Tribunes

La sécurité de l'information au carrefour de multiples préoccupations légales

Etienne Papin est avocat associé du cabinet Feral-Schuhl / Sainte-Marie.

Les données contenues dans le système d'information d'une entreprise doivent rester secrètes. Voici le nouveau mantra du législateur.

PublicitéPlusieurs textes pris ces derniers mois nous permettent de revenir sur les obligations qui pèsent sur le responsable d'un système d'information en matière de sécurité.

La protection du secret des affaires

En transposant la directive du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d'affaires), la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires a créé un objet juridique non identifié. Récemment, le décret n° 2018-1126 du 11 décembre 2018 relatif à la protection du secret des affaires est venu compléter le dispositif légal en la matière.

Avec cette loi, certaines informations deviennent éligibles à une protection légale alors qu'elles ne sont pas protégées par un droit de propriété intellectuelle comme le droit d'auteur par exemple.

En cas d'atteinte illicite au secret, le détenteur légitime des informations pourra obtenir en justice une indemnisation et demander des mesures immédiates de protection pour faire cesser l'atteinte.

Il n'y a que très peu de conditions pour que les informations d'une entreprise puissent bénéficier de cette nouvelle protection. Selon le nouvel article L151-1 du code de commerce, il suffit que l'information ne soit pas « généralement connue ou aisément accessible pour les personnes familières de ce type d'information », bref il faut que l'information soit secrète et, nous dirons, inédite. Il faut que, en outre, ce caractère secret lui confère une « valeur commerciale ». C'est tout. On le constate, sur le plan des conditions juridiques d'obtention de la protection, c'est assez peu contraignant.

Mais il est une dernière condition, plus pratique, pour pouvoir prétendre à la protection au titre du secret des affaires. Il faut que l'information ait été protégée par son détenteur par « des mesures » « raisonnables, compte tenu des circonstances, pour en conserver le caractère secret »...

C'est là le caractère assez paradoxal de la protection au titre du secret des affaires : il faut avoir protégé l'information contre sa divulgation, mais manifestement pas assez, puisque celle-ci a été divulguée indépendamment de la volonté de son détenteur.

On peut penser que, en pratique, cela ne concernera que deux cas de figures. D'une part, lorsque l'information fait l'objet d'une divulgation à la suite d'un piratage du système d'information. Mais encore faut-il que dans ce système, l'information ait été suffisamment protégée par des mesures à l'état de l'art. D'autre part, lorsque l'information fait l'objet d'une divulgation par une personne, typiquement un salarié, qui y a légitimement accès mais qui outrepasse ses droits et la communique volontairement ou accidentellement à un tiers non autorisé.

PublicitéConcrètement quelles sont les mesures « raisonnables » que le législateur attend que le détenteur d'un secret des affaires mette en oeuvre pour protéger son information ? Le texte ne le dit pas. Notre poursuite de l'exploration des lois et règlements publiés ces derniers mois peut nous fournir des éléments de réponse.

La sécurité des données personnelles

On ne compte plus les fuites de données dont la presse grand public a fait état au cours des derniers mois.

Le 30 novembre, le groupe hôtelier Marriott révélait une fuite de données portant potentiellement sur 500 millions de clients pendant 4 années. Le 13 décembre, c'était au tour du ministère des affaires étrangères de communiquer sur une fuite de données affectant les utilisateurs du service « Ariane », destiné aux Français à l'étranger. La sécurité des données personnelles est un Saint-Graal auquel le RGPD invite à la quête.

On ne compte également plus les entreprises sanctionnées par la CNIL pour atteinte à la sécurité des données personnelles.

L'article 5 du RGPD (qu'on ne présente plus), pose le principe que les données personnelles doivent être traitées de façon à garantir une sécurité appropriée « à l'aide de mesures techniques ou organisationnelles appropriées ». L'article 32 du RGPD laboure le même terrain : « Compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement [...] mette en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Mais concrètement quelles sont les « mesures techniques et organisationnelles appropriées » que le législateur attend que le responsable de traitements mette en oeuvre pour protéger les données personnelles ?

On pourra rechercher des réponses du côté des entreprises qui sont assujetties à des obligations un peu plus formalisées en matière de sécurité. Il s'agit des opérateurs de services essentiels (OSE), catégorie juridique créée par la loi 26 février 2018 et dont une première liste de 112 entreprises a été fixée début novembre selon l'ANSSI.

La sécurité du SI au sens légal

Les OSE sont assujettis au décret n°2018-384 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels, complété récemment par l'arrêté du 14 septembre 2018.

Cet arrêté constitue une forme de cahier des charges de l'état de l'art de la sécurité informatique, au sens du législateur en tous les cas, et l'on pourra s'y reporter utilement.

Celui-ci aborde de manière didactique tous les sujets :
- la gouvernance de la sécurité par l'adoption d'une Politique de Sécurité des Systèmes d'Information, la mise en place d'indicateurs, la réalisation d'audits de sécurité, l'établissement et le maintien à jour de la cartographie du SI ;
- la sécurité de l'architecture par sa configuration, son cloisonnement, la protection des accès distants, le filtrage des flux ;
- la sécurité de comptes d'administration et de l'administration du système ;
- la gestion des identités et des accès par des processus d'indentification ou d'authentification ;
- la détection et la gestion des incidents de sécurité ;
- la résilience du SI.

Ce texte a le mérite de poser clairement, pour la première fois, les moyens à mettre en oeuvre pour atteindre le fameux objectif de la sécurité de son système d'information.

Un autre texte récent mérite également d'être mentionné sur notre sujet. Il s'agit de l'arrêté du 18 septembre 2018 portant approbation du cahier des clauses simplifiées de cybersécurité.

Cet arrêté s'adresse à tous les acheteurs publics. Il a pour vocation à leur fournir un cahier des charges simple dédié aux problématiques de sécurité de l'information dans le cadre de leur achat des services informatiques nécessaires à leur système d'information. Il est intéressant également que les prestataires de service se l'approprient, car il pourrait bien devenir une sorte de document type présent dans tous les dossiers de consultation. Il fait figure d'une version simplifiée de l'arrêté dédié aux opérateurs de services essentiels car répondant à des objectifs plus modestes en matière de sécurité pour des SI moins critiques que ceux des OSE.

Article rédigé par

Etienne Papin, Avocat associé du cabinet Feral-Schuhl / Sainte-Marie
Avocat au Barreau de Paris, Etienne Papin exerce dans les domaines du droit de l'informatique, de l'internet et des médias. Il conseille des SSII, éditeurs de logiciels, grandes entreprises et personnes publiques pour la rédaction et la négociation de leurs contrats informatiques. Il assiste également ces entreprises lors de procédures judiciaires. Il est associé du cabinet Feral-Schuhl / Sainte-Marie.
Suivez l'auteur sur Google+, Linked In, Twitter