Maître Isabelle Renard possède une double casquette, scientifique et juridique. Elle vient de publier, dans un langage accessible, un document sur l'enjeu, pour les entreprises, de la mise en oeuvre de moyens de sécurité sur le Net.

01 Réseaux : Les responsables informatiques et de sécurité se perdent souvent dans le dédale des lois et réglementations. Quels sont les points fondamentaux à considérer ?

Isabelle Renard : Il faut comprendre qu'il existe un principe juridique fondamental, celui du bon père de famille, qui définit le comportement de la personne diligente dans un contexte donné. En matière de sécurité informatique, être diligent signifie avoir une bonne appréhension des vrais enjeux et se munir des outils adéquats pour pallier les risques connus à un moment donné. Les tribunaux n'ont aucune indulgence envers les sociétés qui se plaignent d'avoir été victimes de pirates, alors qu'elles n'ont rien fait de sérieux pour s'en prémunir !

Cocher l'option « personnel » sur un courrier électronique protège-t-il du regard du service informatique. Quelle a été l'évolution de la jurisprudence ?

Si un courrier électronique est accompagné de la mention « personnel », le service informatique ne peut, en théorie, pas le lire, car il s'agit d'une violation de correspondance privée. Et s'il le lit, le contenu de l'e-mail ne peut pas être opposé au salarié dans le cadre d'une procédure civile. La plupart des entreprises mettent donc en place des procédures plus sophistiquées de contrôle des e-mails, puisqu'il suffirait d'apposer « personnel » sur un courriel pour sortir en pièce jointe, en toute impunité, des informations confidentielles.

La jurisprudence est en train d'évoluer sur le sujet. Lorsqu'on analyse les espèces, on s'aperçoit que les magistrats reconnaissent les preuves issues d'e-mails des salariés dès lors qu'elles ont été collectées loyalement. Les outils de surveillance et les procédures mises en oeuvre doivent avoir été clairement portés à la connaissance des salariés, et avoir pu faire l'objet d'une discussion collective.

Un dirigeant d'entreprise peut-il être mis en cause suite à un cybervol d'informations ?

Le cas ne s'est pas encore produit. Mais si une entreprise se trouvait en grave difficulté du fait d'une erreur majeure d'appréciation du dirigeant en matière de sécurité informatique, tel le refus d'accorder un budget pour réaliser des investissements jugés indispensables par l'homme de l'art, sa responsabilité pourrait être mise en cause par ses actionnaires ou ses salariés pour faute de gestion.

S'agissant du vol d'information, nous avons le cas d'une société, dans le domaine de la recherche médicale, qui s'est fait voler en une nuit par une université américaine des résultats fondamentaux qui résidaient sur ses serveurs, sans sécurité particulière. Là, la responsabilité du dirigeant aurait pu être mise en cause pour négligence.