Les aspects juridiques de la démarche de

sécurisation
(Cryptologie, chartes, préservation de la preuve, signalement des incidents…)

Introduction :
Les aspects juridiques de la démarche de sécurisation consistent d’abord en la prise en compte de la
confidentialité de l’authenticité et de l’intégrité des transmissions entre deux correspondant
(Chapitre 1). Cela n’étant pas suffisant pour garantir sécurité aux échanges entre ces dernier, il faut
les sensibiliser par l’élaboration d’une charte d’utilisation des moyens électroniques précise sur au
moins 5 points cruciaux (Chapitre 2. Cependant, le système n’étant pas infaillible lorsqu’il est violé il
va falloir savoir préserver la preuve électronique (Chapitre 3) pour un signalement des incidents
efficace (Chapitre 4).

Chapitre 1 : Cryptographie

D’après l’article 1 de la Loi n° 2017-28 du 03 mai 2017, relative à la protection des données à
caractère personnel, la cryptologie se fait grâce à des opérations de chiffrement utilisant le plus
souvent des conventions secrètes ou clés secrètes. Il ressort de cette loi que : le Chiffrement se
définit comme toute technique qui consiste à transformer des données numériques en un format
inintelligible en employant des moyens de cryptologie. La Conventions secrètes comme : toutes clés
non publiées, nécessaires à la mise en œuvre d’un moyen ou d'une prestation de cryptologie pour les
opérations de chiffrement ou de déchiffrement. Et la cryptologie comme : la science relative à la
protection et à la sécurité des informations notamment pour la confidentialité, l’authentification,
l'intégrité et la non répudiation.

C’est une science aujourd’hui avancée dont l’utilisation est selon les pays soit autorisée, permise sur
simple déclaration ou interdite. Dans ce dernier cas, il s’agit du cas où elle concerne les outils de
cryptographie à usage militaire. Dans les autres cas, le chiffrement est autorisé jusqu’à un niveau de
128 bits. Toutefois la plupart des pays africain n’ont pas réglementé ces aspects de la sécurisation
des systèmes d’information moins parce que ce n’est pas nécessaire que parce qu’ils ne sont pas
dotés de la technologie de cryptologie. Ces derniers ont le plus souvent recours à des tiers de
confiance ou tiers certificateurs.

Chapitre 2 : Charte informatique d'entreprise : 5 choses à ne pas

oublier
La mise en place d’une charte informatique dans une entreprise permet de fixer les règles
d’utilisation des outils informatiques par les salariés, mais aussi de prévoir des sanctions en cas de
violation de ces règles. Sa mise en œuvre est par ailleurs recommandée par la Commission Nationale
de l’Informatique et des Libertés (CNIL).

Généralement intégrée au règlement intérieur de la société (ou rajoutée en annexe de ce

règlement), la charte informatique peut aussi être intégrée au contrat de travail (la première solution
est toutefois préférée).

Voici 5 points qui nécessitent une vigilance particulière lors de la rédaction de votre charte.
1) L’utilisation du matériel personnel
L’utilisation par le salarié d’outils personnels (ordinateur, téléphone, etc.) dans le cadre de son travail
est un point délicat.

En effet, une telle pratique est à la fois périlleuse pour la sécurité des données de l’entreprise, mais
menace aussi le respect des informations personnelles de l’employé.

S’il est préférable d’interdire tout bonnement l’utilisation de matériels personnels, une autre solution
consiste à mettre en place un espace « hermétique » sur l’appareil du salarié, dans lequel seront
stockées les données et les applications à usage professionnel.

Cela permet à l’entreprise d’exercer un contrôle sur les activités du travailleur sans pour autant
accéder à la totalité de ses données.

2) Les moyens de surveillance

La surveillance des activités des salariés par l’employeur est soumise à certaines limitations qu’il faut
connaître.

D’abord, s’il est possible d’accéder les connexions, les fichiers et les mails personnels de l’employé,
cela ne peut être fait qu’en sa présence.

L’utilisation d’un dispositif de contrôle des courriers électroniques ou encore des activités sur
internet est permise à condition :

 D’avoir consulté les représentants du personnel ;

 D’avoir préalablement informé les salariés ;

 D’avoir fait une déclaration à la CNIL.

3) L’utilisation de la messagerie électronique

L’utilisation des emails au sein de l’entreprise doit aussi être réglementé dans le cadre de la charte
informatique.

Il peut notamment s’agir de mesures de confidentialité à respecter (par exemple, ne jamais

mentionner certaines informations sensibles par mail).

Il peut aussi s’agir de limiter la taille des pièces jointes pouvant être reçues ou envoyées par mail.

Concernant l’utilisation de la messagerie électronique professionnelle à des fins privées, elle n’est
pas interdite.

Toutefois, le salarié doit clairement identifier les mails personnels (sans quoi, ils seraient considérés
comme professionnels et l’employeur aurait alors le droit de les consulter). Pour c faire, il peut par
exemple créer un répertoire dédié dans sa boîte mail.

4) L’accès à internet à des fins personnelles

En principe, l’accès à internet à des fins personnelles dans le cadre professionnel est toléré dans les
limites du raisonnable.
La charte informatique peut cependant prévoir une liste de sites (ou de catégories de sites) que les
salariés n’ont pas le droit de visiter.

Elle peut aussi interdire le téléchargement de certains fichiers.

5) Les sanctions possibles

La charte informatique peut prévoir les sanctions applicables en cas de non respect des règles
énoncées. Cependant, celles-ci ne doivent pas être contraires à la loi (en particulier le Code du
Travail) ni être trop excessives.

Le licenciement est une sanction envisageable, la méconnaissance et le non respect de la charte

informatique pouvant constituer une faute grave. 

Chapitre 3 : Préservation de la preuve

La « preuve numérique » représente toute information numérique pouvant être utilisée comme
preuve dans une affaire de type judiciaire. Les entreprises doivent fournir un document
électronique qui puisse être retenu comme preuve par les tribunaux. Les outils numériques, tels
que les courriels, la signature électronique et les documents numériques, constituent des éléments
de preuve nécessaire à la défense d’un professionnel en cas de mise en cause. Se pose alors la
question des règles à respecter pour que cette information numérique puisse être considérée
comme élément de preuve.

1) Le courrier électronique
Les services de messagerie connaissent une croissance exponentielle au sein des entreprises et les
volumes des contenus échangés par voie électronique dépassent très largement ceux des flux papier.
Ils correspondent à environ deux tiers des données transmises. Or, le plus souvent, les courriers
électroniques sont mal gérés et mal archivés. Dans les grands groupes, plusieurs systèmes de
messagerie peuvent être utilisés, ce qui complexifie leur gestion. Mais certains courriers
électroniques doivent être archivés par l’entreprise car ils sont susceptibles de constituer des
éléments de preuve d’un engagement contractuel ou de l’exécution du contrat, ce qui est
particulièrement utile en cas de contentieux.

La gestion et l’archivage des courriers électroniques doivent faire l’objet d’un traitement spécifique

par l’élaboration d’une politique visant à les encadrer juridiquement en corrélation avec la charte
informatique, le règlement intérieur et la Politique de sécurité de l’information de l’entreprise.
Une Politique de gestion et d’archivage des courriers électroniques se veut différente de la Politique
d’archivage des documents. Elle consistera également à veiller au respect des règles en matière de
vie privée des salariés et à encadrer les exigences propres de l’entreprise (traçabilité des échanges
internes et externes) conformément aux textes applicables. Pour ce faire, demandez conseil à votre
prestataire ou responsable informatique afin d’être en conformité avec la jurisprudence.

2) Le courrier électronique recommandé

L’article 1369-8 du Code civil reconnaît juridiquement l’existence du courrier
électronique recommandé avec ou sans avis de réception, mais aussi les lettres recommandées «
hybrides», envoyées par voie électronique, éditées sur papier et acheminées par voie postale.
Le procédé utilisé pour l’envoi d’un courrier électronique recommandé répond à quatre exigences
énumérées à l’alinéa premier de l’article 1369-8 du Code civil :

– le procédé doit identifier le tiers qui achemine le courrier électronique recommandé ;

– le procédé doit désigner l’expéditeur du courrier électronique recommandé ;

– le procédé doit garantir l’identité du destinataire du courrier électronique recommandé ;

– le procédé doit établir si la lettre a été remise ou non au destinataire dudit courrier.

Par ailleurs, deux modalités de réception du courrier recommandé électronique sont prévues par

l’alinéa 2. Si une lettre recommandée par voie électronique est envoyée, l’expéditeur peut choisir
une réception sur support papier ou une réception sous forme électronique.

3) La signature électronique
La signature électronique est un élément de preuve indiscutable. Elle peut être apposée sur un email
ou un document scanné ou nativement numérique. Elle permet d’attester de l’envoi et de la
réception du document. Bien qu’il existe une distinction entre la signature électronique « simple
» et la signature électronique «  sécurisée   présumée fiable  », les deux types de signature
électronique ont la même valeur juridique dès lors qu’elles  reposent sur l’utilisation d’un procédé
fiable d’identification garantissant son lien avec l’acte auquel elle s’attache (art.1316-4 al.2 du Code
Civil). Pour une signature électronique sécurisée présumée fiable, la charge de la preuve de l’absence
de fiabilité du procédé utilisé repose sur celui qui conteste la valeur juridique de la signature (et plus
généralement l’acte signé). Pour une signature électronique simple, la charge de la preuve de la
fiabilité du procédé utilisé pour signer l’acte en cause repose sur celui qui se prévaut de la signature
électronique.

L’utilisation de la signature numérique apporte les garanties suivantes :

 authenticité de l’identité du signataire,

 intégrité des données qui assure qu’il ne peut pas y avoir de contrefaçon du document ou
email par opposition au document papier qui peut être modifié par une personne non-
autorisée après signature,

 traçabilité,

 immuabilité dans le temps.

Pour se prévaloir d’une signature électronique fiable, vérifiez si cette dernière bénéficie d’un
certificat électronique délivré par un prestataire de services qualifié. L’arrêté du 26 juillet 2004
encadre et définit la reconnaissance de la qualification des prestataires de services de certification
électronique.

4) Les documents numériques

La distinction selon laquelle le document doit être considéré comme un original électronique ou
comme une copie est importante car le régime juridique applicable est lui-même distinct et sa
conséquence est déterminante en cas de litige (incidence sur la preuve) : la hiérarchie des preuves
place l’original au-dessus de la copie.
Le titre original se définit comme étant un « écrit dressé, en un ou plusieurs exemplaires, afin de
constater un acte juridique, signé par les parties à l’acte (ou par leur représentant) à la différence
d’une copie  ». L’ordonnance du 16 juin 2015 prise en application de l’article 26 de la LCEN est venue
consacrer juridiquement une nouvelle fiction juridique, l’exemplaire d’un original sous forme
électronique : «  L’exigence d’une pluralité d’originaux est réputée satisfaite pour les contrats sous
forme électronique lorsque l’acte est établi et conservé conformément aux articles 1316-1 et 1316-4
et que le procédé permet à chaque partie de disposer d’un exemplaire ou d’y avoir accès »  (art. 1325,
al. 5 du Code civil). Cet article renvoie aux articles 1316-1 et 1316-4 du Code civil également cités
pour les écrits requis à titre de validité (art. 1108-1 du code civil). En conséquence, les mêmes
conditions d’identification de l’auteur et d’intégrité du contenu de l’acte devront être respectées
pour l’établissement et la conservation de l’acte. L’acte doit pouvoir être envoyé (aux) ou mis à
disposition des parties signataires. A des fins d’archivage, de plus en plus de documents (factures,
bulletins de paie, bons de commande, bordereau de livraison, etc.)  sont numérisés au sein des
entreprises. Il faut cependant respectées certaines règles concernant l’archivage des documents en
matière de conservation car le document dématérialisé peut prouver que le professionnel a bien
rempli ses obligations.

L’archivage peut être défini techniquement comme « l’ensemble des actions, outils et méthodes
mises en œuvre pour conserver à moyen ou long terme des informations dans le but de les exploiter
». Une définition légale de l’archivage, applicable pour l’essentiel aux seules personnes publiques ou
privées gérant un service public, se trouve à l’article L. 211-1 du Code du patrimoine qui dispose que
l’archivage est la conservation de « l’ensemble des documents, quels que soient leur date, leur lieu de
conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et
par tout service ou organisme public ou privé dans l’exercice de leur activité ».

L’accent doit être mis sur deux éléments importants au niveau de la conservation car la durée et les
modalités de conservation sont déterminées en fonction de la nature du document à archiver.
Vous trouverez plus d’informations à ce propos dans l’ebook  intitulé : Les durées légales de
conservation de vos documents.

Enfin, l’archivage électronique répond à certaines normes et/ou standards.

Par exemple, les normes :

 NF Z 42-013 : ce sont des « spécifications relatives à la conception et à l’exploitation de

systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés
dans ces systèmes ». De plus, cette norme est le référentiel mesurant la valeur probante des
systèmes d’archivage électronique.

 NF Z 43-400 : correspond au référentiel évaluant la force probante de l’archivage des

données électroniques et d’assurer l’irréversibilité des enregistrements.

 MoReq : est un recueil d’exigences pour l’organisation de l’archivage élaboré dans le cadre
de l’Union européenne. Il s’agit d’une approche opérationnelle de la norme de gestion des
documents d’archives ISO 15489.

Là encore, demandez conseil à votre prestataire ou responsable informatique pour bien respecter les
règles de l’archivage.

Ainsi, le numérique joue un rôle essentiel et grandissant en matière de droit de la preuve. Il convient
cependant de respecter les règles des différents outils numériques qui constituent des éléments de
preuve.
Chapitre 4 : Signalement des incidents
Il convient de voir sur la base d’un décret et d’un arrêté français les incidents susceptibles de faire
l’objet de signalement (1) et la procédure de signalement (2) et dire un mot sur les modalités de ce
signalement (3).

1) Les incidents devant être signalés

Il s’agit des incidents graves de sécurité des systèmes d’information subis par des établissements de
santé, organismes et services exerçant des activités de prévention, de diagnostic ou de soins. les
établissements de santé, organismes et services exerçant des activités de prévention, de diagnostic
ou de soins sont: « – les établissements de santé; « – les hôpitaux des armées; « – les laboratoires de
biologie médicale; « – les centres de radiothérapie.» Il y a 2 sortes d’incidents graves  pouvant les
affecter :

- Les événements générateurs d’une situation exceptionnelle au sein d’un établissement,

organisme ou service, et qui sont notamment : « – les incidents ayant des conséquences
potentielles ou avérées sur la sécurité des soins ; « – les incidents ayant des conséquences
sur la confidentialité ou l’intégrité des données de santé ; « – les incidents portant atteinte
au fonctionnement normal de l’établissement, de l’organisme ou du service. Et,
- Les incidents ayant un retentissement potentiel ou avéré sur l’organisation départementale,
régionale ou nationale du système de santé et les incidents susceptibles de toucher d’autres
établissements, organismes ou services et jugés significatifs.

2) La procédure en cas d’incidents

Il s’agit en somme de l’accomplissement de la formalité de déclaration d’incidents aux autorités
indiqués. La déclaration des incidents graves de sécurité des systèmes d’information prévue par
l’article L. 1111-8-2 est destinée à: «1- Fournir aux autorités compétentes de l’Etat les informations
nécessaires pour décider des mesures de prévention en matière de sécurité des systèmes
d’information; et «2- Aider les établissements de santé, organismes et services exerçant des activités
de prévention, de diagnostic ou de soins à prendre toute mesure utile pour prévenir la survenue
d’incidents graves de sécurité des systèmes d’information ou en limiter les effets.

Ainsi :

- la déclaration des incidents graves de sécurité des systèmes d’information générateurs de

situations exceptionnelles, sans préjudice des autres déclarations obligatoires, est effectuée
sans délai par le directeur de l’établissement de santé, de l’organisme ou du service exerçant
des activités de prévention, de diagnostic ou de soins, ou la personne déléguée à cet effet,
auprès du directeur général de l’agence régionale de santé. L’agence régionale de santé est
responsable de la qualification des incidents signalés.
- «Les incidents de sécurité des systèmes d’information jugés significatifs sont transmis sans
délai par l’agence régionale de santé au groupement d’intérêt public. Le groupement
d’intérêt public assure : « – l’analyse des incidents significatifs; « – l’appui aux agences
régionales de santé, la prévention des incidents en organisant les retours d’expérience au
niveau national, la proposition de mesures d’aide au traitement des incidents; « – la gestion
et la mise en oeuvre du traitement automatisé de données à caractère personnel relatif aux
signalements. «Le groupement d’intérêt public informe sans délai le service du haut
fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales de tout
signalement analysé. «Le groupement d’intérêt public informe sans délai les services
 compétents de la direction générale de la santé de tout signalement susceptible d’avoir un
impact sanitaire direct ou indirect, notamment en cas de dysfonctionnement de l’offre de
soins. «Le groupement d’intérêt public établit, au vu des informations communiquées par les
agences régionales de santé, un rapport annuel à caractère statistique relatif aux
signalements anonymisés des incidents de sécurité des systèmes d’information. Ce rapport
est rendu public.

3) Modalité du signalement
La déclaration d’un incident grave de sécurité mentionné à l’article L. 1111-8-2 du code de la santé
publique est effectuée sur le portail de signalement des évènements sanitaires indésirables, au
moyen du formulaire de déclaration. En cas d’impossibilité de déclaration par voie électronique,
celle-ci peut se faire par tout moyen en respectant la forme et le contenu figurant en annexe auprès
de l’agence régionale de santé territorialement compétente. Le formulaire de déclaration permet au
déclarant de fournir toutes les informations dont il dispose au moment de la découverte de
l’incident. Il comporte les informations suivantes: – les informations permettant d’identifier la
structure concernée par l’incident ainsi que le déclarant; – la description de l’incident, notamment la
date du constat, le périmètre de l’incident, les systèmes d’information et données concernées et
l’état de la prise en charge; – la description de l’impact de l’incident sur les données, sur les
personnes, sur les systèmes d’information et sur la structure; – les causes de l’incident, si celles-ci
sont identifiées.

Les déclarations reçues sur le portail de signalement des évènements sanitaires indésirables sont
transmises à l’agence régionale de santé compétente et à l’agence des systèmes d’information
partagés de santé, qui en informe les personnes mentionnées à l’article D. 1111-16-3 du code de la
santé publique, selon les modalités prévues par cet article.

L’agence régionale de santé compétente s’appuie sur l’agence des systèmes d’information partagés
de santé qui analyse la déclaration et qualifie les incidents signalés pour son compte. La structure
concernée par l’incident est informée de la prise en compte et de l’analyse de son signalement par
l’agence des systèmes d’information partagés de santé. L’agence des systèmes d’information
partagés de santé et l’agence régionale de santé compétente peuvent demander à la structure
concernée par l’incident toute information complémentaire permettant la qualification de l’incident
et la mise en place d’une réponse adaptée. A la demande de la structure concernée par l’incident,
l’agence des systèmes d’information partagés de santé et l’agence régionale de santé compétente
l’accompagnent dans la gestion de l’incident. Elles peuvent formuler des recommandations et
notamment proposer des mesures d’urgence pour limiter l’impact de celui-ci, des mesures de
remédiation ainsi que des mesures destinées à améliorer la sécurité du ou des systèmes
d’information concernés.
Les aspects juridiques de la démarche de sécurisation..........................................................................1
Introduction :.........................................................................................................................................1
Chapitre 1 : Cryptographie....................................................................................................................1
Chapitre 2 : Charte informatique d'entreprise : 5 choses à ne pas oublier..........................................1
1) L’utilisation du matériel personnel.................................................................................................2
2) Les moyens de surveillance............................................................................................................2
3) L’utilisation de la messagerie électronique....................................................................................2
4) L’accès à internet à des fins personnelles......................................................................................2
5) Les sanctions possibles...................................................................................................................3
Chapitre 3 : Préservation de la preuve..................................................................................................3
1) Le courrier électronique.............................................................................................................3
2) Le courrier électronique recommandé.......................................................................................3
3) La signature électronique...........................................................................................................4
4) Les documents numériques........................................................................................................4
Chapitre 4 : Signalement des incidents.................................................................................................6
1) Les incidents devant être signalés..............................................................................................6
2) La procédure en cas d’incidents.................................................................................................6
3) Modalité du signalement............................................................................................................7