01net. - DSI, ne sortez plus sans votre avocat

nos newsletters

nos magazines

écrire à l'auteur		imprimer

envoyer par mail

	Sommaire du dossier
	DSI, ne sortez plus sans votre avocat
	- Marie-Laure Laffaire (cabinet Lexvia) : « Adapter la sécurité à la dangerosité des traitements »
	Vers une certification des responsables désignés

Cet article est extrait de : 01 DSI
		Bimestriel qui explique aux DSI les aspects stratégiques, économiques et managériaux des technologies de l'information. Découvrez le magazine Contactez la rédaction Abonnez vous

[ DÉONTOLOGIE ]
DSI, ne sortez plus sans votre avocat
Les activités du déontologue supposent des accords de délégation de pouvoir entre la direction générale, le DSI et le RSSI.

Jean-Philippe Bichard , 01 DSI, le 31/08/2005 à 07h00

Est-ce un hasard ? L'une des plus grandes banques françaises, BNP Paribas, s'est dotée en janvier 2005 d'un responsable mondial chargé de ce que la banque nomme, pudiquement, « la conformité ». Un déontologue, en fait, qui rapportera directement au directeur général et disposera de larges attributions concernant l'ensemble du groupe. BNP Paribas affiche son ambition d'être en permanence en conformité avec les standards les plus exigeants en matière de déontologie, de maîtrise des risques et de contrôle interne.

Le responsable de la « conformité » de BNP Paribas, Vivien Lévy-Garboua, précise que la banque « a pour mission de veiller à la cohérence et à l'efficacité des actions engagées au regard des règles relatives à la déontologie et, plus largement, au regard des dispositions législatives et réglementaires propres aux activités bancaires et financières ». Responsable de la fonction éthique et déontologie et de la lutte contre le blanchiment et la corruption, il exerce aussi une autorité fonctionnelle sur les affaires juridiques du groupe pour tout ce qui touche aux missions de contrôle de la conformité.

Ce déontologue assure également l'animation et la coordination du contrôle interne pour l'ensemble du groupe. Il préside un comité mensuel du contrôle interne, composé de l'inspecteur général, responsable du contrôle périodique, et des responsables au niveau du groupe des fonctions risques ; affaires fiscales ; affaires juridiques ; éthique et déontologie ; et finances et développement. Il élaborera le rapport du contrôle interne et de la conformité.

Un garde-fou contre les scandales
BNP Paribas n'est pas l'unique grande société européenne à se piquer de déontologie. Après les affaires Enron, Arthur Andersen, Worldcom... le monde des affaires tente de se refaire une « virginité ». DSI et RSSI sont très directement concernés, en tant que responsables des données, des applications, des informations qu'ils traitent, exploitent, valorisent et protègent. Et l'apparition de requêtes nouvelles, comme assurer la destruction des courriers électroniques des messageries internes ou intégrer un processus de facturation électronique au sein du service financier, requiert une nouvelle codification des risques.

Chez l'assureur AG2R, Paul-Olivier Gibert est à la fois directeur de la sécurité et de la déontologie. Une palette de responsabilités élargie qu'il explique par l'émergence de nouveaux comportements. « En tant que RSSI et déontologue, mes inquiétudes portent davantage sur les enjeux humains, le comportement des utilisateurs, leur sens de la responsabilité. » La délimitation du rayon d'action des outils de sécurité constitue une source d'interrogation permanente. « Comment maintenir en éveil la vigilance des collaborateurs ? Comment mener une politique de sécurité efficace tout en acceptant les contraintes réglementaires ? Comment réaliser des opérations de traçabilité pour détecter des tentatives d'escroquerie et de blanchiment sans nuire à la vie privée des utilisateurs ? » S'ajoutent les considérations liées à l'intégrité et à la confidentialité de données à caractère très personnel hébergées sur le système d'information d'un assureur. Qu'adviendrait-il si les informations confidentielles concernant un assuré étaient connues de son employeur ou de sa banque, par exemple ? La Cnil veille particulièrement à éviter ce type de dérive.

La responsabilité, une notion qui se complexifie
Les questions de déontologie et d'éthique débouchent sur le problème de la responsabilité et de la délégation de pouvoir pour les décideurs, DSI en tête, lorsqu'il s'agit de gestion des risques au sens transversal, c'est-à-dire de couvrir l'ensemble des métiers de l'entreprise. Pour les juristes, la responsabilité peut être définie comme l'obligation de répondre d'un dommage devant la justice et d'en assumer les conséquences civiles, pénales, disciplinaires, etc. Envers la victime ou envers la société.

Selon Marie-Laure Laffaire, avocate au cabinet Lexvia et spécialiste de ces questions : « Si la responsabilité est une notion classique en droit, les nouvelles technologies impliquent de l'étoffer. L'informatique, les technologies, l'information envahissent l'entreprise à un point tel que le plus simple des sujets devient une question complexe, une question d'experts. » Comment mettre en place un plan de reprise des activités en cas de sinistre ou de dysfonctionnements du réseau ou des serveurs ? Comment organiser l'archivage des informations de l'entreprise ? Comment gérer les droits d'accès lors des arrivées et des départs des salariés ?

Face à cette déferlante de questions, le directeur général n'a qu'une seule solution : déléguer au DSI qui, lui-même, délègue au RSSI. Ces délégations de pouvoirs, accompagnées parfois de délégations de signature (deux notions distinctes sur le plan strictement juridique), portent sur tout ce qui a trait au fonctionnement opérationnel de l'entreprise, à la sécurité, au contrôle et à l'usage des moyens techniques. Un vaste champ d'intervention potentiel, semé d'embûches.

Une délégation sous conditions
Rappelons, comme le souligne Marie-Laure Laffaire que « la délégation de responsabilité qui suit une délégation de pouvoir doit remplir un certain nombre de conditions assez strictes pour être effective : elle doit être nécessaire et précise, réalisée au profit d'une personne qui a la compétence et l'autorité nécessaire, accompagnée des pouvoirs réels et des moyens adéquats, être permanente... Ces principes doivent, bien entendu, se retrouver en matière de subdélégation ».

En fait, les questions soumises au DSI et aux RSSI renvoient souvent à des problématiques plus générales : politiques suivies, déontologie, métier ou droit... Reste que c'est bien au DSI qu'elles ont été déléguées et que les risques qu'il assume ne sont pas négligeables en termes de responsabilité.

La responsabilité du DSI peut être de nature civile, pénale ou encore professionnelle. L'hypothèse d'un litige et de la recherche de preuves par un dirigeant illustre cette règle. Pour la représentante du cabinet Lexvia : « Si la tentation est grande pour un dirigeant d'entreprise d'utiliser les moyens de preuve issus des nouvelles technologies (relevé de connexions, courriers électroniques, traçage...), il ne saurait se décharger sur son responsable informatique sans lui faire encourir un risque en matière de responsabilité juridique. Celle-ci sera le plus souvent de nature pénale, dans la mesure où il pourra être porté atteinte au secret des correspondances ou à la protection des données à caractère personnel et à la vie privée des salariés. L'administration de la preuve doit s'inscrire dans un cadre licite. Ce principe de base a été maintes fois rappelé par la Cour de cassation, que ce soit en matière pénale ou prud'homale. »

Délimiter le périmètre d'intervention
DSI et RSSI délégués sont donc exposés à de nouveaux risques. Le droit français semble avoir anticipé certaines actions courantes dans l'usage des systèmes d'information. Ainsi, un DSI peut être condamné en tant qu'auteur ou que complice d'une infraction. « N'oublions pas que la destruction de courrier électronique tombe sous le coup de la violation du secret des correspondances », rappelle Marie-Laure Laffaire. En outre, si un DSI met sur le site de l'entreprise des contenus pouvant entraîner des plaintes pour contrefaçon, met à disposition des licences de logiciels en surnombre par rapport aux contrats conclus avec l'éditeur ou, enfin, propose l'utilisation de systèmes de cryptographie en l'absence des déclarations et autorisations requises par la loi - en connaissance de cause ou par négligence -, sa responsabilité pénale et civile pourra être engagée. « Dans toutes ces hypothèses, le défaut d'intention délictueuse constituera le moyen de défense le plus efficace. En cas de litige, le directeur général tentera d'apporter la preuve de la délégation (existence et conditions requises) », explique la juriste.

En pratique, les gestionnaires des risques, RSSI et DSI, doivent pouvoir apporter la preuve du périmètre d'une intervention et des limites de celle-ci. Pour eux, il s'agit de se ménager les moyens d'échapper à une éventuelle condamnation. Le représentant de la direction générale pourra recourir à des mécanismes comme la certification de personne (en l'occurrence, le DSI) afin de consolider la délégation de pouvoir au regard des compétences du délégué. DSI, ne sortez pas sans votre avocat !

10 risques stratégiques qui inquiètent

Virus et logiciels espions. Le marché des « remèdes » est estimé à 3 Md$ pour 2005.

Vol d'identité (phishing). Les attaques ont été multipliées par dix entre 2003 et 2004.

La complicité interne explique plus de 50 % des divulgations d'informations stratégiques.

Cyber-racket et chantage.

Exploitation de vulnérabilités. Celle des photocopieurs et PBX, par exemple.

Attaques sur les réseaux sans fil.

Exploitation des failles de collaborateurs ciblés, entre autres par le vol d'identité.

Influence, désinformation... Attaques de l'image, du patrimoine informationnel.

Usage détourné du mode peer-to-peer. Echanges abusifs de données en interne.

Googlebombing. Affichage tronqué suite à une requête sur un moteur de recherche.

AG2R

Activité : assurance.

Président du directoire : Didier Eugene.

Date de création : 1951.

CA 2004 : 6,2 milliards d'euros.

Effectif : 3 200 personnes.

Site internet :

www.ag2r.com