un pays membre de l’Union européenne ou dans un Etat non membre de l’Union européenne mais qui « assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux » des personnes concernées (parmi lesquels la Suisse ou encore l’Argentine), une simple déclaration à la CNIL suffit(113).
Le contrat conclu entre le client membre de l’Union européenne et le prestataire de services de cloud doit respecter les obligations de la Commission européenne. Cette dernière a d’ailleurs publié des clauses types encadrant les transferts de données personnelles en dehors de l’Union européenne(114).
En revanche, pour tous les autres pays, c’est-à-dire ceux qui n’assurent pas un niveau de protection équivalent à celui de l’Union européenne, une autorisation de la CNIL est en principe nécessaire. Dans ce cas, les Binding Corporate Rules (BCR)(115), qui constituent une alternative aux clauses contractuelles types pour assurer un niveau de protection suffisant aux données transférées hors Union européenne au regard des données personnelles et des droits fondamentaux, devront figurer dans le contrat. En ce sens, elles constituent également une alternative au principe du Safe Harbor, pour les transferts vers les Etats-Unis.
Aujourd’hui, ce sont les entreprises américaines qui ont le monopole du cloud computing. Or, s’agissant de l’externalisation des données personnelles aux Etats-Unis, il y a un risque accru en terme de confidentialité.
2) Les spécificités de l’hébergement de données personnelles aux Etats-Unis
Il y a une particularité si les données sont hébergées aux Etats-Unis : une simple déclaration à la CNIL suffit en principe mais à condition que le fournisseur choisi ait adhéré au principe du Safe Harbor.
Ce principe, issu du Patriot Act(116) adopté aux Etats-Unis suite aux attentats du 11 septembre 2001, fait l’objet de vives critiques car il constitue une sérieuse atteinte au principe de la confidentialité des données. Il permet en effet à l’administration américaine de demander à toute société ayant son siège social aux Etats-Unis ou ayant ses serveurs dans ce pays, ou encore aux filiales étrangères de sociétés américaines de lui communiquer toutes les données qu’elle juge utiles à une enquête concernant des actes de terrorisme ou d’espionnage. Ce qui est inquiétant, c’est que dans le cadre de cette procédure, le propriétaire des données hébergées n’est informé ni de la demande de communication de ses données ni de la communication de celles-ci par son hébergeur. Ainsi dès lors qu’une entreprise recours à un hébergeur relevant du Patriot Act, il encourt ce risque supplémentaire.
Si ce dispositif est strictement limité aux cas d’enquête sur le terrorisme ou l’espionnage, à l’exclusion de tout autre motif, certains y voient tout de même une violation intolérable de la confidentialité des données, d’autant que d’une manière générale, les Etats-Unis semblent peu regardant quant aux empiétements sur la vie privée des individus. En témoigne le dernier scandale de l’affaire « Prism » révélée début juin 2013 par Edward Snowden, ex-consultant auprès de la NSA, l’Agence nationale de la sécurité américaine. A cette occasion, l’Europe entière a découvert que le FBI et la NSA ont accès aux serveurs des plus grands acteurs du web (Google, Facebook, Microsoft) depuis 2007, ce qui leur permet de consulter les informations personnelles des utilisateurs. Selon le Président des Etats-Unis, Barack Obama, la fin justifie les moyens puisqu’il évoque « de modestes empiétements sur la vie privée » permettant de prévenir des attentats, tout en insistant bien sur la légalité de ce dispositif(117).
Le Patriot Act n’est pas non plus une exception puisqu’en réalité, des procédures similaires peuvent se rencontrer dans d’autres législations. En France, par exemple, un juge d’instruction a la faculté d’accéder à toutes les données informatiques qu’il « estime nécessaires à la manifestation de la vérité », selon l’article 97 du Code de procédure pénale. Notons toutefois que dans le cas français l’intervention d’un juge est nécessaire, contrairement aux Etats-Unis où ces prérogatives sont accordées à l’administration.
Notons que ce risque est d’autant plus important que le fonctionnement du cloud tend à inciter les utilisateurs à y faire héberger toujours plus de données. Or le stockage d’une multitude de données sans politique d’archivage et de destruction peut être très dangereux pour une entreprise, les données pouvant à tout moment être exhumées dans le cadre d’une procédure comme celles que l’on vient d’évoquer. L’entreprise doit réfléchir à la politique de sauvegarde et de suppression qu’elle souhaite pour ses données et s’assurer que le fournisseur de cloud qu’elle a choisi les respecte, ce qui n’est pas si simple en pratique.
Les enjeux de la localisation des données sont donc importants. L’entreprise, responsable de traitement, doit pouvoir identifier quelle est la loi applicable et ses conséquences au regard des prérogatives conférées aux autorités publiques concernées. C’est une donnée supplémentaire à prendre en compte dans l’analyse des risques liés au cloud computing, qui s’ajoute à la problématique de la qualité juridique du prestataire.
Et les questionnements en la matière sont sans fin. Par exemple, quid du droit applicable et de la répartition des responsabilités en cas d’atteinte aux données survenue au moment précis où les informations transitent d’un centre d’hébergement à un autre ?
Le cloud computing n’est pas la seule pratique qui génère des interrogations nouvelles en matière de responsabilité des entreprises, le BYOD suscite également des questionnements.
§2 : Responsabilités dans le cadre du Bring Your Own Device (BYOD)
Le fait pour les salariés d’utiliser leur propre matériel informatique dans le cadre de leur travail pose plusieurs questions s’agissant des responsabilités respectives du salarié utilisateur et de l’employeur entre eux, et de la responsabilité de chacun envers les tiers, notamment en cas d’atteinte aux données. Certains de ces questionnements sur la répartition des responsabilités entre l’entreprise et ses salariés peuvent se poser plus largement en cas d’atteinte à la sécurité du système impliquant des salariés, hors problématique particulière du BYOD.
Nous envisagerons tout d’abord les hypothèses de dommages subis par les salariés (A), puis ceux causés par les salariés à l’entreprise ou aux tiers (B).
A) Les dommages subis par les salariés
L’entreprise pourrait d’abord être inquiétée sur le terrain du droit du travail. En effet, la frontière entre la vie professionnelle et la vie personnelle se fait encore plus floue du fait de cette nouvelle pratique. Un salarié pourrait accuser son employeur de violation de la loi sur le temps de travail, de harcèlement ou encore d’intrusion dans sa vie privée. Là encore le risque n’est pas nouveau mais il est intensifié par le BYOD car il permet de fournir des preuves : les appareils personnels peuvent par exemple enregistrer le nombre d’heures passées par le salarié sur l’intranet de l’entreprise. Mais nous ne nous attarderons pas sur ce sujet qui n’est pas lié à la sécurité du système d’information de l’entreprise et aux événements redoutés afférents.
On peut imaginer que la responsabilité de l’employeur soit recherchée par un salarié en cas d’infection de son matériel par un virus alors qu’il était connecté au réseau de l’entreprise. On peut aussi et surtout se demander quelles sont les responsabilités encourues en cas d’atteinte aux données. Tout d’abord, le salarié peut être victime d’une atteinte à ses données personnelles, d’une manière générale si son employeur les détient. Dans pareil cas, le salarié est bien sûr en droit de demander réparation de son préjudice à l’entreprise, comme tout à chacun. Mais cela se complique si l’atteinte concerne des données personnelles du salarié qui ne sont pas détenues en principe par l’entreprise mais qui se trouvent sur l’appareil personnel du salarié qu’il utilise également pour son travail. On peut supposer qu’en cas d’erreur de manipulation de l’entreprise qui aurait impacté non seulement son système d’information mais aussi toutes les données contenues dans les terminaux mobiles des salariés, ces derniers pourraient également demander réparation à l’entreprise.
B) Les dommages causés par les salariés
Si c’est le salarié, à l’inverse, qui par négligence ou malveillance cause une atteinte au système de l’entreprise et/ou aux informations qu’il contient et provoque des dommages à l’entreprise, il n’est pas évident que celle-ci poursuive son salarié en justice. Elle préfèrera peut-être sanctionner le salarié par d’autres biais selon l’ampleur du préjudice causé. En effet, se posera généralement le problème de la solvabilité du salarié. Rappelons que l’assurance de responsabilité civile de ce dernier ne peut jouer que dans le cadre de sa vie privée, jamais pour ses activités professionnelles. Reste que la faute du salarié fondera un licenciement pour cause réelle et sérieuse.
Le problème est plus ardu si l’employé cause des dommages aux tiers. On pense, par exemple, au salarié qui se sert de son équipement personnel pour commettre un cybercrime depuis l’entreprise ou bien qui transfert par inadvertance des données clients depuis son appareil personnel à la mauvaise personne. Dans pareil cas, les victimes vont en principe agir contre l’employeur.
En effet, selon l’article 1384 alinéa 5 du Code civil, l’employeur est responsable du fait de son salarié dès lors que ce dernier n’a pas commis d’abus de fonction. Selon la jurisprudence, « il y a abus de fonction lorsque le préposé a agi hors des fonctions auxquelles il était employé, sans autorisation et à des fins étrangères à ses attributions »(118). Avec cette conception très restrictive, l’abus de fonction n’est retenu que s’il n’y a vraiment aucun lien entre l’acte du salarié et ses fonctions, sachant que le simple fait qu’il agisse sur son lieu de travail est de nature à exclure l’abus de fonction. En pratique, la responsabilité de l’employeur est quasiment toujours admise et ce dans un souci d’indemnisation des victimes.
Dans les cas qui nous préoccupent, on peut supposer que le simple fait que le salarié ait utilisé le réseau de l’entreprise pour réaliser son dessein malveillant caractérise le lien avec ses fonctions, a fortiori s’il a commis une maladresse en utilisant son terminal personnel pendant ses heures de travail.
Par conséquent, la responsabilité de l’employeur serait retenue.
S’agissant d’une responsabilité objective, hormis l’hypothèse de l’abus de fonction, l’employeur, en sa qualité de commettant, ne peut pas invoquer la faute du préposé pour se dégager de sa responsabilité. Seul un cas de force majeure est de nature à l’exonérer de sa responsabilité.
De plus, l’arrêt Costedoat(119) confère une immunité au préposé dès lors qu’il n’a pas dépassé le cadre de ses fonctions, notion différente de l’abus de fonction. Dans ce cas, la victime ne peut donc agir que contre le commettant et ce dernier ne pourra pas recourir contre son préposé après avoir indemnisé la victime. Toutefois, de nombreuses limites ont été apportées à cette immunité par la jurisprudence : elle disparaît notamment en cas d’infraction pénale commise par le préposé. Si le salarié a commis un acte de malveillance constitutif d’une infraction pénale (on pense aux « Atteintes aux systèmes de traitement automatisé de données » incriminées par les articles 323-1 à 323-7 du Code pénal), l’employeur pourrait donc se retourner contre lui après indemnisation du tiers lésé.
Au vu de ces problématiques de responsabilités, l’encadrement du cloud computing et du BYOD apparaît indispensable. L’employeur ne peut pas se permettre d’y recourir sans avoir préalablement évalué les risques d’une part, et sans avoir pris les mesures adéquates pour les atténuer, d’autre part : attention accrue sur les termes du contrat dans le cadre du cloud, rédaction d’une charte dans le cas du BYOD, avec définition des obligations des parties et appréhension des responsabilités de chacune.
Nous n’avons évoqué que deux pratiques émergentes, mais il y en a d’autres et il y en aura toujours de nouvelles avec l’évolution constante des technologies, avec potentiellement de nouveau risques pour la sécurité des systèmes d’information.
Les impacts des cyber-risques en termes de responsabilités, plus particulièrement en cas d’atteintes aux données, sont donc importants. On l’a vu, de nombreuses obligations pèsent sur les entreprises, et ce sont autant de vecteurs de responsabilité civile et/ou pénale. De surcroît, les nouvelles pratiques qui se développent actuellement dans les entreprises génèrent de nouvelles problématiques de répartition des responsabilités entre les différents acteurs impliqués.
De plus, en cas d’atteinte aux données personnelles, l’entreprise peut se voir infliger des sanctions administratives qui, associées aux frais de défense et aux dommages et intérêts et amendes pénales éventuelles, rendent la facture très lourde.
Outre les risques de responsabilité, les entreprises doivent aussi faire face à de nombreuses dépenses, que l’on peut qualifier de dommages dans une optique assurantielle, puisqu’ils impactent l’assuré et non les tiers.
110 art. 35 al. 3 et 4 de la loi Informatique et Libertés
111 Publiée le 25 juin 2012
112 Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
113 Article 25-1 de la directive n°95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et article 68, alinéa 1, de la loi du 6 janvier 1978
114 Publication le 5 février 2010, 2010/87/UE
115 Les Binding Corporate Rules (BCR) constituent un code de conduite, définissant la politique d’une entreprise en matière de transferts de données
116 USA PATRIOT Act : Uniting (and) Strengthening America (by) Providing Appropriate Tools Required (to) Intercept (and) Obstruct Terrorism Act, acronyme traduisible en français par : « Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme ». Il s’agit d’une loi antiterroriste qui a été votée par le Congrès des États-Unis et signée par le Président George W. Bush le 26 octobre 2001.
117 Lesechos.fr, Le FBI accède aux serveurs de Google, Skype et Facebook, Obama assume, publié le 7 juin 2013
118 Cass. Ass. Plén., 19 mai 1988, RTDciv 1989, 89
119 Cass. Ass. Plén., 25 février 2000, JCP 2000, G, II, 10295
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance