Dans les affaires de vol ou de fuite de données, la responsabilité des collaborateurs, des dirigeants ou de l’entreprise elle-même est de plus en plus brandie comme un outil de régulation. La lutte contre la mauvaise hygiène numérique passera-t-elle bientôt systématiquement par la sanction ?
Vous souvenez-vous de l’affaire Equifax ? Cette société américaine de notation et d’analyse de solvabilité avait été publiquement mise en cause en juillet 2017 pour des manquements graves à ses obligations en matière de cybersécurité. Victime d’une intrusion, la société avait ainsi laissé fuiter les données personnelles de 143 millions d’américains. Cette négligence n’était d’ailleurs pas la première. L’année d’avant, en 2016, la société avait déjà été mise en garde pour ses manquements face au risque cyber.
Les risques d’une mauvaise hygiène numérique
On ne cesse pourtant de le répéter, le risque n’a jamais été aussi haut. Et l’enjeu d’insuffler une véritable culture de la cybersécurité en entreprise aussi crucial. À tel point que l’agence de notation Moody’s, connue comme principale influenceuse des capitalisations boursières, a décidé d’intégrer le paramètre du risque cyber dans ses critères d’évaluation. Désormais, il s’agit même d’un critère de notation. En d’autres termes, les sociétés insuffisamment protégées face à cette menace peuvent voir leur note dégradée. Voire être reconnues responsables de leurs manquements, comme cela a été le cas pour Equifax.
En parallèle, la Cour de Cassation en France s’est déjà prononcée en mars 2018 sur la responsabilité d’un client face à un e-mail de phishing. En reconnaissant « la négligence grave du client dans la garde et la conservation de ses données », la Cour de justice a pointé du doigt la responsabilité de l’individu et a annulé sa demande de remboursement du préjudice.
Si ces deux affaires mettant en jeu la responsabilité d’une entreprise d’une part, et celle d’un individu d’autre part, sont encore relativement isolées, elles n’en constituent pourtant pas moins un signal faible. Se dirige-t-on vers un monde où une mauvaise « hygiène numérique » serait désormais passible de sanctions systématiques ?
Des sanctions prévues par le RGPD
Depuis mai 2018, le règlement général sur la protection des données (RGPD) prévoit un arsenal de sanctions qui peuvent être appliquées aux entreprises et administrations, pour lutter contre les défauts de conformités. L'article 58 du règlement européen donne à la CNIL en France le pouvoir de mettre en place ces moyens dissuasifs et l'article 83 liste les conditions qui lui permettent d'appliquer une sanction administrative – pouvant aller jusqu’à 4 % du chiffre d'affaires mondial.
Et les (gros) montants commencent à tomber. En France, cette même CNIL infligeait une sanction administrative de 50 millions d'euros à Google en janvier 2019, alors qu’au Royaume-Uni, l’autorité de protection des données du Royaume-Uni (ICO – Information Commissioner’s Office) a annoncé son intention d’infliger à la compagnie aérienne British Airways une amende de plus de 200 millions d’euros. En attendant les prochains.
Moins connu, l'article 84 du RGPD prévoit également de mettre en place des sanctions pénales. À ce jour, sans exemple connu…
Des mécanismes de prévention encore faibles
Pour éviter d’en arriver là, de nombreux outils sont déjà à la disposition des entreprises. « On met déjà en œuvre des outils pour protéger les accès aux réseaux, les services de messagerie, la navigation sur Internet ou encore les postes de travail et terminaux mobiles », souligne Matthieu Bonenfant, Directeur Marketing de Stormshield. Mais cela ne suffit pas. « Avec les bouleversements d’usage comme l’augmentation du télétravail et de la mobilité, c’est le collaborateur qui est plus que jamais le maillon faible, notamment lorsque ses terminaux professionnels se trouvent hors du champ de vision de l’entreprise. Même s’il n’a pas l’impression de nuire à son entreprise. »
Au-delà des outils techniques, le volet de sensibilisation et d’éducation des collaborateurs est fondamental. Et implique de premiers outils juridiques. Comme des chartes informatiques, par exemple, qui doivent encadrer les bonnes conduites et recenser « l’ensemble des règles fondamentales de bon comportement que doit adopter tout utilisateur en matière d’utilisation des ressources informatiques et de communication électronique et, par là même, leurs droits », précise Sylvie Blondel, Directrice des Ressources Humaines de Stormshield. Mais bien souvent ces chartes, ces règles de bonne conduite et ces guides sur l’hygiène numérique ne semblent pas non plus suffire. La preuve en est que les ransomwares se portent très bien. Les tentatives de phishing prospèrent. Et la cybercriminalité coûte de plus en plus cher aux organisations... tout comme à leurs dirigeants. Et si, en parallèle d’une intensification de la sensibilisation, il fallait être plus ferme sur d’éventuelles sanctions ?
Vers un recours plus fréquent à la sanction individuelle ?
En 2014, jugé responsable de la fuite massive de données qui a touché son entreprise, le dirigeant de la société Target a été diligemment poussé vers la porte de sortie. Plus récemment, le dirigeant de la société Equifax a lui-même été révoqué par ses actionnaires. Motif de la sanction ? L’ampleur des dégâts infligés et l’impact sur la marque justifiaient que la responsabilité individuelle du dirigeant soit engagée, au nom de l’entreprise qu’il représente.
Ce recours à la sanction pour négligence, irresponsabilité ou mauvaise hygiène numérique pourrait se développer dans les années à venir. Et concerner n’importe quel collaborateur, quel que soit son niveau hiérarchique. En mars 2018, le directeur financier de la filiale du groupe Pathé aux Pays-Bas s’est ainsi fait licencier après l’« arnaque au Président » dont il a été victime. « En fonction des cas, la sanction pourrait aller de la mise à pied, de la rupture du contrat de travail jusqu’au recours pénal », souligne Matthieu Bonenfant. « Mais il reviendrait à l’employeur d’évaluer la faute et sa gravité au regard de son activité propre, du niveau de responsabilité du collaborateur, de son expérience ou de ses antécédents éventuels, précise Sylvie Blondel. Et s’il y a recours pénal, l’employeur pourrait se porter partie civile, tenter de prouver le préjudice subi et faire valoir ses droits. »
Encadrement, jurisprudence et régulation
On l’a vu une entreprise peut être tenue pour responsable des infractions commises pour son compte, et elle peut elle-même engager la responsabilité de l’un de ses salariés ou de son dirigeant. Mais plusieurs inconnues demeurent : quid de la responsabilité des sous-traitants en cas de négligence ou de faute ? Et celle des fournisseurs ?
Aujourd’hui, le recul sur les façons d’appréhender cette question juridique est encore insuffisant. Mais gageons que l’encadrement par la régulation, la jurisprudence et le droit devraient prendre de l’ampleur dans les années à venir. Aux grands maux, les grands remèdes ?