Chronique juridique12 / 01 / 2009

Global Security Magazine. Février 2009

 

OUTSOURCING ET SÉCURITÉ, UNE UNION SOUS SURVEILLANCE POUR UNE BONNE QUALITÉ DE SERVICES

 

Par Olivier Itéanu, Avocat à la Cour,
Chargé d'enseignement à l'université de Paris XI

« Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité ». L'article 35 de la nouvelle loi informatique et libertés du 6 août 2004 est le premier avertissement, l'ordre légal que le législateur français signifie à l'externalisation des tâches informatiques, plus spécialement dans les domaines de la sécurité des données à caractère personnel, ces données susceptibles d'identifier directement ou indirectement une personne physique. Les systèmes d'information stockent tous ce type de données. Désormais, si le responsable de ce traitement, le plus souvent l'entreprise, décide de confier à un tiers le soin de traiter ces données « pour le compte du responsable du traitement », il sera qualifié de sous-traitant au sens de la Loi. Dans ce cas, la nouvelle Loi, entrée en vigueur dès le 7 Août 2004, nous apprend que cette sous-traitance sera légale et sans conséquence fâcheuse pour le donneur d'ordre, dès lors que deux conditions sont remplies.

Première condition, le sous-traitant devra présenter « des garanties suffisantes » pour assumer les obligations de la nouvelle loi française. Par un amendement au projet de loi présenté comme purement formel par le rapporteur de la Commission des Lois, Gérard Gouzes, le même article 35 précise que « cette exigence (de garanties) ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures ». Cet ajout, loin d'être neutre, n'est pas que purement formel. Il vise expressément un phénomène qui devient le cauchemar des autorités publiques françaises, communautaires et même états-uniennes d'Amérique, soit l'externalisation des tâches informatiques dans des pays lointains hors Communauté européenne. Sont visés des pays comme l'Inde, l'Ile Maurice, etc. Dans ce cas, le responsable du traitement a pour « obligation » de veiller que la loi à laquelle il est soumis, en l'occurrence française, est respectée. Autant le dire, la mission est quasiment impossible à assumer pour les pays lointains que nous avons cités. De quoi rendre le recours à ces entreprises moins attractif...

Le donneur d'ordre reste responsable des manquementsde son sous-traitant

En pratique, quels risques sont la conséquence de la nouvelle règle ? Cela signifie que toutes les obligations incombant au responsable du traitement et auxquelles le sous-traitant aura manqué seront de la responsabilité du donneur d'ordre. Cela vaut notamment, nous dit le texte, pour l'obligation de sécurité des données à caractère personnel. Toutes les personnes physiques que nous sommes sont fichées au titre de divers traitements. Selon les règles de la collecte loyale et licite, nous avons donné notre consentement au « ficheur » pour qu'il collecte nos données à caractère personnel. La loi, qui parle à notre place, ajoute cependant une condition à ce fichage. Le ficheur ou responsable du traitement endosse une obligation générale de sécurité sur nos données qu'il a collectées. Ainsi, le « responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentées par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Cette obligation de sécurité est lourdement sanctionnée pénalement en cas d'infraction. Ainsi, l'article 226-17 du Code Pénal dispose que « le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites » est puni de 5 ans d'emprisonnement et de 300.000 euros d'amende. Le texte est explicite sur le cas visé. L'entreprise qui externalise la gestion de système d'information qui stocke des données à caractère personnel pourra être poursuivie au travers de son représentant légal sur le fondement du texte précité, si les données ont été, par exemple, dérobées et que ce « vol » a été rendu possible par des mesures de protection insuffisantes prises par son sous-traitant. La règle posée est d'autant plus sévère qu'il est demandé au responsable et à son sous-traitant de « prendre toutes précautions utiles ».

La formule est plutôt vague et générale. Elle fait, en réalité, référence à une notion modulable et en mouvement, les règles de l'art. La question qui sera posée aux Tribunaux, lorsqu'ils seront saisis d'un tel cas et que ceux-ci reporteront sur des experts techniques qu'ils désigneront, est la suivante : est-ce que les protections techniques adéquates et disponibles à la date de commission de l'infraction ont été prises par le sous-traitant ? Si non, la voie sera alors ouverte d'une condamnation pénale puis en réparation des éventuelles victimes, c'est-à-dire civile. Si, à l'inverse, la réponse est positive, le responsable du traitement sera relaxé. Mais le législateur prévient le responsable du traitement qu'il ne pourra facilement s'abriter derrière l'incurie, l'incompétence de son sous-traitant : il est responsable de son choix, devra s'assurer dès lors qu'il présente des garanties suffisantes pour se conformer à la loi, c'est-à-dire qu'il sera capable de respecter les règles de l'art. Pour être complet sur le sujet, rappelons enfin que la loi est la reprise de la doctrine CNIL sur le sujet des « garanties suffisantes » des sous-traitants. Cependant, la doctrine n'était que celle de la CNIL et il n'a pas été rare durant les 26 premières années d'application de la Loi de 1978 que les Tribunaux contredisent la doctrine de la Commission. Aujourd'hui, c'est la loi qui édicte la règle et les Tribunaux seront tenus de l'appliquer.

« Le papier ne refusant pas l'encre », le donneur d'ordre devra s'assurer des engagements pris par son sous-traitant

La seconde condition posée par la Loi à la légalité de la sous-traitance, dans le domaine des données à caractère personnel, tient au contrat qui lie le responsable du traitement au sous-traitant. Ce contrat devra prévoir des engagements précis prévient la loi. Le même article 35 de la Loi nouvelle dispose que « le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement ». La question ne pourra donc être éludée et même des stipulations trop générales ne pourraient pas, à notre avis, suffire. Selon nous, le contrat ne pourra pas seulement stipuler une obligation de résultat générale, d'ailleurs impossible en matière de sécurité, mais au minimum des engagements de résultats ciblés sur des points précis et objectifs. C'est la seconde précaution à prendre pour l'entreprise cliente. Cependant, le « papier ne refuse pas l'encre » et certains prestataires n'hésiteront pas à prendre des engagements qu'ils seront incapables d'assumer le moment venu. Aussi, le choix d'un prestataire pérenne, justiciable de juridictions connues et un minimum efficaces, deviendra une exigence minimale qui nous ramène à la première condition posée tenant aux garanties suffisantes du sous-traitant.

Le bon sous-traitant devra aussi garantir la sécurité des données traitées

Pour minimiser les dangers de l'ouverture et leurs risques associés, l'entreprise est condamnée à un dilemme. Soit elle se lance dans une longue course à l'armement (firewall, anti-virus, filtres anti-spams, etc.) et, pour faire face, constitue des équipes compétentes, constamment formées aux évolutions techniques. Soit elle pourrait être tentée par la recherche d'une solution externe. Il s'agira de trouver le professionnel qui saura garantir par voie contractuelle l'usage des meilleurs outils techniques, les administrer et les faire évoluer, pour bien protéger le système.

La nouvelle loi informatique et libertés du 6 août 2004 nous signifie par ces nouvelles dispositions dans le domaine, que les Tribunaux pourraient, dans ce cas, opérer un contrôle pointu sur les conditions de l'externalisation. Une première, qui traduit l'évolution actuelle de responsabilisation accrue de tous les acteurs de la chaîne de la société de l'information.

 

 

 

Contact Plan Transfert
fichiers Accès client Vivetic en images Vivetic en vidéo
Actualités
L’Off-shore se cherche de nouveaux horizonsLa dématérialisation des factures sur la route de l'externalisationBPO ou l'externalisation des processus métierVivetic - Mise en place d'une cellule de prévention « Pandémie de la Grippe A »Le centre d'appels, pour un coup de main en prospectionDématérialisation de factures, dématérialisation fiscaleNouveau patron chez DailymotionGFI Informatique veut accélérer sa modernisationLes SSII reflètent le climat des affairesComment se construire une bonne réputation ?Buzzez ! il en restera toujours quelque choseLes services informatiques en ligne sont en forte croissanceChronique juridiqueLes bases de données sous la protection de la loiLA SSII indienne Wipro voit la crise comme une opportunitévoir la suite…
Fiches
Vivetic et la SécuritéVivetic et la Relation ClientsVivetic et la PresseVivetic et le Back-Office FinancierVivetic et la VPC / E-CommerceVivetic et le Marketing DirectVivetic et le Traitement de DonnéesVivetic et l' EthiqueVivetic et la Banque / AssuranceVivetic et la ModérationVivetic et le Centre d'AppelsVivetic et le RéférencementVivetic et le Courrier EntrantVivetic et le Traitement d'Emailsvoir la suite…
FAQ
>> Pourquoi VIVETIC ? >> Pourquoi externaliser ? >> Pourquoi numériser ? >> Qu'est-ce qu'un modérateur internet ? voir la suite...
Références / Partenaires
Événements
MD Expo E-Retail : Paris, 30 mars au 01 avril 2010E-MARKETING : Paris, 26 au 27 janvier 2010EBG Conférence et Salon : Paris, le 10 février 2010STRATEGIE CLIENTS : Paris, du 16 au 18 mars 2010 voir la suite...