TIC : Sécurité "juridique" de l'information dans nos entreprise ?

 www.lesinfoplus.com

La circulation de l’information dans l’entreprise et ses problèmes juridiques a mis à l'évidence un manque en matière de législation. En effet, la banalisation de l'informatique dans certaines structures professionnelles et l'internationalisation des

échanges grâce à Internet, expliquent que certains observateurs clament encore qu'il y a un vide juridique dans la circulation de l’information.

Pour autant il existe de nombreuses lois spécifiques au secteur informatique et lorsqu'un domaine n'est pas traité en particulier par une loi, une analogie est alors faite avec les articles de loi existant dans des domaines similaires et aboutissent généralement à une jurisprudence.

Ainsi, les intrusions non autorisées sur un système informatique (à travers Internet ou non) la loi Godfrain du 8 janvier 1988 prévoit un cadre pénal prévoyant des infractions spécifiques en fonction de l'atteinte portée au système informatisé. reprises par les articles 323-1 à 323-7 du nouveau code pénal institué par La loi du 22 juillet 1992 entrée en vigueur le 1er mars 1994 a ainsi institué la reprise de ces infractions dans les articles 323-1 à 323-2 du nouveau code pénal.

Nonobstant cette loi, il est important d'attirer l'attention des décideurs aux agents d’éxécutions des structures professionnelles sur leur  part de responsabilité et le risque dans la mauvaise protection de leur système d’information. Cette responsabilité va de pair avec la prise de conscience de ce que l'information est devenue valeur, parfois la seule détenue par une entreprise, et qu'elle est traitée par des systèmes qui ne fonctionnent pas tout seuls mais en vertu de la façon dont les hommes les exploitent

La  protection juridique de la circulation d’information au sein de l’entreprise 

La protection juridique du système d’information conditionne l'exercice des droits et devoir des usagers et le développement économique et financier d’une entreprise.

Généralement, la protection juridique est faible dans ce domaine. En effet, les malfaiteurs sont difficilement identifiables, comme ils agissent à distance, à travers des relais. Dans bien des cas, les attaques sont souvent transfrontalières contrairement aux lois de sorte que l'impunité reste de fait. D’autre part il est difficile de prouver l’infraction. Seule la mise en place d'une sécurité forte peut conduire à prouver le vol et les pertes engendrées.

Ainsi, comme les données informatiques peuvent être volées par copie, une capacité d'analyse pointue des traces d’activité se révèle absolument nécessaire et les normes juridiques pour avertir et punir indispensable.

           La consécration des normes juridiques

Pour une meilleure fluidité du système d’information d’une structure professionnelle, la prévision d’une protection technique et surtout juridique est indispensable. Il s’agira de limiter l’insécurité en mettant en place une armada de normes juridique effective et efficace pouvant protéger au mieux l’information.

L’évaluation des risques d'insécurité juridique, s'impose à toute personne en interaction avec l’entreprise soumise à des obligations dont le non-respect entraîne des préjudices à la structure. Ainsi le producteur de normes de droit doit suite à l’audit du système d’information, réaliser et concevoir son texte juridique au regard de différents critères :

Caractère d’autonomie, de bien commun, d'intérêt général de l’entreprise,

Prendre la circulation de l’information dans toute sa complexité et du réseau d’utilisateurs touché, multiplicité des parties prenantes impliquées,

Exigences d'éthique,

Conséquences en termes de sûreté des organisations et systèmes de la structure professionnelle,

Aptitude des destinataires à percevoir le contexte et à mesurer la portée du texte,

  L’ effectivité et efficacité de ces normes

Les facteurs de risque susceptibles de générer de l'insécurité juridique sont :

La prolifération de normes inadéquates,

La complexité excessive,

Le caractère précaire, illisible, incohérent, voire non normatif, de certaines lois retenues.

Toute chose pouvant porter atteinte à l’effectivité des normes retenues. Le non respect du principe de sécurité juridique retenu et des exigences correspondantes est susceptible d'engendrer des risques liés aux malentendus et de provoquer des ruptures d'égalité. Ce qui aura comme conséquence mettre en mal l’efficacité des normes préalablement acceptée par tous.

Ainsi, le non respect de l'ensemble des dispositions retenues doit faire l'objet de sanctions sévères prévues.

 La protection au sein d’une structure professionnelle

 La protection d'un système d’information est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs desdites machines possèdent uniquement les droits qui leur ont été octroyés.

Il peut s'agir :

  • d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante
  • d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système
  • de sécuriser les données en prévoyant les pannes
  • de garantir la non-interruption d'un service

Pour renforcer cette protection technique, il faut que certaines obligations soient respecter par les agents et prestataires et dont l’inexécution pourrait mettre en œuvre leurs responsabilités aussi bien civile( réparation : paiement d’amende et des dommages et intérêt) que pénale ( peines d’emprisonnement)et aussi revoir le problème de le confidentialité

 Les responsabilités civile et pénale des agents et de l’entreprise de la structure

Les infractions généralement observées dans le cadre des systèmes d’information sont les suivants :

 Notre pays, le Bénin n'a pas légiféré dans le domaine. Quand à la France, que nous copions généralement, les responsabilités sont clairement définies :

Vol de donnée

L’accès frauduleux dans un système informatique c’est – à – dire le délit d'intrusion, est puni d'un an d'emprisonnement de 100000 francs d'amende. Cette peine s'applique à un grand éventail d'accès frauduleux, incluant l'accès à un système avec un nom d'utilisateur et un mot de passe autre que le sien.

La suppression ou l'altération de données, l'atteinte à des données telle que l'intrusion, (appelées délit de piratage) est puni par l'article 323-3 de 3 ans d'emprisonnement et de 300000 francs d'amende

Destruction de l’information

Lorsque les données sont trafiquées (modification, suppression) la peine est doublée, la gravité du délit est ensuite déterminé par la façon suivant laquelle ces données ont été altérées (vandalisme, involontaire ...).

Ces moyens sont classifiés suivant la manière par laquelle le coupable s'est introduit dans le système informatique.

C'est la loi Godfrain du 5 janvier 1988 qui crée des infractions spécifiques à ce domaine, ainsi que les articles 323-1 à 323-7 de la loi du 22 juillet 1992.

 Les obligations légales à respecter par l’entreprise

L’entreprise à:

  •        L’obligation de protéger l’accès aux données nominatives (clients, partenaires, salariés, etc.) : l'article 226-17 du code pénal punit de 5 ans d'emprisonnement ou/et 2 MF d'amende.
  •        L’obligation contractuelle de surveillance, dans le cadre d'accords de partenariat (B to B, secret deses partenaires, prestataire externes, bureau d’étude, etc.).
  •        L’obligation de respect du domaine privé des salariés : les échanges privés ne sauraient être écoutés ou lus par l’employeur, s'agissant notamment de la messagerie électronique.

L'évolution des besoins d’une entreprise l’oblige à une véritable mutation du service informatique, qui doit désormais prendre en compte :

  1. la nécessité de passer par des réseaux publics : interconnexion des sites de l'entreprise, développement des accès à l'Internet ;
  2. l'intégration d'outils réseaux, avec accès aux données de l'entreprise.

Dans cette condition, les risques se modifient et s'ajoutent : des centaines de nouveaux virus apparaissent chaque mois, l'ingéniosité des attaquants est grandissante, le piratage informatique à visée mercantile progresse rapidement et vise essentiellement les entreprises, etc.

Si la prise de conscience des risques et le besoin de leur évaluation s’imposent d'eux-mêmes, il est admis désormais que l'on ne doit plus attendre pour agir. Mettre en place un système technique doublé d’une vulgarisation des normes juridiques en vigueur dans le pays et d’une charte juridique pour la circulation de l’information au sein de la structure professionnelle concernée. En sorte, un audit-sécurité du système d'information s’impose.

Serge Angelo

Vous aimerez aussi ...

Vidéo du jour

Plus d'Infos

Révision de la Constitution: « transmission du projet dans quelques jours » au Parlement

Révision de la ...

Lors de sa rencontre avec les têtes cour...

BENIN: Lutte contre la vente des faux médicaments,Sogéma soutient le gouvernement

BENIN: Lutte co...

La Société générale des marchés auton...

La voie de Vodjè  bloquée par des milliers casiers de bière

La voie de Vodj...

Des milliers de bouteilles remplies de ...

Rencontre avec les chefs traditionnels : voici le message du chef de l’Etat face aux difficultés de la population

Rencontre avec ...

Au cours de la rencontre à cœur ouver...

Nos Articles

Ebola : l’irresponsabilité des dirigeants africains

Ebola : l’irres...

      L’Organisation Mondiale de la S...

Bénin : de la fonction présidentielle infantilisée

Bénin : de la f...

Le blogueur béninois Jules Djossou Bonou...

Duel entre Yayi Boni et le Bénin

Duel entre Yayi...

La farce commence à ne plus être drôle. ...

Burkina, Bénin: Prémices du printemps africain...

Burkina, Bénin:...

      Le Burkina Faso a donné ce mard...