Responsabilité en cas de perte ou corruption des données immatérielles

Rédaction
04/02/2023
Modifié le 13/09/2023 à 11:55

Le Larousse définit la donnée comme “la représentation conventionnelle d’une information permettant d’en faire le traitement informatique”. Définition large qui ne met pas en évidence que la “donnée” peut désigner des informations très distinctes...

Article paru dans le n°104 de Béton[s] le Magazine.

Les entreprises ont l’obligation de protéger leur patrimoine informationnel. [©ACPresse]
Les entreprises ont l’obligation de protéger leur patrimoine informationnel. [©ACPresse]

Il a fallu attendre le Data Governance Act pour que l’Union européenne, qui poursuit l’objectif de développer un marché responsable de la donnée, en propose une définition juridique. Cette dernière permet d’appréhender un nombre important de typologies de données : “la donnée constitue toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, en particulier sous la forme d’enregistrements sonores, visuels ou audiovisuels”.

Même si le RGPD1 est sur toutes les lèvres, une donnée n’est donc pas forcément personnelle. Celle-ci peut avoir plusieurs natures et obéir à plusieurs régimes juridiques. Personnelle ou non, une donnée peut constituer un actif économique majeur, dont la perte, la corruption ou la simple indisponibilité peut se révéler catastrophique pour la société, dont l’activité dépend du traitement de la donnée. L’incendie en mars 2021 d’un datacenter de la société OVH en est le parfait exemple. De très nombreux sites Internet avaient été touchés par cette catastrophe. Et plusieurs entreprises avaient déclaré avoir subi des pertes, parfois, irréversibles de données. Ce qui a impacté de façon durable leur activité…

Les traitements de données impliquent obligatoirement l’existence de risques et de responsabilités, qui peuvent être limités par des mesures de préventions idoines.

Entre risques et responsabilités

Ainsi, les entreprises ont l’obligation de protéger leur patrimoine informationnel. La perte, l’altération ou la corruption d’une donnée constitue à la fois un risque opérationnel, réputationnel et juridique. Ce dernier est sans doute le plus difficile à appréhender, car protéiforme. Il est la conséquence directe des multiples obligations, dont les entreprises sont les débitrices et qui peuvent être d’origine légale, règlementaire et/ou contractuelle.

Lire aussi : Juridique : La clause de non-concurrence des salariés

En cas de perte ou d’altération d’une donnée, les responsabilités qui seront mises en œuvre dépendront de la nature de cette donnée et de la nature de l’atteinte à la donnée. La multiplication des obligations légales et règlementaires rend difficile leur énumération exhaustive.

Ainsi, par exemple, le RGPD prévoit que le responsable d’un traitement qui n’aurait pas pris les mesures de sécurité nécessaires s’expose à une amende administrative pouvant aller jusqu’à 2 % du chiffre d’affaires, dans la limite de 1 M€… Le code de la propriété intellectuel sanctionne, lui, la divulgation d’un secret de fabrique par une amende de 30 000 € et 2 ans d’emprisonnement.

Le risque juridique est aussi contractuel. Un professionnel pourra voir sa responsabilité mise en cause si, en ne respectant pas une obligation contractuelle, il a provoqué un préjudice. Et les dommages et intérêts résultant de l’altération et/ou destruction de données ne sont pas négligeables.

Les mesures de prévention

Afin de se prémunir contre les risques inhérents aux traitements des données (stockage, accès, maintenance …), l’entreprise devra mettre en œuvre deux types de mesures de prévention.

• En interne, elle devra cartographier les données et les classer selon leur nature, leur degré de sensibilité. C’est donc sans surprise que l’Annsi2 conseille aux entreprises de réaliser une cartographie, un inventaire de leurs données et des traitements qu’elles réalisent. Cette classification doit s’accompagner de la mise en place d’outils techniques adéquats pour assurer la protection des données (chiffrement, duplication, externalisation…) et de l’instauration de process de gouvernance et de gestion adaptés. Telle la création d’un plan de gestion de crise (en particulier pour garantir une continuité d’activité).

• En externe, l’entreprise devra veiller à la conclusion de clauses de confidentialité, ainsi qu’à la répartition des obligations dans les contrats et aux clauses limitatives de responsabilités. Les rédactions trop générales et imprécises seront à proscrire.

Le meilleur remède reste la prévention. Cette dernière inclut le fait de vérifier que la police d’assurance couvre bien les risques liés à la perte ou à l’altération des données considérées comme sensibles par l’entreprise.

Olivier Javel
Avocat à la Cour
Cabinet 1792 Avocats

1Règlement général sur la protection des données.
2Agence nationale de la sécurité des systèmes d’information.

Article paru dans le n°104 de Béton[s] le Magazine.

Suivez-nous sur tous nos réseaux sociaux !