Les délits en ligne passent au crible de la loi

Olivier Robillart,

Le cabinet Herbert Smith fait un point sur la jurisprudence en matière de d’infractions informatiques. Et pointe les contentieux liés au Cloud computing qui risquent de se multiplier en l’absence de réglementation claire.

En partant de la définition d’un accès frauduleux à un système informatiques, les juristes tentent d’établir une magna cartades règles applicables en cas d’attaque. Si le manque de sécurisation d’un système n’est pas un critère retenu pour agir en justice, reste que les responsables sont tenus à une obligation de sécuriser leurs infrastructures.

Stéphane Collinet, vice président du cercle Montesquieu lance : « On trouve ce que l’on veut sur Internet. Un étudiant pas très brillant peut faire sauter le système informatique d’une société. » Les risques existent mais reste à connaître le cadre légal pour les professionnels afin de s’en prémunir.

Alexandra Néri, associée chez Herbert Smith donne quelques pistes : «La directive européenne du 25 novembre 2009 oblige les FAI et opérateurs Telecoms à reporter toute faille de sécurité. Il faudrait que ce système soit étendu à tous les professionnels afin d’avoir un système de notification obligatoire. Des alertes pourraient ainsi être envoyées à la Cnil par exemple ». Si la jurisprudence évolue en ce sens, rien encore de concret n’existe en France. Pourtant les Etats-Unis disposent d’une loi propre sur le sujet, la Grande-Bretagne imposant des exigences morales aux sociétés victimes de failles.

Autre problématique posée lors du rendez-vous, celle du conflit de juridiction en cas de contentieux suite à une perte de données sur le Cloud computing. Là aussi Alexandra Néri décrit un domaine où un cadre reste à définir : «il n’y a pas de compétence territoriale définie ni de loi applicable de facto. Le fait est qu’il n’existe pas de contentieux juridique avec une société française pour le moment… »

Il est alors possible d’énumérer quelques pistes de réflexion. Le critère du lien le plus fort avec un pays pourrait être retenu pour savoir quelle juridiction sera capable de trancher un litige ou un contentieux portant sur le Cloud computing. La question reste entière si les données stockées se trouvent présentes ou dupliquées dans un Etat aux règles trop ou pas assez protectrices pour une société.

En guise de conclusion, l’avocate admet que «le Cloud computing représente un débat sans fin. La règle utilisée sera l’appréciation au cas par cas». Une instabilité juridique qui pourrait bien retarder l’adoption de la technologie en nuage par les professionnels.