3 questions à Eric Barbry : la protection juridique des systèmes d'information

Eric Barbry est avocat à la cour et directeur du pôle Internet et télécom au sein du Cabinet Alain Bensoussan. Retrouvez-le à l'occasion de la formation "Actualité  juridique des systèmes d'information"

A l'ère du tout numérique, les autorités nationales ont renforcé les lois pour faire face à l'émergence de nouveaux risques ou menaces pour les SI. Quelles sont, selon vous, les actualités incontournables à connaître en matière de juridiction des SI ?
Tout devient incontournable car tous les nouveaux textes relatifs au droit des SI sont affectés de lourdes sanctions, notamment pénales, celui qui les méconnaît s'expose à des risques de plus en plus grands. Ce n'était pas le cas jusqu'ici ou pas dans de telles proportions. A chaque nouvelle loi apparaissent de nouvelles sanctions et donc de nouveaux risques. Et ce n'est pas fini ! L'année 2010 est un millésime pour le droit des SI ! Au programme : Arjel, Hadopi le retour, Lopssi 2, informatique et libertés 3.0, projet de loi sur l'identification des bloggeurs, décret Lcen (enfin peut être) etc...

En quoi ces nouvelles lois peuvent engager la responsabilité d'une direction informatique ?
Chaque loi alourdit un peu plus les sanctions et implique de plus en plus les DSI et les RSSI qui doivent savoir composer avec elles. Quelques exemples : l'Arjel agrée une quinzaine d'opérateurs et des sites de jeux en ligne, de fait les salariés se croient "autorisés" à jouer en ligne depuis les SI de l'entreprise... Le DSI doit intervenir et rappeler les règles, on ne joue pas en ligne avec les SI de l'entreprise. Autre exemple : Hadopi. Les premiers mails de "rappel" vont arriver dès la rentrée, de fait il y aura les entreprises qui se seront préparées à recevoir ce type de mails et les autres où les mails de rappel à la loi se perdront dans le SI jusqu'à ce que l'entreprise soit en danger etc... Que dire des prochaines lois et notamment de la loi informatique et libertés 3.0 qui rendra le CIL obligatoire pour beaucoup d'entreprises et modifiera de manière substantielle l'obligation de sécuriser les fichiers de données nominatives.

Que conseillez-vous aux acteurs des SI pour se protéger ?
Prendre un bon avocat et une bonne assurance ;-))) ou l'inverse ... Plus sérieusement, il serait temps que les acteurs des SI s'intéressent au droit avant que le droit ne s'intéresse à eux ! La réalité est qu'en pratique les acteurs des SI méconnaissent souvent les règles du jeu et c'est normal. Ce n'est ni leur métier, ni leur formation. Or de plus en plus souvent on leur demande des conseils et souvent des conseils juridiques : "puis-je faire ceci ou cela ?", "peut-on accéder à la messagerie d'untel ou au répertoire de celui-là ?". On leur "donne" à gérer l'internet, l'informatique et libertés, les réseaux sociaux... bref des environnements explosifs sur un plan juridique. Le seul vrai conseil que l'on peut donner à un acteur d'un SI tient en trois exigences : premièrement, connaître ses risques juridiques et savoir dans quel environnement juridique il travaille. Les droits et obligations du DSI banque ne sont pas ceux d'un DSI santé ni ceux d'un DSI grande distribution. Deuxièmement, disposer d'une boite à outils, c'est-à-dire de tous les éléments de la régulation interne (charte des SI, charte administrateur, etc..) et enfin, troisièmement, savoir opérer des contrôles dans des conditions respectueuses des exigences réglementaires et disposer pour ce faire d'un "Guide des opérations de contrôle".