Organisation
De tous les risques liés à son Système d’Information, la non-conformité, ou le risque légal, est devenu l’un des plus sérieux auquel l’entreprise doit faire face !
Si la menace des cyber-attaques ne suffisait pas, l’entreprise doit désormais se préoccuper très sérieusement d’un autre risque important : celui de la non-conformité à ses obligations légales et réglementaires !
Depuis le milieu des années 2000 le risque juridique et réglementaire s’est accru jusqu’à s’imposer aujourd’hui comme l’un des plus sérieux auquel doit faire face l’entreprise.
Et pour complexifier encore les choses, le paysage cyber-juridique de l’entreprise est complexe et particulièrement vaste, comme le montrent Maître Garance Mathias et Maître Olivier Iteanu en pages 16 à 20 (les différentes obligations réglementaires auxquelles l’entreprise doit se conformer) et (la place grandissante du juridique dans la cybersécurité).
La mise en conformité est donc pour l’entreprise une démarche incontournable et complexe.
La conformité est plurielle
D’autant qu’il n’y a pas “une” conformité, mais “des” conformités, car il convient de distinguer les obligations légales des obligations d’ordre professionnel ou sectoriel.
En ce qui concerne les obligations légales, chaque texte précise les pénalités qui s’appliqueront en cas de non-respect, qu’il s’agisse de sanctions financières ou même pénales pour le dirigeant. Ainsi dans le cas du règlement européen sur la protection des données à caractère personnel la sanction peut aller jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros.
En ce qui concerne les obligations d’ordre professionnel, le cas de la norme PCI-DSS, par exemple, est tout à fait éclairant. Cette norme, totalement privée, a été créée à l’initiative des principaux opérateurs de paiement par carte bancaire de la planète (American Express, JCB International, MasterCard, Visa…). Elle vise à renforcer le niveau de sécurité physique et logique des systèmes d’information des commerçants en ligne en leur demandant de respecter des bonnes pratiques de sécurité.
Bien qu’il n’y ait aucune obligation légale à respecter la norme PCI-DSS, ne pas le faire exposerait l’entreprise, en cas de vol des moyens de paiement de ses clients, à ne plus pouvoir accepter de paiement par carte bancaire sur son site. Ce qui, pour un commerçant en ligne, peut signer la fin de son activité.
Dans les méandres des règlements
Pour les entreprises la difficulté est double : il faut déjà s’orienter dans les méandres règlementaires, parmi les textes applicables aux salariés, ceux applicables aux données de l’entreprise, à ses clients ou encore à ses sous-traitants. C’est là bien entendu le travail du responsable juridique de l’entreprise, en collaboration avec la DSI et la SSI et souvent assisté d’un cabinet d’avocats experts dans le domaine des technologies.
Mais pour les entreprises internationales, ce n’est pas terminé : il leur faut ensuite être en mesure de prouver la conformité à travers la planète, dans chaque pays où celle-ci est présente. En tenant compte, bien entendu, d’un certain nombre de réglementations incompatibles entre elles ! La solution passe alors par l’alignement sur le texte le plus contraignant, au prix d’une veille juridique (et d’une vigilance !) constante, et d’arbitrages permanents.
Attention aux contrats
Autre sujet juridique devenu incontournable : les contrats d’externalisation IT. Il n’est désormais plus rare de voir au sein des entreprise des binômes RSSI et responsable juridique travailler de concert, tant les propositions d’externalisation informatique comportent désormais autant de sujets informatiques que juridiques (réversibilité, propriété des données, mesures de protection contractuelles, droit à l’audit, chaîne des responsabilités…)
Quel projet ?
Le projet de conformité juridique et réglementaire doit avoir pour objectif prioritaire d’identifier les points essentiels sur lesquels pèse un risque juridique lié à une mauvaise pratique ou une absence de contrôle au sein de l’entreprise, puis de proposer, en lien avec la DSI et le responsable de la sécurité des systèmes d’information, des mesures de traitement acceptables.
