Faut-il qu'un DSI passe par la case prison pour que la corporation prenne conscience des risques juridiques qui pèsent sur elle ? On est en droit de se poser la question à la lecture de l'étude menée et publiée par le portail de veille réglementaire Juritic sur le DSI et le droit des TIC. Le foisonnement des textes qui se sont succédé - la loi sur les nouvelles régulations économiques (NRE) en 2001, la loi sur la sécurité financière (LSF) en 2003, la loi sur l'économie numérique (LEN), et la réforme de la loi Informatique & Libertés en 2004 - semble avoir semé la confusion.

Sur les 132 DSI interrogés, 91 % déclarent connaître peu ou moyennement les risques juridiques liés au système d'information. Et 26 % cernent mal l'étendue de leur propre responsabilité juridique. Au-delà de la sécurité des systèmes,celle-ci peut notamment être engagée en cas d'atteinte au secret de la correspondance privée ou de non-respect de la propriété intellectuelle.

Il faut dire que les DSI sont peu aidés. Seuls 18 % d'entre eux - la plupart évoluant au sein de grands comptes - peuvent s'appuyer sur des juristes internes, spécialisés dans le droit des TIC.

Faute de mieux, les DSI assurent leur propre veille juridique, plaçant la presse et les sites informatiques comme principale source d'information (43 %). Une information jalousement gardée. Parmi les DSI sondés, 29 % n'ont entrepris aucune action de sensibilisation auprès de leurs collaborateurs. Les autres, quant à eux, s'en tiennent à la simple diffusion d'une charte d'usage des TIC (42 %).

« Une charte donne bonne conscience, alors qu'il s'agit d'un outil de régulation, et non de sensibilisation, rectifie Mohamed Msefer, juriste et coordinateur du portail Juritic. De surcroît, ces chartes informatiques sont le plus souvent figées dans le temps, alors que les techniques évoluent. » La diffusion d'informations juridiques sur intranet (15 %) et les séminaires internes (5 %) arrivent loin derrière.

Si les risques juridiques ne constituent pas une préoccupation pour les DSI, les enjeux sont, eux, bien réels. Les responsables interrogés déclarent, à 42 %, avoir connu un litige au sein de leur structure. Des affaires qui portaient principalement sur une utilisation abusive d'internet ou de la messagerie (32 %), un défaut de sécurisation des données personnelles (25 %), et des lacunes dans la rédaction ou la négociation des contrats passés avec les prestataires (25 %). En quatrième position : l'utilisation illégale de licences (16 %).

La plupart des litiges se règlent en interne - entraînant au pire le licenciement pour faute du DSI -, sans conduire à un contentieux. Une chance pour les directeurs informatiques quand on se rappelle ce que prévoit la loi. Un défaut de sécurisation des données nominatives est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende (article 226-17 du code pénal). Et la contrefaçon, elle, de trois ans d'emprisonnement et 300 000 euros d'amende (article L343-1 du code de la propriété intellectuelle). Des sanctions qui méritent l'attention.