Intégrer une parole juridique pour ne jamais exclure a priori la riposte juridique
En premier lieu, il nous paraît crucial qu’autour de la table, les différentes composantes de l’entreprise soient représentées.
Sous la direction du représentant légal ou de l’un de ses délégataires les plus proches, on trouvera la DSI, éventuellement le RSSI si la fonction existe, les affaires financières aussi, un représentant du service communication, sans oublier un représentant de la direction juridique.
Bien évidemment, pour les entreprises n’ayant pas internalisé la fonction, le recours à un conseil extérieur, un Avocat ayant une pratique en la matière, s’impose.
En effet, dans l’éventail des mesures possibles suite à une attaque informatique, la riposte juridique est une option. Nous verrons qu’il convient de manier la matière avec clairvoyance. Or, justement, la présence d’un praticien, en connaissance non seulement de la matière juridique mais aussi de la façon dont elle est pratiquée, permettra à l’organe collégial d’intégrer le droit dans sa réflexion.
Il faut dire qu’il est vrai que la riposte juridique n’a pas la cote en entreprise, lorsqu’il est question de cyberattaques. Jugée longue, couteuse, aléatoire et peut être surtout publique, on la boude souvent préférant jouer l’opacité.
Si ces critiques sont en partie fondées, il y a des cas où l’action juridique est une option nécessaire.
Sans compter que la loi elle-même entend remettre en cause la culture du silence.
En effet, et en premier lieu, la cyberattaque doit dans certains cas être rendue publique de par la loi, ou tout du moins, notifiée à la commission Nationale de l’Informatique et des Libertés (CNIL) voire à ce que la Loi nomme « les personnes concernées ».
C’est la notification de la faille de sécurité. L’article 226-17-1 du Code pénal punit de 5 ans de prison et/ou 300K€ d’amende, l’organisation qui ne notifie pas l’existence d’une telle faille alors qu’il en avait l’obligation.
Cette obligation de notification s’est trouvée transposée en droit français dans le cadre du second Paquet Télécom de 2008 par l’ordonnance du 24 Août 2011.
Alors qu’elle existe aux Etats-Unis depuis 2002, c’est la directive 2009/136/EC du 25 Novembre 2009 qui a introduit l’obligation de notification de faille en cas de « violation de données à caractère personnel …. dans le secteur des communications électroniques » .
Aussi, lorsque par exemple la cyberattaque a généré la captation par un tiers, de données à caractère personnel sous la garde de l’entreprise, responsable de traitement, il n’y a plus le choix, il y a obligation de notification.
La question s’est posée de savoir à qui incombait cette obligation de notification, certains considérant qu’elle s’imposait aux seuls opérateurs de communications électroniques (ex opérateur de télécoms).
Mais cette interprétation s’heurte à la lettre même de l’ordonnance qui ne cite pas le terme d’opérateur, alors que celui-ci est défini au Code des postes et des communications électroniques par ailleurs.
La Cnil elle-même connait des hésitations qui, dans son communiqué de presse au sujet de la promulgation de cet article de Loi inséré à la Loi informatique et libertés, précisait que l’obligation s’imposait « essentiellement »aux opérateurs, ce qui ne veut pas dire grand-chose.
Non, à notre sens, et c’est le sens de l’histoire, cette obligation s’impose à tout fournisseur de services de communications électroniques, intermédiaires techniques divers (opérateurs, datacenter, hébergeurs, bureau d’enregistrement de noms de domaine etc. …) et tous les éditeurs de services de communications électroniques.
Dans d’autres cas, la Loi n’impose pas la riposte juridique, mais l’entreprise n’aura pas d’autres choix que de l’engager.
C’est par exemple le cas lorsque la cyberattaque a pris une tournure publique. Dans cette hypothèse, la riposte juridique aura un tour bien plus défensif qu’offensif.
Il s’agira pour l’entreprise attaquée de se placer d’office dans le camp des victimes, stratégie ayant notamment pour objectif de parer à titre préventif une action juridique à son encontre.
Tel est le cas par exemple, en cas d’attaque rebond, la victime en bout de ligne, pouvant être tentée de se retourner vers celui au travers duquel l’attaque a été menée.
Il faut aussi parfois, anticipée l’avenir.
Tel salarié destinataire d’un spam renvoyant par lien sur un contenu pédophile, signale à sa direction du courriel indésirable.
La direction n’aura d’autres choix que de porter plainte auprès du Parquet territorialement compétent car le courriel incriminé, n’est peut-être pas dû au hasard, l’adresse ip de l’entreprise est peut être stockée sur un serveur associé à un service pédophile et, demain, une autorité police pourrait remonter jusqu’à l’entreprise.
Dans ce cas, ayant été officiellement averti, l’entreprise aura tout intérêt à porter plainte au pénal. Une telle plainte se prépare, se documente, s’écrit avant d’être rapportée soit par écrit au Parquet, soit à l’oral devant un Officier de police judiciaire, éventuellement appartenant à un service spécialisé.
Renforcer la parole de l’entreprise
Mais la présence juridique a un tout autre intérêt, celle de renforcer la parole de l’entreprise.
En effet, cette parole doit être renforcée toujours à titre défensif.
De victime aujourd’hui, elle peut être demain en accusation pour n’avoir pas pris les précautions utiles, les mesures conformes aux règles de l’art pour protéger les données à caractère personnel de ses salariés, de ses prospects, de ses clients ou des contenus non nominatifs qui ne lui appartenaient pas tels que des plans, des documents confidentiels.
Or, la crise « technique » consécutive à l’attaque passée, cette crise peut resurgir demain, dans plusieurs semaines ou mois, sous une autre forme, plus juridique.
Dans cette seconde phase qui peut surgir à tout moment, consécutive à une enquête policière, une plainte instruite par un juge ou simplement une instance judiciaire, l’entreprise va devoir s’expliquer, démontrer, éventuellement documenter.
A défaut d’explications satisfaisantes ou prouvées, elle peut passer du stade de victime à celui de responsable.
Car tel est en effet, le sens de la jurisprudence actuelle. On peut être victime et pour autant responsable.
Le dossier doit donc à titre préventif, se préparer de suite alors que la cyberattaque est encore chaude.
Le recours à un Huissier de justice qui va dresser un procès-verbal de constat pour fixer une situation, est fréquent. Ce constat se prépare avec l’Huissier.
En premier lieu, cette préparation est rendue nécessaire par le très important contentieux existant sur la validité des procès-verbaux de constat dressés par Huissier.
De nombreux constats sont attaqués en justice, et il est demandé au Tribunal soit de les annuler, soit de les rejeter .
Il faudra donc s’attacher à se conformer à la dernière jurisprudence.
En second lieu, le procès-verbal doit être pertinent en ce sens que seul le client a la vision juridique utile à l’établissement d’un constat pertinent, l’Huissier n’ayant pas le plus souvent la vue d’ensemble du dossier.
Enfin, le procès-verbal dressé fera figurer en préambule une déclaration faite à l’Huissier qui plante le contexte du constat.
Cette déclaration peut aussi avoir son importance en cas de litige ultérieur. Là encore, la vision juridique peut compter.
Par ailleurs, le recours à des experts, le plus souvent agréés par une Cour d’appel ou la Cour de cassation, a également son intérêt.
L’entreprise a un vécu, son Conseil, l’Avocat, le reproduit certes, mais le faire endosser par un tiers, par ailleurs reconnu expert, est un plus dont il faut parfois ne pas se priver.
Dans le cas de l’obligation de notification d’une faille de sécurité, nous avons vu que celle-ci s’applique dès lors qu’il y a « violation de données à caractère personnel ».
L’entreprise peut avoir intérêt à faire constater qu’à date de l’évènement litigieux, elle ne perçoit pas une telle violation ou n’est pas en mesure de l’appréhender.
Par exemple, l’entreprise intervient comme sous-traitant d’un donneur d’ordre qui, lui, serait en position de savoir s’il y a eu ou pas violation de données à caractère personnel.
Ce débat, un tant soit peu technique, échappera au commun des juges demain saisi. Celui-ci ne sera pas étonné que l’entreprise voire son Avocat plaide son cas, et il n’en tirera peut être pas toutes les conséquences juridiques s’il n’est pas convaincu.
En revanche, lui produire, à date de l’évènement en litige ou dans les dates de celui-ci, une note technique d’un expert reconnu qui endosse de manière documentée et argumentée, la défense de l’entreprise, est une pièce qu’il lui sera difficile de franchir.
Or, une telle note technique, là encore, se prépare avec un juriste averti.
Elle est établie en vue de prévenir et de parer une situation hautement juridique et doit donc par anticipation refléter la crise juridique envisagée.
Là encore, en l’absence d’une compétence juridique au sein de la cellule de crise, l’entreprise a toutes les chances de passer à côté d’une telle mesure salvatrice.
En conclusion, oui, notre monde est de plus en plus connecté, de plus en plus délocalisé ou sans localisation affirmée, de plus en plus dématérialisé, le cloud étant une forme particulière d’organisation informatique qui présente plus ou moins, toutes ces caractéristiques.
Paradoxalement, cette absence de structuration, appelle plus le droit et les règles juridiques. Ouvrons donc les portes des cellules de crise aux juristes.