Editions ENI Livres | Vidéos | e-Formations
Cartographier les obligations et responsabilités
Introduction
L’Union européenne et la France ont élaboré un cadre juridique étendu et diversifié en matière de cybersécurité. Ce cadre vise à protéger les infrastructures dans un contexte géopolitique et une économie de plus en plus complexe.
Ces différentes législations imposent diverses obligations aux personnes morales. Les réglementations imposent une obligation générale de sécurité nécessaire à prendre en compte par les directions dans le cadre de la gouvernance de chaque organisation.
Législations nationales et européennes applicables
Dans ce contexte, l’Union européenne a élaboré des stratégies intégrant un programme de réformes actuellement en cours de déploiement. Ces réformes incluent l’acte sur la gouvernance des données, la législation sur les services numériques, la législation sur les marchés numériques et la stratégie de cybersécurité.
La France, quant à elle, s’est engagée pour la défense et la sécurité dans le cyberespace. Sa stratégie repose sur quatre objectifs clés :
Le consensus sur la nécessité de renforcer la cyberdéfense en France et en Europe se reflète dans une série de législations détaillées ci-après :
1. Législations nationales
a. Loi Informatique et Libertés
Adoptée le 6 janvier 1978, la loi dite « Informatique et Libertés » (LIL) (1) pose le cadre français de la protection des données à caractère personnel. Avec ce texte, la France est devenue précurseur en matière de protection des données personnelles.
À l’origine, la LIL se plaçait dans une logique de protection des données personnelles des administrés vis-à-vis des traitements de l’administration, sous le contrôle de la Commission nationale de l’informatique et des libertés (CNIL).
La loi a été modifiée à plusieurs reprises, et notamment le 20 juin 2018, afin d’intégrer le « paquet européen de protection des données », c’est-à-dire le règlement général sur la protection des données (RGPD) et la directive relative aux traitements des données personnelles en matière pénale (2).
La loi Informatique et Libertés pose plusieurs principes directement en lien avec la cybersécurité.
Elle rappelle que « la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite » (3). Ainsi, les données personnelles doivent être collectées et traitées de « manière...
Responsabilités de l’organisme / responsabilité pénale des dirigeants / délégations de pouvoirs
Les différentes législations susvisées ont pour effet de renforcer progressivement les obligations incombant aux organismes du secteur privé comme public. À ce titre, les personnes morales comme leurs dirigeants sont susceptibles d’engager leur responsabilité civile et/ou pénale s’ils ne se conforment pas à ces dispositions.
Il convient dès lors de distinguer les hypothèses de responsabilité de la personne morale de la responsabilité incombant aux dirigeants, y compris dans le cas où ces derniers auraient effectué une délégation de pouvoirs.
1. La responsabilité des organismes (personnes morales)
Toutes les personnes morales sont susceptibles d’engager leur responsabilité pénale à l’exclusion de l’État. Par personne morale, on entend de manière non exhaustive les sociétés, les associations, les syndicats ou encore les comités d’entreprise.
Si de manière générale une personne morale peut voir sa responsabilité pénale engagée si certaines conditions sont réunies, de nouveaux risques apparaissent avec le déploiement de l’Internet et par conséquent de l’informatique. Le développement des législations relatives à la sécurité informatique fait courir de nouvelles menaces juridiques à l’encontre des personnes morales.
a. La responsabilité de droit commun d’une personne morale
Le champ d’application de la responsabilité
Une personne morale peut autant engager sa responsabilité pénale sous certaines conditions que sa responsabilité physique pour les dommages qu’elle a causés par l’intermédiaire de ses représentants.
En matière de responsabilité pénale, la possibilité s’est élargie depuis le 31 décembre 2005 (38). En effet, auparavant une personne morale ne pouvait être pénalement responsable uniquement dans les cas prévus par la loi ou le règlement.
Désormais, le législateur est venu inverser la logique. Ainsi, les personnes...
Références
(1) Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
(2) Disponible sur : https://www.vie-publique.fr/dossier/19598-rgpd-protection-des-donnees-personnelles-ce-qui-change-en-mai-2018
(3) Article 25 LIL
(4) Article 4 LIL
(5) Article 29 LIL
(6) Loi n° 2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public
(7) Commentaire sous l’article L.111-7-3 du Code de commerce
(8) Projet d’arrêté fixant les critères pour l’application de la loi n° 2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public
(9) Loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur
(10) AEF, « Le récapitulatif de la Lopmi, article par article »
(11) France Num., « Comment porter plainte en cas de cyberattaque de votre entreprise ? »
(12) Loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique
(13) ANSSI, La méthode EBIOS Risk Manager
(14) ANSSI, Guide des bonnes pratiques de l’informatique
(15) ANSSI, Organiser un exercice de gestion de crise cyber
(16) L’ANSSI publie un corpus de guides dédiés...