0
Posted 11/11/2015 by ET in Rebondir
 
 

Mentions légales et autres : risques juridiques réels

risques juridiques internet et traitement de données
risques juridiques internet et traitement de données

Le menu d’aujourd’hui n’est pas 100% de moi, si je ne suis pas spécialiste du droit, je le suis encore moins dans le domaine de la sécurité informatique. C’est un peu un post de présentation, car son blog est riche en ressources pour le droit informatique notamment pour les ecommerçants et autre startups. Thiébaut a aussi publié une excellente synthèse à destination des professionnels que je vous invite à consulter si vous vous souciez des risques juridiques informatiques.

Quel rapport avec l’entreprise en difficulté, la gestion d’une entreprise ou sa création ? En fait c’est extrêmement simple. Dès lors que vous avez un site Internet, ecommerce ou non, et que vous êtes une entité française vous êtes soumis à respecter certaines lois. En cas de non respect, vous pouvez mettre vous et votre entreprise en extrême difficulté !

Quelles sont ces lois ?

Les principales sont en France la loi informatique et liberté – avec la CNIL – et la loi Godfrain qui a changé en 2012. Mais ce n’est pas tout puisque les jurisprudences et les réformes du droit européen en matière de droit informatique et de la protection des données impactent directement les lois nationales.

La réforme de la loi Godfrain est intéressante à observer car elle dénote une manque de connaissances de la chose « informatique » et comme le dit le très bon juriste Thiébaut Devergranne :

Bientôt on ne parlera plus d’élaboration mais de coagulation de textes de loi, tant les échafaudages sont aujourd’hui douteux !

Qui plus est l’arsenal mis en place dans cette loi est un privilège pour l’Etat alors même que « l’objectif du texte est d’offrir une protection contre les atteintes à la propriété, droit dont l’Etat jouit au même titre que tout autre citoyen ». On se demande quelle est la finalité, si ce n’est d’empêcher les lanceurs d’alerte ou autres citoyens responsables de voir ce qui se passe dans les entrailles étatiques … Si encore cela avait été la même chose pour tous (entreprises, citoyens…) oui mais que le législateur réserve cela à l’Etat, voilà un bel exemple d’oligarchie à déviance ploutocratique.

Thiébaut donne d’ailleurs des exemples quant à la disproportionnalité des sanctions mises en place par la révision de la loi Godfrain :
 » 7 ans d’emprisonnement pour le Code pénal c’est :

– Organiser la traite d’être humains (art. 225-4-1).
– Tuer quelqu’un involontairement en état d’ivresse manifeste au volant d’un véhicule terrestre à moteur (art. 221-6-1).
– Créer un réseau pédophile et diffuser volontairement des images à caractère pédopornographique sur Internet (art. 227-23).
– Révéler publiquement le contenu d’un document classifié très secret défense par le dépositaire du secret (par exemple les codes de lancement d’un missile nucléaire – art. 413-10).
– Révéler publiquement l’identité d’un agent secret, mais seulement à la condition que cette révélation cause une atteinte à son intégrité physique (par exemple si la révélation conduit à des actes de torture, art. 413-13).
– Et maintenant aussi : lancer Nessus contre impots.gouv.fr »

Pour la petite histoire Nessus est un outil utilisé pour tester la sécurité logiciel, donc si une personne lambda veut démontrer qu’il y a un problème de sécurité sur le site des Finances, il risque la prison. Mais cela vaut aussi pour l’introduction, modification ou suppression frauduleuses de données, avec toute la palette possible d’interprétation.

Dans le domaine de l’entreprise, la déclaration de la CNIL est indispensable pour pouvoir être serein sur le Net. Outre cela les Mentions légales, les CGV ou conditions générales de vente ne sont pas à prendre à la légère! Elles s’appuient sur l’article 6 de la LCEN (sanctions 1 an d’emprisonnement et 75.000€ d’amende à défaut), l’article 19 de la LCEN, les articles L111-1 et s. du Code de la conso.

Omettre ou avoir des CGV illicites peut aller jusqu’à 1 an d’emprisonnement et 75.000€ d’amende !

Comme vous le voyez e droit dans le domaine de l’informatique, des données et d’Internet est en évolution, ce qui rajoute de la difficulté

Dès lors il faut rester extrêmement vigilant pour ne pas engager sa responsabilité en tant que Responsable de la Sécurité des Systèmes d’Information – ou RSSI – qui est par défaut dans une TPE ou petite PME bien souvent le patron. Le problème, comme bien souvent, c’est que certaines lois sont appliquées et d’autres non. Quand on n’est pas un spécialiste ou un juriste, comment savoir ?

PREMIÈREMENT CONSULTER L’EXCELLENTE SYNTHÈSE DE THIEBAUT QUI VOUS EXPLIQUERA QUELLES LOIS DOIVENT ETRE VRAIMENT PRISES EN COMPTE

Comment faire alors ?

Même si le titre du paragraphe est bien nul, je vais essayer de vous donner quelques pistes pratiques dans le champ est vaste. Si vous avez le moindre doute, faites appel à un avocat ou consultez en un lors de permanence gratuite.

Mentions Légales et CGV

Notre super juriste en informatique met à disposition gratuitement sur son site un modèle parfait pour quasi toutes les activités lucratives en ligne – je vous laisse consulter sa page modèle de CGV gratuite et libre (il demande qu’un lien pour citation).
L’absence de mentions légales selon une jurisprudence de 2014 peut vous coûter jusqu’à 5000 € la ligne…
Dans le cas des mentions légales ce sont la loi du 21 juin 2004 pour la confiance dans l’économie numérique et le décret du 9 mai 2007 qui font office de références.  Il existe des générateurs de mentions légales gratuit sur le net comme celui-ci  à utiliser avec précaution – bien revoir les mentions générées et comparer avec celles requises car la loi peut changer. Vous trouverez s

Si vous demandez à un avocat il peut vous en compter pour 2000 €…

La CNIL

La déclaration à la CNIL n’est qu’une des étapes des dispositions de celle ci – soit 10% du processus de conformité.

Attention, pour les entreprises qui traitent beaucoup d’informations personnelles ce n’est pas un risque à prendre à la légère. Les changements à venir vont en effet pénaliser  2% du chiffre d’affaire global pour les groupes, imaginez les risques pour les entreprises du CAC40…

Tout passe d’abord par la liste et la vérification de vos traitements de données personnelles : logs de site internet, emails et autres données récoltées par ceux-ci, les badges, les fiches clients, fournisseurs, du personnel, fiches de paye ou fiches métiers…

Vous voyez que beaucoup de fichiers même internes doivent être tracés, analysés et que remplir une déclaration simplifié ne correspond pas toujours – et vous entraîne vers l’illégalité. Le transfert hors UE des données, le traitement des données sensibles, la sécurité des traitements, les délais de conservation des données et les mises à jour des déclarations à la CNIL sont autant de points de contrôle à ne pas ignorer sous peine de sanctions lourdes qui va avec l’adoption du projet européen. Si vous avez un projet d’entreprise en ligne, pensez y.

Explication du projet ici :

Pour ceux qui veulent plsu d’infos sur la CNIL et sur ce qu’il faut faire, encore une fois je vous recommande le site de Thiébaut ci-dessus ou son guide complet sur comment gérer les risques juridiques liés au Net et au traitement des données. Son guide vous signale les lois à prendre en compte et celles à ne pas tenir compte, car, comme il le dit pour avoir vu de l’intérieur ce qu’il se passe :

Aujourd’hui mon point de vue (qui n’engage que moi) est que si l’Etat adopte des lois qui n’ont pas vocation à être appliquées, cela ne doit pas être votre problème.

Si d’autres avocats ou juristes avaient cette même faculté de simplifier les choses à moindre frais – sans enlever la valeur ajoutée de leurs interventions qui est réelle, mais que je préfère réserver à des cas « particuliers » plutôt qu’à ces choses standards facturées à prix fou – ce serait génial.