Responsabilité du directeur général en matière de sécurité de l'information dans l'entreprise

De nos jours, il est difficile d'imaginer une entreprise sans informatique et sans processus commerciaux numériques. Outre les nombreux avantages de la numérisation, celle-ci présente également des risques élevés : Si chaque collaborateur participe au monde numérique de l'entreprise, la probabilité d'un incident lié à la sécurité de l'information (p. ex. des incidents déclenchés par des virus, du phishing, du piratage, etc.

Avec la mise en réseau, toute l'infrastructure informatique d'une entreprise est rapidement touchée. Des sommes colossales de dommages peuvent en résulter. Pour l'entreprise, ce ne sont pas seulement les intérêts financiers qui sont alors menacés, mais aussi l'atteinte à la réputation de l'entreprise après une panne de données et les conséquences juridiques qui peuvent survenir.

En fin de compte, les conséquences touchent toujours le gérant personnellement en cas de doute. Nous verrons plus loin à quoi ressemble concrètement la responsabilité du gérant et comment minimiser les risques le cas échéant.

Étendue possible des dommages et intérêts

Si une cyberattaque cause des dommages à l'entreprise, il ne faut pas oublier de prendre en compte ses propres coûts : Les coûts de restauration des données et des systèmes, les pertes de chiffre d'affaires, les coûts liés à l'identification de la cause, par exemple par le biais d'une enquête médico-légale menée par un expert. prestataire de services spécialisé, perte de confiance des clients, pertes de production, perte de valeur de l'entreprise, etc.

A cela peut s'ajouter le paiement de dommages et intérêts à des tiers. Ceux-ci ne se fondent pas seulement sur l'article 82 du RGPD, mais aussi, en dehors du droit de la protection des données, sur l'article 280 du code civil allemand.

Des dommages et intérêts en vertu de l'article 280 du BGB ne peuvent être réclamés qu'aux tiers avec lesquels l'entreprise entretient une relation juridique et dont les obligations ont été violées par la violation de données et ses conséquences. En outre, dans le cadre de cette base de revendication, il incombe à l'entreprise concernée de prouver qu'elle n'est pas responsable de l'incident, c'est-à-dire, par exemple, d'apporter les preuves correspondantes. Mesures de protection a pris. La direction devrait donc toujours faire mettre en œuvre et documenter soigneusement la sécurisation informatique de l'entreprise afin de pouvoir prouver que l'informatique est sécurisée selon l'état actuel de la technique.

En outre, des dommages et intérêts peuvent être accordés en vertu de l'article 82 du RGPD lorsque des données à caractère personnel sont traitées par l'entreprise. Les personnes concernées doivent alors être indemnisées pour les dommages matériels et immatériels. Cela ne peut être évité qu'en prouvant que l'entreprise n'est en aucun cas responsable du facteur qui a provoqué le dommage.

En outre, une amende peut être infligée en vertu de l'article 83 du RGPD.

La responsabilité mentionnée ici ne peut pas non plus être exclue par des conditions générales de vente (CGV).

Recours possible ?

Même si la cause d'une cyberattaque est généralement une erreur d'utilisation commise par un employé, une action contre ses propres employés n'est guère prometteuse. D'une part, la responsabilité des employés est très limitée et, d'autre part, la jurisprudence a jusqu'à présent limité la responsabilité à un an de salaire, de sorte que les dommages causés ne peuvent pas être compensés. En principe, la direction ou l'entreprise doit répondre des fautes commises par ses propres employés.

De même, le recours à des prestataires de services informatiques est généralement peu prometteur. En effet, leur obligation principale est uniquement de fournir la prestation convenue contractuellement avec la direction. Conformément à l'article 24 I et II du RGPD, il est nécessaire pour l'entreprise d'exploiter l'informatique selon l'état de la technique. Si la prestation convenue du prestataire de services ne correspond pas à l'état de la technique, cela relève de la responsabilité de l'entreprise qui a voulu que la prestation soit ainsi.

Dans ce cas, on pourrait tout au plus penser à la violation d'une obligation secondaire (l'indication que la prestation demandée ne correspond pas à l'état de la technique) (§ 280 BGB). Mais les sommes en jeu ne pourront guère être couvertes par le prestataire de services informatiques, d'autant plus que celui-ci convient régulièrement à l'avance d'une limite de responsabilité, du moins pour les contrats importants.

Responsabilité de la direction

En fin de compte, pour compenser le préjudice financier, l'entreprise n'a d'autre choix que de se retourner contre la direction, ce qu'elle est d'ailleurs tenue de faire.

Dans ce cas, une négligence légère de la part de la direction suffit régulièrement à engager sa responsabilité. La direction a l'obligation de veiller à ce que l'entreprise ne contrevienne à aucune disposition légale. En fonction de la forme juridique de l'entreprise et de l'activité exercée, la loi prévoit également des obligations plus spécifiques dont la violation peut engager la responsabilité.

Minimisation du risque de responsabilité

Afin de minimiser le risque de responsabilité, la direction devrait régulièrement contacter Conseillers en sécurité de l'information se concerter, effectuer des contrôles de risques et les documenter. Les tests d'intrusion et les analyses de vulnérabilité par prestataires de services externes spécialisés aident à évaluer les risques et devraient également être documentées. En cas de violation des données, la documentation et les mesures prises peuvent, le cas échéant, entraîner une décharge de responsabilité.

Les résultats permettent ensuite d'évaluer si une cyber-assurance est nécessaire. La question de savoir si la conclusion d'une telle assurance est même obligatoire pour la direction est controversée. En tout cas, si les cyber-risques représentent un risque pour l'existence de l'entreprise, la réponse est oui. Dans ce cas, il convient également de prêter une attention particulière au bon choix de l'assurance et, après la conclusion, à la comparaison permanente pour savoir si elle est encore la plus appropriée.

D'autre part, la direction peut également être exemptée de l'obligation de souscrire une cyber-assurance par une résolution des actionnaires. Ainsi, la direction n'assume plus le risque de responsabilité, mais l'entreprise reste tout aussi exposée.

Dans tous les cas, il est recommandé de concevoir un plan d'urgence en cas de cyber-attaque ainsi qu'un plan de sauvegarde des données. Ceux-ci doivent être connus au sein de l'entreprise.

Pour se protéger davantage en tant que directeur, il est recommandé, en cas de doute, de souscrire une assurance D&O (responsabilité civile).

Au cas par cas, les décisions relatives à des mesures concrètes devraient toujours être prises après consultation d'un expert. Le manque de connaissances techniques du gérant dans le domaine de la responsabilité ne conduit jamais à une exonération de responsabilité.