12/01/2009

Avant, les entreprises protégeaient principalement les murs et les hommes. Mais, ces dernières années les sources de vulnérabilité ont considérablement évolué.
Désormais, elles doivent affronter l'intangible et se prémunir contre les risques liés à l'informatique. Avec l'utilisation croissante de l'outil informatique, la protection des informations de l'entreprise est devenue une des préoccupations majeures des dirigeants. Cependant, bien peu d'entre eux sont informés de la réglementation informatique qui, si elle n'est pas respectée, peut engager la responsabilité civile ou pénale du dirigeant.

LA SÉCURITÉ DES DONNÉES

- Une nécessité pour l'entreprise

C'est un pont essentiel dans une entreprise informatisée ; la conservation des données est, en effet une des conditions de sa pérennité ; sans cela plus de fichiers clients, plus de facturation, comptabilité évaporée, c'est la désorganisation totale.
La perte ou l'altération des données sont essentiellement dues à deux facteurs :
er la cause accidentelle qui peut se rencontrer sous la forme d'une simple coupure de courant en plein travail ou d'une mauvaise manipulation ;
er la malveillance qui peut se matérialiser sous la forme d'un virus informatique, fléau des temps modernes qui s'est considérablement accru avec le développement d'Internet.
Ces risques sont bien réels et difficiles à assurer, et pour cause !
Comment chiffrer la perte définitive des informations contenues dans le disque d'un ordinateur qui nécessitera peut-être des centaines d'heures de travail pour le reconstituer, quand cela est possible ?
Comment chiffrer la perte d'exploitation relative aux dysfonctionnements informatiques dus à des virus ?

- Les moyens de protection

On ne saurait trop conseiller de porter une attention toute particulière à la sauvegarde et la conservation des informations de l'entreprise. Enregistrer régulièrement les données sur un autre support que le disque dur (disquette, bande, CD-Rom, clé USB…) et les conserver dans un lieu différent apparaît comme la solution la plus sage. En outre, il est plus prudent de disposer de deux jeux de sauvegarde que l'on fait alterner.
L'utilisation de certains équipements tels qu'un onduleur permet en cas de coupure d'électricité de se ménager une certaine autonomie pour sortir des fichiers sans perte d'information.
Une formation et une sensibilisation des personnes utilisant l'outil informatique est également souhaitable. Beaucoup d'incidents sont dus à des supports informatiques apportés de l'extérieur.
Et si malgré les moyens préventifs mis en place, un problème survient, le recours rapide à un conseil informatique s'avère alors nécessaire.

LE PIRATAGE DES LOGICIELS

- La responsabilité

Le bénéficiaire d'un logiciel n'achète que son droit d'utilisation, en aucun cas il n'en devient propriétaire ; il ne peut donc pas transférer ses droits à une autre personne. Par conséquent, toute détention et utilisation de logiciel sans licence constituent un délit.
Dans un tel cas, l'éditeur du logiciel contrefait peut engager la responsabilité de l'entreprise devant le tribunal de grande instance ou la responsabilité pénale du dirigeant devant le tribunal correctionnel.
Peu de dirigeants ont conscience du piratage commis dans leur entreprise. Il s'agit plus souvent de négligence que de fraude.
C'est notamment le cas lorsque le dirigeant a peu de connaissance en informatique ; il en confie la gestion à un salarié qui en fait son jouet car il sait qu'il ne sera pas contrôlé par son employeur.
Un autre cas consiste pour l'entreprise à acheter un matériel d'occasion sur lequel sont déjà installés des logiciels sans que le dirigeant se soucie de savoir si pour les logiciels en question l'entreprise dispose d'une licence.
Pour autant, l'absence d'éléments frauduleux n'exonère en rien la responsabilité du dirigeant.

- Les précautions à prendre

Un dirigeant prudent et avisé fera l'inventaire des logiciels installés sur son parc informatique et s'assurera qu'à chacun des logiciels correspond une licence au nom de l'entreprise et lorsqu'un même logiciel est installé sur plusieurs ordinateurs, il devra s'assurer que sa licence est valable sur plusieurs postes.
La réglementation étant de plus en plus stricte sur ce plan, il est utile de faire le point au moins une fois par an et sensibiliser les utilisateurs sur le fait que l'outil professionnel ne doit pas servir à recevoir des logiciels personnels dont on ignore la provenance. Un salarié qui réalise une copie pirate avec l'outil de l'entreprise commet une faute professionnelle.
Ainsi, le chef d'entreprise imprudent qui aurait sans le savoir des logiciels dépourvus de licence pourrait voir sa responsabilité personnelle engagée.
Un autre cas de mise en responsabilité du dirigeant concerne l'absence de déclaration des fichiers automatisés nominatifs.

LA DÉCLARATION DE FICHIERS

- Le champ d'application

La loi du 6 janvier 1978 relative à l'informatique et aux libertés impose de déclarer les fichiers automatisés et nominatifs de l'entreprise avant leur utilisation. Les opérations visées sont celles relatives à l'exploitation d'informations nominatives par des moyens automatiques ainsi que les opérations de même nature se rapportant à l'exploitation de fichiers ou bases de données ; les informations nominatives étant celles qui permettent l'identification de personnes physiques auxquelles elles s'appliquent.
La procédure est simple et gratuite. L'entreprise déclarante doit remplir un imprimé spécial de déclaration de traitement automatisé (CERFA Ner 99001) et à adresser à la CNIL : Commission nationale de l'informatique et des libertés, 21 rue Saint Guillaume, 75007 Paris.
Cet imprimé peut être demandé auprès de la CNIL ou auprès des Chambres de commerce et d'industrie ou encore des organisations syndicales patronales.

- L'obligation de déclaration

L'obligation de déclaration concerne toute personne physique ou morale procédant à un traitement automatisé d'informations nominatives ; la déclaration devant être établie préalablement à la mise en service des fichiers.
Elle peut donc porter sur des très petites entreprises qui disposent de fichiers informatiques pour la paie et la gestion de leur personnel, la gestion des fichiers fournisseurs et des fichiers clients. Ces fichiers peuvent faire l'objet d'une déclaration simplifiée car ils correspondent à des catégories courantes de traitement pouvant être considérées comme sans risque d'atteinte à la vie privé et aux libertés.
Cette mesure a pour objet de protéger la vie privée des citoyens. Le défaut de déclaration constitue une infraction pénale passible d'une peine d'emprisonnement de 6 mois à 3 ans et d'une amende ou de l'une de ces deux peines.
Il faut souligner que, dans la pratique, les contrôles en la matière sont très peu fréquents. Néanmoins, cette déclaration reste une obligation à laquelle nombre d'entreprises si modestes soient-elles doivent souscrire. Souvent, elles n'en sont pas informées.

Souvent, les dirigeants n'ont pas conscience des risques qu'ils encourent faute d'être correctement informés. Les nouvelles technologies de l'information destinées à rendre l'entreprise performante la rendent également plus vulnérable.
Pour la mise en place d'une bonne gestion informatique dans l'entreprise, le conseil en informatique et l'expert-comptable constitueront les interlocuteurs privilégiés de l'exploitant.

Éric MOYA
Expert-comptable à ARLES