Être responsable de la sécurité de ses données
L’entreprise peut-elle être tenue responsable en cas de « mauvaise » sécurisation de ses données ?
Maître MATHIAS : En France, le cadre juridique est bien présent : lorsque nous gérons un système d’information, nous sommes responsables du traitement des informations et par conséquent responsables de la sécurité des données. C’est une obligation extrêmement lourde. Si on ne la respecte pas, on court le risque de voir sa responsabilité pénale engagée. En d’autres termes, le chef d’entreprise et son RSSI (Responsable de la Sécurité des Systèmes d’information), s’il existe, peuvent-être poursuivis. C’est l’Obligation de sécurité des données à caractère personnelle.
Que conseillez-vous pour les entreprises ?
Maître MATHIAS : La petite entreprise doit se mettre en conformité, elle n’a pas le choix, c’est réglementaire. Et pour cela, elle doit être accompagnée. Cet accompagnement doit être personnalisé en fonction de l’entreprise, de son secteur d’activité, de sa taille… On ne peut pas faire n’importe quoi !
Quelques principes de base sont à mettre en œuvre : Pour que l’entreprise puisse contrôler l’activité « informatique » de ses salariés, il faut mettre en place une charte informatique. L’objectif est de protéger l’entreprise et de pouvoir sanctionner les personnes. Elle explique les règles du jeu par rapport au système d’information. Ce document ne doit pas être pris à la légère et les entreprises doivent se faire accompagner pour sa rédaction (il ne faut pas télécharger un modèle existant pour le transformer, chaque cas est différent, c’est très important !).
Il est également vivement recommandé de faire réaliser un audit de son système. En détectant d’éventuelles failles, nous pouvons déterminer une cartographie des risques.
Toutes les entreprises sont-elles concernées par la mise en place d’une charte informatique ?