Christiane Féral-Schuhl : En 2021, selon le Club des experts de la sécurité de l’information et du numérique (Cesin), 54 % des entreprises françaises ont fait l’objet d’une cyberattaque réussie (avec répercussions flagrantes). Toutes les analyses décrivent une explosion du nombre d’actions malveillantes ciblant entreprises, institutions, collectivités territoriales. La cybersécurité est devenue un enjeu absolument majeur. Pour autant, les dirigeants se trouvent souvent démunis, voire tétanisés devant ce qu’ils perçoivent comme un registre ultra-technique et régi par une multitude de textes. C’est pourquoi nous avons jugé utile de proposer un mode d’emploi accessible, pratique et transversal des enjeux numériques. En outre, le regard croisé d’une avocate et d’un magistrat apporte un vrai plus, de par la complémentarité de nos expériences et de nos points de vue.

Xavier Leonetti : Dans les entreprises, dans les administrations, le cyberespace est perçu et géré comme un sujet qui échoit de manière presque exclusive aux responsables des systèmes d’information. Cette préemption de fait est d’autant plus dommageable que les enjeux numériques concernent toutes les dimensions de l’entreprise : gestion, RH, intégrité des données, sécurité des employés, relation avec les clients et avec les parties prenantes. En fait, le cyber est aujourd’hui aussi présent et vital pour les entreprises que l’air que l’on respire. C’est pourquoi il faut travailler à ce que ce sujet ne reste pas l’affaire des seuls techniciens. Il est temps de « désexpertiser » la cybersécurité.

C. F.-S. : C’est d’autant plus vrai que 80 % des défaillances de sécurité et des actes malveillants dans les environnements de travail sont le fait de négligences ou d’actes intentionnels d’employés, voire d’un premier cercle de proximité – par exemple de prestataires ayant facilement accès aux systèmes d’information des entreprises. C’est dire à quel point la cybersécurité induit une culture de la prévention partagée, notamment fondée sur la capacité de chacun à respecter des principes essentiels d’hygiène numérique.

C. F.-S. : On peut identifier trois grandes catégories de menaces. La première d’entre elles recouvre les cybermenaces relevant des formes traditionnelles d’infraction : usurpation d’identité, fraude à la carte bancaire, escroquerie, violation du secret des affaires, contrefaçon. Ensuite, il y a les cybermenaces relatives à la diffusion de contenus illicites : cyber-pédopornographie, atteintes au droit à l’image, atteintes à la réputation, propos discriminatoires ou haineux diffusés sur Internet, cyberharcèlement, cyberviolence, terrorisme sur Internet. Enfin, l’espace cyber a généré de nouveaux types d’infraction : piratage et délit d’atteinte au système de traitement automatisé de données (STAD), extorsions numériques (les fameux rançongiciels), envoi massif de messages spam et actions en déni de service, usurpation d’adresse, téléchargement illégal, etc.

C. F.-S. : En France, on est souvent tenté de penser que la solution aux problèmes réside dans un renforcement de la loi. Or, l’arsenal législatif tel qu’il s’est construit au fil du temps suffit globalement à traiter les différentes menaces. Depuis la loi Godfrain de 1988 qui qualifie d’infraction pénale l’entrée (ou tentative d’entrée) sans droit dans un STAD, le Code pénal s’est enrichi de nombreux textes s’appliquant à la diversité des situations.

X. L. : Sans doute. Cela renvoie encore au fait que le sujet reste concentré dans les mains des informaticiens – aux yeux desquels les juristes sont d’ailleurs souvent considérés comme des empêcheurs de tourner en rond. Pourtant, un développeur aura beau créer autant d’applications utiles à l’entreprise, encore faudra-t-il que celles-ci puissent rentrer dans un cadre juridique.

X. L. : Depuis mai 2018, le règlement général sur la protection des données (RGPD) prévoit en effet un arsenal de sanctions qui peuvent être appliquées aux entreprises et administrations, pour lutter contre les défauts de conformité. L’article 58 du règlement européen donne à la Commission nationale de l’informatique et des libertés le pouvoir de mettre en place ces moyens dissuasifs et l’article 83 liste les conditions qui lui permettent d’appliquer une sanction administrative – dont le plafond est actuellement fixé à 3 millions d’euros mais qui pourra être rehaussé à 20 millions d’euros pouvant aller jusqu’à 4 % du chiffre d’affaires mondial.

C. F.-S. : Le chef d’entreprise a une obligation générale de sécurité, qui englobe aujourd’hui la cybersécurité. Sa responsabilité peut être engagée s’il n’a pas mis l’entreprise en conformité avec le règlement, mais aussi s’il n’a pas su apprécier au cas par cas le niveau de sécurité requis, s’il n’a pas mis en œuvre des actions de prévention adaptées, s’il n’est pas en capacité de justifier de rapports réguliers évaluant la criticité de certaines applications. Dès lors que la sécurité de l’entreprise ou de ses parties prenantes (employés, fournisseurs, clients, partenaires) est mise à mal par un virus et qu’il est établi que les systèmes n’étaient pas protégés par des antivirus, ou que ceux-ci n’avaient pas été mis à jour, c’est la responsabilité du chef d’entreprise qui peut être engagée sur le plan pénal.

C. F.-S. : Incontestablement. Les sanctions se traduisent par des amendes parfois très lourdes, qui peuvent à elles seules mettre les entreprises à genoux. Le prix à payer dans ces différents cas répertoriés par le Code pénal en application du RGPD est lourd : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende en matière pénale. Sans oublier, au-delà, les sanctions pécuniaires infligées à l’entreprise, qui, elles, peuvent atteindre des montants encore plus importants.

X. L. : À chaque typologie d’entreprise correspond un seuil différent de dispositions à mettre en place et de règlements à appliquer. Les opérateurs d’importance vitale (OIV), les opérateurs de services essentiels (OSE) sont ainsi soumis à des obligations spécifiques. Bien sûr, ils ont des ressources et des facilités que n’ont pas les PME, a fortiori les TPE, ou encore les petites collectivités territoriales. Et il ne s’agit pas, cela va de soi, de mettre à l’amende des patrons de petites structures qui n’auront de toute façon pas les moyens de mettre en place des DSI ou des directions juridiques. Il faut développer une culture de la cybersécurité et de la cyber-responsabilité qui tienne compte la réalité économique des entreprises.

C. F.-S. : Le développement du télétravail et de la mobilité a fait de l’employé le maillon faible de la cybersécurité, notamment lorsque ses terminaux professionnels se trouvent hors du champ de vision de l’entreprise. Le BYOD (bring you own device), qui consiste à autoriser les salariés à utiliser leurs propres outils et interfaces, a certainement contribué à une dégradation des niveaux de sécurité. Les entreprises n’ont pas nécessairement eu le temps de se doter des antivirus nécessaires et les éditeurs de logiciels n’ont pas forcément joué le jeu dans le déploiement de leurs mises à jour. Après, il faut distinguer la négligence et l’intention malveillante. S’il est avéré qu’il y a une intention malveillante, la responsabilité pénale du salarié peut être engagée. La négligence peut s’apparenter à une faute, auquel cas c’est le droit du travail qui s’appliquera. Mais la notion même de « négligence » rend le dirigeant également comptable du comportement d’un employé étourdi ou non formé sur le sujet. En cas d’infraction pénale non intentionnelle commise par un salarié, on présumera que le dirigeant a été négligent dans son devoir de supervision des salariés.

X. L. : Le travail de sensibilisation mené auprès de l’ensemble des employés doit s’accompagner d’une injonction à respecter certaines règles d’hygiène numérique, qui relèvent finalement d’un « cyber bon sens ». Ouvrir une pièce jointe suspecte par négligence, se faire infecter en surfant sur des sites sans aucun lien avec le travail, oublier son ordinateur allumé à l’extérieur de l’entreprise… Tout cela justifie-t-il qu’on engage la responsabilité ? Tout est question de curseur.

X. L. : Le cyber est un vecteur de massification des faits et donc des données à traiter. À cet égard, dans une logique de proximité de l’administration avec les victimes, les services de l’État, comme le ministère de la Justice, engagent depuis plusieurs années d’importants efforts pour améliorer la gestion des infractions grâce à des outils numériques capables de traiter un très grand volume d’informations. Aujourd’hui, nous avons clairement franchi le milieu du gué en permettant aux particuliers de signaler des escroqueries et de déposer plainte sur des plateformes numériques comme cybermalveillance.gouv.fr ou Thesee, service accessible via FranceConnect. Demain, ces possibilités seront élargies aux personnes morales. Reste ensuite à garantir la capacité d’enquête, car il faut bien, en aval de ces systèmes numériques basés sur l’intelligence artificielle, que des individus prennent le relais. La massification des plaintes appelle en outre une acculturation des policiers, des gendarmes, des magistrats. Le président de la République a lui-même rappelé en 2021 la nécessité de sensibiliser et de former l’ensemble des agents de l’État aux enjeux cyber.

Christiane Féral-Schuhl est avocate aux barreaux de Paris et du Québec, ancienne présidente du Conseil national des barreaux, ancienne bâtonnière du barreau de Paris, et médiatrice. Elle est l’auteure de « Cyberdroit » (Dalloz Praxis, 8^e éd., 2021) et de « La Protection des données personnelles » (Dalloz, 2019). Xavier Leonetti est magistrat, docteur en droit, chercheur associé auprès de l’université de droit d’Aix-Marseille. Il est l’auteur du « Petit RGPD » (Dunod, 2021) et de « Smartsécurité et cyberjustice » (PUF, 2021).