Le 18 mars 2025, Me Pierre-Xavier Chomiac de Sas a eu le plaisir d’échanger à nouveau avec Monsieur Arnaud Dumourier dans le cadre de l’émission Lex Inside pour évoquer les problématiques liées au droit du numérique. Cette intervention poursuit les précédentes interviews du cabinet notamment sur les thèmes du droit des jeux vidéo et de contrats esport.
Retrouvez la présentation de nos précédentes interventions.
L’intervention de PCS Avocat a cette fois-ci porté sur l’encadrement légal des entreprises et professionnels en matière de cybersécurité, à travers différentes questions juridiques et pratiques pour accompagner les sociétés face à ces enjeux.
Quel est le cadre juridique de la cybersécurité ?
La notion de cybersécurité renvoie à plusieurs éléments que l’on pourrait scinder en deux catégories :
D’un côté, l’aspect normatif comprenant l’ensemble des règles destinées à garantir la meilleur sécurité des outils numériques utilisés ou proposés. Elles comprennent des règles établies progressivement au niveau national, communautaires européen et international.
Parmi elles se trouvent la Loi pour la Confiance dans l’Economie Numérique, plus récemment les Lois de Programmation Militaires, la Loi pour une République Numérique (2016), la loi Cyberscore de 2022, la LOPMI (loi d’orientation et de programmation du ministère de l’intérieur), l’IA Act, etc.
Consolidé au niveau européen, peuvent être mentionnées feu la directive Eprivacy, le RGPD en matière de données personnelles, les directives NIS et NIS2 imposant des exigences de cybersécurité aux opérateurs de services essentiels et fournisseurs de services numériques.
De l’autre, l’aspect repressif comportant l’ensemble des infractions et comportements sanctionnés en matière pénale pour lutter contre la cybercriminalité visant les actions menées à partir de systèmes informatiques : intrusions frauduleuses, modification ou suppressions de données (rancongiciels), attaques informatiques par virus, malwares, escroquerie et arnaques en ligne (phishing), infractions liées aux données personnelles dont l’usurpation d’identité.
Plus généralement, il peut également être évoqué les infractions numériques tel que le cyberharcèlement, la désinformation, le revenge porn, etc.
Cyberattaques & droit pénal : Classification des infractions numériques
La diversité des outils et moyens mis en place pour commettre des infractions numériques ne peut être appréhendé sous une qualification unique. Dans ce contexte, ont été encouragées les méthodes de classification de ces dernières sous quatre thématiques en lien avec l’objet de l’infraction :
I. Les atteintes numériques aux biens regroupent les infractions occasionnant un préjudice financier aux victimes. Elles peuvent prendre la forme d’escroqueries, arnaques, détournements de moyens de paiement et infractions, facilités par l’utilisation d’outils numériques ;
II. Les atteintes numériques aux personnes désignent principalement les comportements non-physiques visant majeurs ou mineurs tels les délits de presse (injures, diffamation), les forme de cyberharcèlement ou harcèlement de meute, les menaces et autres formes de discriminations.
III. Les atteintes numériques aux institutions font référence à l’ensemble des troubles à l’ordre public, des atteintes à la sûreté de l’État et aux institutions et regroupent des infractions de publication de contenus haineux, les obstructions à la justice, les atteintes aux dépositaires de l’ordre public ou représentants de l’État, les infractions financières et au Code du travail, les infractions de terrorisme, les trafics, la contrefaçon et le recel.
IV. Les infractions aux législations et réglementations spécifiques au numérique faisant référence à l’ensemble des directives et règlements spécifiques touchant le secteur numérique – Hadopi en matière de propriété intellectuelle, le RGPD en matière de données personnelles, LCEN en matière d’hébergeurs de contenus, etc.
Retrouvez les chiffres associés sur le site du ministère de l’Intérieur
Quelles sont les obligations des entreprises en matière de cybersécurité ?
Commun en matière de directives européennes et de compliance, les obligations des sociétés et entreprises rattachées aux enjeux de cybersécurité peuvent s’articuler sous trois axiomes :
1. Audit & évaluation des risques. Toute société doit connaitre et maitriser l’ensemble de ses activités ainsi que les outils numériques dont ils dépendent au quotidien.
Cet audit technique et juridique permet d’identifier l’ensemble des dangers et risques cyber associés afin de mettre en place des procédures de contrôle et de gestion des risques adaptés.
Cela peut se traduire par des politiques d’analyse des risques et de sécurité des systèmes d’information, implémenter des mesures techniques, organisationnelles et opérationnelles adaptées aux risques cyber, assurer la gestion des incidents et la continuité des activités, sécuriser la continuité chaîne d’approvisionnement et les processus de développement et de maintenance des réseaux/SI.
2. Contrôle & documentation. Sur la base des éléments identifiés, l’entreprise doit être en mesure de proposer des réponses et systèmes de protection adaptés et responsables face aux obligations légales imposées.
Assurer une conformité aux obligations légales et réglementaires, encadrer contractuellement les risques cyber avec les fournisseurs et prestataires de la société, identifier les autorités compétentes : ANSSI, CNIL, AMF, etc.
3. Formation. Un certain nombre de dispositions légales et règlementaires appuient sur la sensibilisation et formation des effectifs de l’entreprise tous grades confondus face aux menaces de cyberattaques, les risques professionnels, juridiques et financiers ainsi que les procédures internes pour les éviter ou en limiter les effets.
Obligations spécifiques. Certains secteurs professionnels – défense, santé, banque, justice, télécommunications, etc. – ainsi que certaines professions réglementées sont soumis à des règles complémentaires leur imposant des obligations propres et spécifiques
Quelles sont les conséquences juridiques des cyberattaques ?
En croissance constante ces dernières années, aggravées depuis la période de pandémie des années 2020/2021, les cyberattaques sont quotidiennes et touchent l’ensemble des utilisateurs d’outils numériques. Leurs conséquences notamment en matière juridique peuvent être très importantes.
De fait, leurs effets varient selon la forme de l’attaque (rançongiciel, vol de données confidentielles, etc.), l’ampleur de l’attaque et la préparation de l’entreprise :
En cas de désorganisation de la société, la cyberattaque fait courrir un risque majeur de manquements contractuels vis-à-vis de leurs clients, fournisseurs, prestataires ;
L’entreprise visée est passible de sanctions civiles, pénales voire administratives en cas de défaillance, négligence ou faute vis-à-vis des normes et règles de responsabilités ;
Dans certaines circonstances, l’attaque informatique peut causer par ricochet des dommages à des clients, prestataires, partenaires, touchés par la cyberattaque. Dans ces conditions, il est possible que l’entreprise principale soit confronté à des actions en réparation de préjudices des victimes collatérales, notamment en cas de faute ;
Non anticipée, la dimension juridique et réglementaire associée à une attaque informatique implique un certain nombre de diligences en matière de cybersécurité notamment la gestion contractuelle, les procédures judiciaires pénales débutant par le dépôt de plainte, les formalités de déclaration notification des autorités compétentes ou de tutelle, les enjeux liés à la couverture d’assurance de l’entreprise face à ces types très particuliers de sinistres.
Quelles sont les bonnes pratiques pour prévenir les risques juridiques liés à la cybersécurité ?
La maitrise des enjeux juridiques liés au risque cybersécurité ne peut reposer que sur une approche globale combinant audit, documentation, formation, conformité et anticipation des incidents.
La première étape consiste à réaliser un audit technique et juridique de l’ensemble des systèmes d’information rattachés à la société et ses activités commerciales.
Cet audit permet d’identifier les vulnérabilités, d’évaluer les risques et de définir des mesures correctives adaptées.
Une fois les risques identifiés, il convient de mettre en place des solutions à court, moyen et long terme pour les maîtriser. La documentation des procédures et des mesures de protection constitue un élément clé : elle atteste du sérieux de l’entreprise et peut être un facteur d’exonération de responsabilité en cas de litige.
PCA / PRA : Plans de continuité & gestion des crises
Anticiper les incidents est une nécessité. Il est indispensable d’élaborer et de mettre à jour régulièrement des plans de continuité et de reprise d’activité pour garantir la résilience de l’entreprise face à une cyberattaque. Ces plans doivent détailler les mesures à prendre pour rétablir rapidement les services critiques et limiter l’impact opérationnel et juridique d’une attaque.
Veille juridique et technologique. En continue de la vie de la société, des procédures de gestion de crise cyber doivent être mises en place et testées via des simulations régulières effectués par l’ensemble des effectifs de la société. Cela permet aux équipes de réagir efficacement en cas de violation de données ou d’attaque majeure. Une réponse rapide et conforme aux obligations légales (notamment en matière de notification aux autorités et aux parties prenantes) est essentielle pour limiter les conséquences juridiques et financières.
Les menaces évoluent constamment, tout comme les réglementations. Il est donc essentiel de maintenir une veille active pour adapter en permanence les dispositifs de sécurité et les obligations légales. Collaborer avec des experts en cybersécurité et en droit du numérique permet de rester informé et de prendre les bonnes décisions stratégiques.
