O. Iteanu, avocat: « La perte de données est encadrée par la loi »

Que dit le droit français sur la perte de données ?

L’article 34 de la loi du 6 août 2004 demande aux entreprises traitant des données de prendre « toutes précautions utiles » pour « empêcher que ces données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès ». Dans la pratique, cela veut dire qu’elles doivent « agir selon l’état de l’art ». Donc, pour le moins employer des pare-feu, des logiciels anti-virus et anti-spam, des gestionnaires de droits d’accès, de les tenir à jour et de procéder à des sauvegardes régulières. Mais dans tous les cas, le responsable juridique des pertes ou altérations de données, c’est le chef d’entreprise. La loi ne vient jamais à son secours.

Toutes les données ont-elles la même valeur ?

Non. Cette loi du 6 août 2004, rectificative de la loi informatique et libertés du 6 janvier 1978, distingue deux catégories : les données à caractère personnel et les autres. Pour les premières, elle édicte un impératif absolu de protection. Tout manquement à cet égard relèvera donc du pénal et peut être puni de peines de prison et d’amendes. Pour les autres, il y a seulement un préjudice, pouvant être qualifié de perte et/ou de manque à gagner. Ce préjudice n’est pas sanctionné au pénal. Il peut seulement faire l’objet d’un dédommagement.

Le chef d’entreprise peut-il se retourner contre son DSI ou ses employés ?

Oui, bien sûr. Il peut les accuser de faute grave et les licencier avec préavis. Il peut aussi les accuser de faute lourde, commise intentionnellement. Donc les licencier sans préavis et leur exiger des dédommagements. Toutes décisions pouvant bien sûr être contestées devant les prudhommes. Mais dans la pratique, les tribunaux condamnent rarement les salariés dans l’exercice de leurs fonctions à dédommager leur employeur à titre personnel.

Comment démontrer la responsabilité ?

Les pertes, altérations et détournements de données peuvent être dus à de multiples facteurs, des attaques, des malfaçons, des défaillances techniques, électriques ou climatiques, que des experts peuvent prouver. La Cour d’appel de Paris en a agréés une cinquantaine ; la Cour de cassation, une dizaine. Pour l’évaluation du préjudice simple, les parties montent chacune leur dossier, avec éventuellement l’aide d’experts. Les juges tranchent ensuite d’après leurs propres estimations. Il y a des centaines de pertes de données chaque année en France. Mais les parties, par souci de discrétion, préfèrent généralement transiger.

Les prestataires de services de télé-sauvegarde sont-ils plus fiables ?

Ici, le risque le plus courant est la perte de données due à des capacités de stockage insuffisantes. Elle peut faire l’objet d’un dédommagement, d’autant que la juridiction a créé pour ces prestataires un devoir de conseil, même si celui-ci n’est pas libellé explicitement dans les contrats. Ce devoir de conseil inclut l’obligation de bien informer le client, de procéder devant lui à des démonstrations sur les produits logiciels standards et de lui fournir des capacités de stockage suffisantes. Les manquements sont généralement transigés. Mais il importe aussi au client de s’assurer préalablement de la pérennité de son prestataire et de prendre une assurance couvrant les conséquences financières des pertes de données.