Le domaine juridique est souvent le moins bien maîtrisé par les DSI. Pourtant, les risques juridiques sont nombreux et peuvent avoir des conséquences graves. «Nul n’est censé ignorer la loi », mais, dans le domaine informatique, il faut bien reconnaître qu’il est parfois difficile de s’y retrouver.
Périodiquement, une revue des aspects juridiques et de la conformité réglementaire de la DSI, par un expert ou un avocat spécialisé, peut se révéler fort utile. Plusieurs domaines doivent être audités de manière régulière, en particulier :
• Les relations avec les fournisseurs : rédaction et processus de suivi des contrats, gestion des licences logicielles, gestion de la sous-traitance, gestion et suivi des litiges…
• Les activités sur Internet : gestion et suivi des noms de domaines, respect de la législation concernant Internet et l’e-commerce…
• Les procédures de gestion des données : gestion des données personnelles des clients et des salariés, durée de conservation-historisation et effacement des données…
• le respect de la législation du travail et les chartes informatiques.
• Les procédures de prévention des risques juridiques liés aux projets.
Contrats informatiques : vigilance sur la responsabilité et la propriété des livrables
En ce qui concerne la rédaction des contrats informatiques, il est fortement recommandé de se faire assister par un avocat spécialisé. Celui-ci vérifiera l’équilibre de la trentaine de chapîtres qui constituent classiquement un contrat. Pour le DSI, il est important d’avoir formalisé ses propres contrats types pour chaque catégorie de contrat (licences, maintenance, prestations, logiciels en mode SaaS…).
Chaque contrat type peut être utilisé en « clausier » type, permettant de soumettre au prestataire une rédaction alternative de certains chapîtres, lorsque le contrat proposé par le fournisseur n’est pas acceptable en l’état. En l’absence de contrat type de référence, il sera facile pour le fournisseur d’imposer son contrat, même si celui-ci est déséquilibré et ne défend pas les intérêts du client. Dans la négociation contractuelle, une attention particulière devra être portée à deux clauses :
- La clause « limite de responsabilité », dans laquelle le fournisseur indique le montant maximum de toute pénalité qu’il pourrait être amené à verser en cas de faute de sa part. Souvent, le prestataire tente de limiter sa responsabilité au montant du contrat, alors qu’il est assuré pour des montants bien supérieurs, ce qui n’est pas acceptable pour le client. De plus, la clause proposée n’est souvent pas réciproque. Dans ce cas, la responsabilité du client peut être illimitée en cas de faute d’un de ses salariés.
- La clause « propriété des livrables », qui limite souvent la propriété du client et les possibilités dont il dispose pour utiliser les logiciels, documents et autres livrables dans ses filiales ou pour des sociétés tiers. Par principe, il est important que le client soit propriétaire du résultat des prestations qu’il a intégralement payées et possède la possibilité de décider librement comment il souhaite utiliser les résultats des études, prestations et logiciels payés au fournisseur.
Les principales composantes de l’univers juridique des DSI
Données personnelles : de multiples réglementations
La protection des données à caractère personnel ne se limite pas aux déclarations CNIL et au respect de quelques règles (ne pas enregistrer d’information concernant la race, la religion, etc). Dès lors que des données sont échangées au sein de filiales d’un groupe international en dehors de l’Union européenne, les règles se compliquent. C’est le cas, par exemple, lorsque les traitements informatiques d’un groupe sont centralisés dans un datacenter unique.
Dans ce cas, des « règles internes d’échanges de données » doivent être formalisées. Ces contrats internationaux, appelés BCR (Binding Corporate Rules), doivent être validés par la CNIL et les autres autorités compétentes concernées. Pour les entreprises internationales, le respect de la législation concernant les données individuelles est fort complexe, car chaque pays a édicté ses propres lois. Certains pays, comme Singapour, possèdent des réglementations extrêmement contraignantes pour les entreprises, qu’il est indispensable de connaître et de respecter.
Législation du travail : chaque détail compte
En France, la législation du travail est particulièrement contraignante, notamment en ce qui concerne la durée du travail, les astreintes, le travail de nuit et de week-end, et la gestion de la sous-traitance. Chaque DSI doit en être parfaitement conscient, en particulier lors d’incidents majeurs d’exploitation et lors de la mise en place de systèmes. En effet, notament dans ces deux cas, une intervention des équipes peut être nécessaire durant plusieurs jours consécutifs, incluant des nuits et un week-end.
Un point d’attention particulier doit être porté à la gestion des prestataires.
Seules les sociétés d’intérim ont le droit, en France, de vendre des prestations en régie, dont le prix est fixé en homme/jour, sous peine de « délit de prêt de main-d’œuvre illicite » ou de « délit de marchandage ».
Pour les prestations achetées, contrats, bons de commande et factures doivent donc bien préciser que le client achète des prestations et non des hommes/jour. De même, en aucun cas, un prestataire externe ne doit pouvoir être assimilé à un salarié de l’entreprise cliente. Pour cela, une quinzaine de précautions élémentaires doivent être prises : le prestataire ne doit pas disposer du même badge qu’un salarié, être inscrit nominativement sur le répertoire téléphonique de l’entreprise, etc.
Conservation des données : jongler avec la diversité des durées
La loi française prévoit pour chaque type de données (contrats, données commerciales, données comptables, données concernant les salariés, les clients, les opérations de douane, la messagerie d’entreprise, etc.) des durées de conservation maximum et/ou minimum. Les contrats, données comptables ou données de paie, par exemple, ont une durée minimum de conservation imposée par la loi. Les données concernant les clients et prospects ont, elles, une durée de conservation maximum autorisée. Certaines données ont à la fois une durée minimum et une durée maximum de conservation imposée. C’est le cas, par exemple, des données de comptabilisation des horaires des salariés, qui doivent être conservées un an minimum et cinq ans maximum.
Dans ce contexte, le DSI a l’obligation de fournir à ses équipes un tableau précis décrivant pour chaque type de données les règles d’archivage qu’il demande : procédure d’archivage, procédure d’effacement, durées maximum et minimum de conservation… Le plus surprenant est qu’un tel tableau n’est publié par aucun organisme officiel. Seuls quelques entreprises et cabinets de conseil en possèdent un à jour.
Chartes informatiques : indispensable pour réguler les usages
La diffusion, au sein des entreprises, de chartes informatiques, manuels de bon usage des outils informatiques ou autre document de ce type, peut se révéler utile dans beaucoup de cas.
Pour pouvoir être juridiquement « opposable » à un salarié indélicat, qui abuserait, par exemple, de l’usage des outils de l’entreprise à des fins personnelles, il est nécessaire que cette charte soit validée par le comité d’entreprise, intégrée au règlement intérieur et portée à la connaissance des salariés. Indépendamment d’un usage juridique, la charte informatique peut être très utile pour rappeler les règles de bonne conduite et les responsabilités de chacun.
La charte peut être l’occasion de rappeler les règles de bon usage de la messagerie : ne pas envoyer de message à un collaborateur entre le vendredi 19 heures et le lundi 8 heures, limiter strictement les destinataires des messages aux personnes concernées et ne pas les utiliser pour « se couvrir » auprès de sa hiérarchie, restreindre l’utilisation de la fonction « répondre à tous »…
Dans le cas du BYOD (Bring Your Own Device), le rappel des responsabilités de chacun n’est pas inutile. Lorsqu’un salarié utilise son propre smartphone ou PC pour recevoir ses messages professionnels, certaines règles doivent être clarifiées, car beaucoup de questions peuvent se poser comme par exemple : à qui appartiennent les données enregistrées sur le terminal du salarié ? Quels outils de sécurité peuvent être imposés par l’entreprise et quel droit de regard l’entreprise a-t-elle sur le matériel du salarié ?
Les quelques exemples ci-dessus n’ont pas pour objectif d’inquiéter, mais pour unique objet de montrer que le domaine du juridique informatique est très étendu. Lors de la revue annuelle des risques informatiques et de la formalisation de la cartographie des risques IT, un chapître doit être consacré aux risques juridiques.
On ne saurait trop recommander aux DSI de procéder régulièrement (tous les trois ans par exemple) à une revue juridique complète, avec l’assistance d’un cabinet ou d’un avocat spécialisé.
Cet article a été écrit par Pascal de La Faye, consultant en stratégie et gouvernance des systèmes d’information. Il a été DSI de groupes internationaux pendant 27 ans et expert auprès des tribunaux. www.delafaye.eu