Audit de conformité légale et réglementaire dans les technologies de l’information
| Rédigé par Eric A. Caprioli le Lundi 27 novembre 2006 |
L’informatique et les TIC dans l’entreprise ont introduit une façon différente d’aborder les projets. Depuis maintenant dix ans, le service développé ou la méthode commerciale appliquée à l’internet constitue le cœur même de tout projet innovant. Cette évolution des process et des Business models s’accompagne nécessairement d’un renforcement de la sécurité et de la fiabilité du système d’information. Les entreprises doivent désormais assurer la conformité juridique («compliance») de leur processus opérationnel (éléments techniques et commerciaux) avec le cadre légal applicable.
Cette conformité peut prendre différents aspects en fonction des nouveaux services ou applicatifs :
- lors du lancement d’un nouveau service, par exemple : un portail commercial, une place de marché en ligne, des crédits bancaires en ligne, une plate-forme de dématérialisation des factures ou des marchés publics, un service d’envois recommandés électroniques (ces exemples s’appuient sur des textes juridiques adoptées pendant la période allant de 2001 à 2006) ;
- lors de l’introduction de nouvelles procédures internes par l’entreprise : un système d’archivage électronique sécurisé (v. le livre blanc sur l’archivage électronique à l’usage du dirigeant sur le site : www.cigref.fr ou sur les sites, www.ssi.gouv.fr et www.caprioli-avocats.com) ou de gestion de documents numérisés, l’introduction d’applications de comptabilité informatisée (instruction du 24 janvier 2006) ;
- au moment d’un investissement dans le cadre d’une démarche globale incluant la préparation du projet d’investissement avec les documents juridiques et financiers (business plan, statuts, pacte d’actionnaires, contrats, audit et évaluation des droits de propriétés intellectuelles…).
Elle peut également résulter de textes réglementaires en vigueur comme dans le cadre du contrôle interne ou de la conformité légale des entreprises cotées ou de l’évaluation des risques pénaux de l’entreprise et de ses dirigeants en matière de sécurité du système d’information.
Vérifier la conformité juridique du processus technique et commercial est devenu un préalable incontournable au lancement de tout projet de service à valeur ajoutée et/ou sécurisé.
En matière informatique, plusieurs domaines d’application peuvent faire l’objet d’un audit de conformité légale et réglementaire. La défaillance ou une mauvaise approche d’un service innovant peut avoir de lourdes conséquences pour l’entreprise, en termes de responsabilité pénale mais aussi civile (allocation de dommages et intérêts). Nous prendrons quelques exemples de domaines d’application sans prétendre à l’exhaustivité.
a) La sécurité des systèmes d’information (SSI)
L’information est au centre de la vie de l’entreprise. Sa protection impose des mesures techniques, organisationnelles et juridiques. Sur le plan documentaire, on citera quelques documents normatifs indispensables à la SSI : politique de sécurité, charte des utilisateurs des moyens de communications électroniques (personnel interne, amis aussi externe), engagements spécifiques pour les administrateurs réseaux et systèmes, délégations de pouvoirs, règlement intérieur, notes de services, contrat de travail. Le périmètre de l’intervention du service de SSI a une incidence considérable du point de vue juridique. C’est pourquoi, le préalable à la démarche consiste à élaborer un guide juridique de la sécurité des systèmes d’information (Guide du RSSI pour les grandes entreprises), partant de l’organisation interne de l’entreprise (y compris la prise en compte de la dimension groupe, le cas échéant) et intégrant les délégations mises en place en son sein. A partir de ce guide, il s’agira de procéder à un audit complet des différents éléments entrant dans le périmètre de la sécurité afin de procéder à la vérification de la conformité légale et réglementaire.
b) La protection des données à caractère personnel
Le contrôle de la conformité légale des données à caractère personnel collectées, traitées et archivées est devenu incontournable depuis la loi du 6 août 2004, modifiant la Loi Informatique et Libertés. Le renforcement des peines et amendes liées au non respect des exigences en matière de données à caractère personnel, l’attribution d’un pouvoir de sanction à la CNIL (ex : 45.000 euros d’amende à une banque pour entrave à son action, 5.000 euros d’amende à une étude d’huissier) démontre la volonté des pouvoirs publics d’assurer une parfaite transparence dans le cadre de leurs pratiques tant commerciales que simplement techniques. Cette tendance est européenne (directive du 24 octobre 1995).
Dans cette optique, l’entreprise peut mettre en place une personne en charge des données à caractère personnel au sein de son organigramme. Par exemple, il peut exister un responsable des traitements ayant délégation de pouvoir (un « Monsieur vie privée et données personnelles », auquel on pourra ajouter un correspondant à la protection des données. Ce correspondant peut être une ressource humaine interne ou externe (moins de cinquante utilisateurs des données). Retenir une option plutôt qu’une autre n’est pas sans risque eu égard à l’indépendance que le décret de 2005 confère au correspondant.
Un audit exhaustif des traitements mis en place par l’entreprise (prospection, newsletter, base de données clients, scoring, liste « grises »,…) est souvent nécessaire pour pallier au mieux les risques en matière de données à caractère personnel. Il aboutira à des recommandations en termes de déclarations, autorisations et éventuellement des conditions de licéité des traitements mis en place. Dans l’idéal, il conviendra de mettre en place des procédures pour toutes les données collectées et traitées.
c) L’archivage électronique
La conservation des documents électroniques peut correspondre à deux réalités juridiques distinctes :
- la gestion des copies numérisées de documents originaux papier ;
- et la gestion de documents dont l’original est établi sous forme électronique, sous réserve du respect des exigences des articles 1316-1 et 1316-4 du code civil ainsi que de leur accessibilité par toutes les parties.
Une approche générale ne suffit pas à l’élaboration d’un projet d’archivage pour une entreprise. Certaines spécifications propres à l’organisation entraînent nécessairement une approche au cas par cas. Rappelons, en effet, que le droit confère un régime juridique à chaque type de documents (ex : bulletin de salaire, pièces de comptabilité informatisée, facture électronique et papier, chèque, lettre de change, contrat commercial, contrats de consommation, etc.).
Le système d’archivage électronique devra se fonder sur une politique d’archivage qui décrit les obligations des acteurs et les niveaux de sécurité pendant tout le délai d’archivage. Des procédures détailleront comment les objectifs de la politique d’archivage sont atteints.
Il existe sur le marché des prestataires en charge de l’archivage pour le compte de clients : les tiers archiveurs. Le contrat d’archivage et de service qui liera l’entreprise et ce tiers devra être examiné avec soin en tenant compte des annexes (convention de services, politique d’archivage, normes suivies). Il est toujours important de conserver à l’esprit qu’un contrat « standard » ne peut que difficilement assurer une protection optimale du client.
d) La propriété intellectuelle
L’évaluation des droits de propriété intellectuelle est une donnée essentielle pour évaluer le patrimoine tant technique qu’informationnel de l’entreprise. La valorisation des projets innovants s’effectue forcément par une politique de protection (marques, brevets, dessins et modèles, droit d’auteur) des éléments nécessaires au bon déroulement du service et d’estimation des risques juridiques. A partir de cet audit, l’exploitation du service innovant peut être optimisée : actifs immobilisés, cessions de droits et concessions de licences.
e) La cryptographie
La cryptographie et les techniques d’horodatage et de signature électronique (certificats numériques) sont utilisées principalement par les entreprises pour assurer le chiffrement des messages et des données à des fins de confidentialité (pour chiffrer des dossiers sensibles) mais aussi pour assurer l’identification, l’authentification et l’intégrité. Si le régime juridique de la cryptologie est fixé depuis la Loi pour la confiance dans l’économie numérique du 21 juin 2004, des décrets doivent encore être publiés. La liberté d’utilisation est désormais le principe. Cependant, lorsque l’entreprise utilise des moyens de cryptographie, elle doit contrôler leur régularité administrative sur le site internet de la DCSSI (www.ssi.gouv.fr) et selon les hypothèses, accomplir les formalités requises (en cas d’exportation, de transfert de biens à double usage, …). De plus, si l’entreprise possède des filiales ou des succursales en dehors de l’Union européenne, elle devra vérifier la conformité légale de l’utilisation dans chacun des pays cibles.
On peut le constater, la démarche d’audit de conformité légale est complexe et protéiforme. Elle est toutefois devenue un préalable essentiel à la préservation d’une richesse centrale de toute entreprise au sein de cette économie numérique : le patrimoine informationnel.
Eric A. CAPRIOLI
Docteur en droit,
Avocat à la Cour de Paris
Spécialiste en droit de la propriété intellectuelle et de l’informatique
Caprioli & Associés, société d’avocats (Nice, Paris)
Retour à l'article
