FRAUDE INFORMATIQUE Patrons, vous pouvez aussi être responsables! logo_print ← Revenir à la version écran logo_send

Cyril Pierre-Beausse (Allen & Overy): «Au Luxembourg,<br/>il y a un chiffre noir gigantesque en matière de fraude informatique».<br/>(Photo: Julien Becker) Cyril Pierre-Beausse (Allen & Overy): «Au Luxembourg,
il y a un chiffre noir gigantesque en matière de fraude informatique».
(Photo: Julien Becker)

Par Jean-Michel Gaudron, publié le 16.09.2009

Les dirigeants d’entreprise sont pénalement responsables en cas de défaillance dans la protection des données à caractère personnel au sein de leur société. Le Luxembourg est même l’un des pays les plus sévères en la matière. Ce sera l’objet de la prochaine table ronde de paperJam Business Club, le 29 septembre.

Combien de dirigeants d’entreprises savent-ils qu’ils sont pénalement responsables en cas de manquement en matière de protection des données à caractère personnel détenues au sein de leur société? A l’article 25 de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel (la même qui a créé la CNPD, Commission Nationale pour la Protection des Données), il est clairement indiqué que «quiconque effectue un traitement en violation des règles relatives à la confidentialité ou à la sécurité [sous-entendu des données à caractère personnel] (…) est puni d’un emprisonnement de huit jours à six mois et d’une amende de 251 à 125.000 euros, ou d’une de ces peines seulement».

Le Luxembourg, dans ce domaine, est réellement à la pointe, car rares sont les pays qui disposent d’une législation aussi stricte, même si l’Allemagne a également introduit, cet été, des sanctions assorties de l’obligation, pour les entreprises, de rendre public les cas de fraude dont elles seront victimes.

«Peut-être faudrait-il y réfléchir chez nous aussi», s’interroge Cyril Pierre-Beausse, avocat chez Allen&Overy, spécialisé dans les technologies de l’information, la protection des données et le commerce électronique, qui ne peut que constater la très grande frilosité des entreprises soucieuses de leur image de marque, évidemment incompatible avec la révélation de telles affaires. «Ici, il y a un chiffre noir gigantesque en matière de fraude informatique. Nous sommes régulièrement consultés pour des cas de hacking, y compris par de grandes entreprises. Mais au final, il n’y a que peu de plaintes de déposées, les sociétés n’ayant aucune envie de faire de la publicité autour de ça.»

En attendant, la loi en vigueur et notamment les restrictions en matière de surveillance ont de quoi frustrer les juristes, lesquels estiment le texte très réducteur et ne permettant pas aux entreprises de pouvoir pousser la surveillance aussi loin qu’elles le voudraient et parfois le devraient, même en cas de soupçon de fraude.

La loi de 2002 et le Code du travail disposent en effet que la surveillance informatique des employés ne peut être effectuée que «pour les besoins de protection des biens de l’entreprise». C’est justement cette définition de la notion de «biens de l’entreprise» est sujette à discussion.

C’est à la CNPD que revient la responsabilité de déterminer qu’est-ce qui entre, ou pas, dans le champ d’application de cet article de la loi. «Pour nous, il est toujours très délicat de faire cet exercice et de prendre position, sans trancher avec le contexte volontairement favorable à l’activité économique luxembourgeoise ni sans que l’on nous fasse le reproche d’avoir été trop laxiste», reconnaît Gérard Lommel, le président de la CNPD. Savoureux paradoxe d’une loi qui, d’un côté, impose de tout mettre en œuvre pour assurer une bonne protection de ses données et, de l’autre, empêche de procéder aux surveillances qui pourraient permettre d’y parvenir…

Conflit de lois

«L’idée n’est pas du tout d’arriver à un système de type Big Brother, qui ne serait de toute façon pas gérable ni même rentable économiquement parlant, prévient Cyril Pierre-Beause. En tant que citoyen, il faut évidemment se réjouir d’un bon niveau de protection de la vie privée. Mais il y a sans doute matière à réflexion dans les cas, malheureusement fréquents en pratique, où l’employé a manifestement un comportement frauduleux, mais où la loi peut aboutir à lui accorder une certaine immunité contre les investigations de son employeur. La CNPD a une attitude qui est tout à fait légitime dans le cadre de ses missions et du cadre législatif existant, mais ce cadre lui impose justement parfois des décisions difficiles à expliquer à de grands clients nationaux ou étrangers.».

Un autre problème, purement juridique, vient se greffer sur cette situation. A l’origine de la loi de 2002, il y avait deux articles distincts régissant la surveillance des tiers (par exemple, des clients ou visiteurs d'une entreprise) et celle des employés. Puis, lors de l'élaboration du Code du Travail, les dispositions relatives à la surveillance des employés ont été purement et simplement «transférées» dans le Code du Travail (article 261-1).

Or, le champ d’application de ces deux lois est différent, si bien qu’une société peut tout à fait, et dans le même temps, entrer dans le champ d’application d’une loi mais pas de l’autre selon l’endroit où se trouve son établissement et celui où se trouvent ses salariés. Une situation ubuesque sur laquelle le gouvernement a promis de se pencher, en modifiant les dispositions du Code du travail sur la base des travaux déjà publiés par la CNPD.

En attendant, cette thématique de la responsabilité pénale des dirigeants d’entreprise sera au centre des débats de la table ronde organisée par le paperJam Business Club, ce 29 septembre, de 17h00 à 19h00.

Informations et inscriptions sur www.club.paperjam.lu

Parcourir...

Copyright © Mike Koedinger Editions | Disclaimer | Publicité: tempo! | Site web: Nvision