Qu’elles proviennent d’une erreur, d’une négligence ou de procédés illicites, les failles de sécurité représentent aujourd’hui l’une des préoccupations majeures des entreprises.
Les enjeux sont importants : piratage des systèmes de traitement automatisé de données (STAD), perte d’informations confidentielles et stratégiques, vol de données personnelles et lourds de conséquences sur le plan financier. A cet égard, l’entreprise victime devra vérifier sa police d’assurance pour vérifier si elle est couverte pour les risques informatiques.
Aussi, dès la découverte d’une faille de sécurité, et préalablement à toute action contentieuse, plusieurs actions doivent rapidement être mises en œuvre.
Identification et correction de la faille. En interne d’abord, il est recommandé au RSSI, au DSI, ou, le cas échéant, à la société d’expertise informatique, d’identifier la faille, de la corriger avant de mettre en place un audit de sécurité et de procéder aux mises à jour des procédures internes.
Constitution d’un dossier de preuve technique. Parallèlement, il est vivement conseillé au RSSI, au DSI ou à la société d’expertise informatique de réaliser un dossier de preuve technique, comprenant a minima un rapport d’incident et les logs de connexion aux serveurs.
Qualification juridique des faits. A l’appui de ces éléments, il sera ensuite possible de qualifier juridiquement les faits et de les rattacher notamment à l’une ou plusieurs des infractions suivantes :
- accès frauduleux dans un STAD (art. 321-1 du Code pénal) ;
- maintien frauduleux dans un STAD (art. 321-1 du Code pénal) ;
- introduction frauduleuse de données dans un STAD (art. 323-3 du Code pénal) ;
- extraction, détention, reproduction ou transmission de données dans un STAD (art. 323-3 du Code pénal, modifié par la loi n°2014-1353 du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme) ;
- détention de programmes informatiques conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions (art. 323-3-1 du Code pénal) ;
- association de malfaiteurs informatiques (art. 323-4 du Code pénal) ;
- usurpation d’identité numérique (art. 226-4-1 du Code pénal) ;
- escroquerie (art. 313-1 et 313-3 du Code pénal) ;
- vol d’informations (art. 311-1 du Code pénal).
Dépôt de plainte. Une plainte devra être déposée auprès du procureur de la République territorialement compétent, qui diligentera une enquête préliminaire confiée aux services de police ou de gendarmerie spécialisés que sont :
- la brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti), service de la Police Judiciaire dévolu aux infractions informatiques sur la région parisienne ;
- la sous-direction de lutte contre la cybercriminalité relève de la Direction centrale de la police judiciaire (SDLC), compétente pour les attaques à l’encontre d’un système d’information situé à l’extérieur du périmètre d’intervention de la Befti ;
- l’Office Central de Lutte Contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC), compétente sur tout le territoire français.
Notification à la Cnil. Si l’atteinte porte sur des traitements de données à caractère personnel mis en œuvre par une entreprise fournissant un service de communications électroniques (opérateurs de télécommunications, fournisseurs d’accès à internet), le responsable de traitement devra la notifier à la Cnil en application de l’article 34 bis de la loi Informatique et libertés, et ce sans délai à compter de la constatation de la violation. A la suite de cette notification, la Cnil pourra décider de procéder à une mission de contrôle, à l’issue de laquelle des recommandations (modification des durées de conservation, des mesures de sécurité, etc.) ou des sanctions pourront être prononcées (avertissement, sanction pécuniaire, etc.). Pour les autres organismes, privés ou publics, la notification de la violation des données personnelles n’est pas, à l’heure actuelle, obligatoire.
La Cnil pourra également, en cas de non-respect de l’obligation de sécurité de l’article 34 de la loi Informatique et libertés, dénoncer au procureur de la République les infractions à la loi Informatique et libertés, prévues aux articles 226-16 à 226-24 du Code pénal.
Plan médias. L’entreprise confrontée à une atteinte à son système informatique ayant conduit à une violation des données personnelles devra communiquer sur cet incident en interne et auprès de toutes personnes susceptibles de la solliciter (journalistes ou clients) et réagir très rapidement pour éviter toute diffusion d’information erronée ou inexacte, toute atteinte à sa réputation, ou encore mauvaise appréciation de l’impact de l’évènement sur son activité économique.
Si la répression des atteintes au système d’information a été largement renforcée par la loi 2014-1353 du 13 novembre 2014 introduisant le délit d’extraction de données dans un STAD et par l’arrêt « Bluetouff » de la Cour de cassation du 20 mai 2015 qui consacre le vol de données, la sécurisation du système d’information reste encore le meilleur moyen de lutter contre les failles de sécurité.
Lexing Alain Bensoussan Avocats
Lexing Droit pénal numérique