|
|
 |
| |
DROIT DES AFFAIRES
Citation : Eric A. Caprioli, Plan de continuité d'activité
des systèmes d'information : aspects juridiques, www.caprioli-avocats.com
Première publication : octobre 2005
Plan de continuité d'activité des systèmes
d'information : aspects juridiques
Par Eric A. Caprioli, Docteur en droit, Avocat à la Cour
de Paris
contact@caprioli-avocats.com
Plan
I/ ASPECTS CONTRACTUELS
A) Les clauses dans les contrats de prestations de services
B) Le contrat spécifique de PCA
II/ L'ENVIRONNEMENT JURIDIQUE D'UN PCA
A) Délégation de pouvoir et Gouvernance
B) Assurance
C) Code de déontologie - Charte d'éthique et de communication de crise
Notes
Les événements font fréquemment avancer la technique, mais
également le droit. Après l'incendie du crédit lyonnais en 1996,
les attentats du 11 septembre 2001 sont emblématiques de ce
constat. Outre les mesures d'ordre sécuritaire en découlant
directement ou indirectement, ce drame a mis l'accent sur
la nécessité de mettre en place des plans de continuité d'activité.
A New York, seules les entreprises munies d'un plan de continuité
d'activité efficient ont pu limiter les pertes dues à cette
catastrophe.
La continuation de l'activité " envers et contre tout
" est ainsi apparue comme une donnée essentielle de l'économie
actuelle. A cet effet, les Plans de Secours Informatiques (PSI),
les Plans de Reprise d'Activité (PRA) et les Plans de Continuité
d'Activité (PCA) doivent être considérés comme des manifestations
de cette même réalité. Ils se sont multipliés dans de nombreuses
entreprises, à la fois pour "prévoir l'imprévisible"
et pour répondre à certaines exigences légales.
Selon l'article 4 n) du règlement CRBF 97-02 modifié[1], le Plan
de Continuité de l'Activité est, pour les établissements financiers,
l'" ensemble de mesures visant à assurer, selon divers scénarios
de crises, y compris face à des chocs extrêmes, le maintien,
le cas échéant de façon temporaire selon un mode dégradé, des
prestations de services essentielles de l'entreprise puis la
reprise planifiée des activités ". Ainsi, depuis 1997, les
documents visant à assurer la continuité de l'activité dans
les banques et dans les établissements financiers n'ont cessé
de s'étoffer. Cette préoccupation n'intéresse pas que la cible
première, visée par ces textes d'origine bancaire mais devrait,
au contraire, se généraliser dans un proche avenir à l'ensemble
des grandes, voire moyennes entreprises. En effet, l'article
L. 225-37 du Code de commerce (complété par la loi n°2003-706
du 1er août 2003[2]), applicable aux sociétés anonymes cotées
ou non, prévoit que " Le président du conseil d'administration
rend compte […] des conditions de préparation et d'organisation
des travaux du conseil ainsi que des procédures de contrôle
interne mises en place par la société. "[3]. Ces obligations
laissent augurer un même mouvement pour les plans de continuation
d'activité et donc des obligations identiques pour les sociétés
d'une certaine importance financière. Le PCA participe d'une
bonne politique de gestion des risques. Cependant, pour l'instant,
rares sont encore les entreprises qui prennent en compte ces
questions sous l'angle juridique. Il convient donc de déterminer
les impacts que le PCA peut avoir en matière contractuelle (I)
mais également dans son contexte juridique (II).
I/ ASPECTS
CONTRACTUELS
Le développement des PCA entraînera vraisemblablement l'élaboration
de nouveaux instruments contractuels. Ainsi, les contrats traditionnels
de services informatiques devraient intégrer de nouvelles clauses
(ou des avenants) relatives à la continuation de l'activité
et des annexes techniques (A). Mais, l'édiction et la mise en
œuvre d'un PCA pourraient également donner lieu à la rédaction
d'un nouveau type de contrat de prestations informatique (B),
étant précisé que la nature juridique du contrat demeure un
contrat d'entreprise (ou de louage d'ouvrage) au sens du code
civil.
A) Les
clauses dans les contrats de prestations de services
La continuation d'activité est protéiforme, à la fois technique
(matérielle et logique) et organisationnelle. En cas d'externalisation
d'activité auprès d'un prestataire (archivage notamment), le
contrat le liant au client devra prévoir des clauses spécifiques
pour poursuivre son activité même en présence d'un sinistre
(physique comme informatique). Toute absence ou défaillance
dans la mise en place du plan de continuité d'activité pourrait
engager la responsabilité de ce prestataire pour manquement
à une engagement de résultat, lorsque les parties ont
fait de la reprise d'activité une prestation essentielle
de leur relation. Dans le cas contraire, une simple obligation
de moyens devrait alors peser sur celui qui s'oblige. Concernant
ces deux hypothèses, les cocontractants pourraient s'accorder
sur un délai de reprise d'activité, variable en fonction des
besoins et possibilités de chacun, et au-delà duquel l'entreprise
partenaire estimera avoir subi un préjudice.
Les prestations entourant une même prestation globale sont souvent
liées. Pour cette raison, l'intégration d'un dispositif contractuel
limitant la propagation des effets de l'interruption d'activité
d'une composante du processus global pourrait constituer une
mesure préventive efficace et un bon moyen de distinguer les
obligations et responsabilités de chacun.
B) Le
contrat spécifique de PCA
Une distinction doit être effectuée a priori suivant que l'entreprise
est ou non un établissement financier ou bancaire.
Dans le premier cas, le contenu du contrat devra être
conforme aux exigences contenues dans certains textes comme
le règlement du C.R.B.F. n° 97-02 modifié relatif au contrôle
interne des établissements de crédit et des entreprises d'investissement
et l'accord Bâle II évoquant les " bonnes pratiques "
à mettre en œuvre pour la gestion et la surveillance du risque
opérationnel.
Dans le second cas, la liberté contractuelle a un rôle
plus important à jouer même si les prescriptions formulées pour
les établissements bancaires et financiers pourront être reprises
en substance.
Dans les deux cas, lorsqu'une entreprise fait appel
à un prestataire pour mettre en place un PCA, leur contrat nécessitera
une structure particulière. L'objet du contrat joue ici un rôle
éminemment directeur : la définition des " prestations essentielles
"[4], le périmètre et le contenu exact des prestations attendues.
Par définition, le PCA sera élaboré en fonction des risques
opérationnels propres à chaque entreprise. Une phase d'étude
et d'analyse de son environnement doit être préalablement effectuée,
permettant notamment la caractérisation des prestations essentielles
de l'entreprise. Il s'agit de ces prestations qui devront être
reprises dans les plus brefs délais et sur lesquelles l'essentiel
du contrat pèsera. Une obligation de résultat devrait peser
sur le prestataire pour celles-ci. Mais, quoi qu'il en soit,
il appartiendra au prestataire de respecter ses engagement et
de tout mettre en œuvre pour reprendre l'activité et éviter
une interruption qui pourrait causer un préjudice à l'entreprise
elle-même, à ses clients, ou encore à ses partenaires, que l'obligation
soit considérée comme de moyens ou de résultat. Le cœur même
d'un PCA est bien de continuer l'activité conformément aux engagements
(ex : respect du planning, …) !
D'autres clauses devront être particulièrement soignées. On
pense à ce sujet aux clauses d'assurance, de force majeure
(cette clause devrait se borner à une reprise de l'article 1148
du Code civil, ce qui implique d'exclure la pré-qualification
des cas de force majeure dans la clause ou la contrat), de
responsabilité (limitations et exonérations éventuelles)
ainsi que d'interopérabilité et de réversibilité des
prestations informatiques en cas de sinistre informatique lié
à une interruption d'activité. L'archivage et les procédures
de back-up sont bien évidemment inclus dans le PCA. Une autre
clause pourrait également avoir une importance certaine : la
clause relative à la mise en place d'un comité d'alerte
en cas d'arrêt de l'activité (nominations et fonctionnement).
Ce comité mettrait en place a priori les procédures d'urgence
à respecter par l'ensemble de la société (ex : installation
de cellules externes). Enfin, il serait bon de prévoir des mises
à jour régulières du PCA en fonction des évolutions du système
d'informations mais aussi de l'ensemble de l'organisation et
des procédures internes de l'entreprise.
II/ L'ENVIRONNEMENT
JURIDIQUE D'UN PCA
Dans une entreprise, la mise en place d'un PCA a pour but de
pallier les conséquences de l'arrêt de son activité, voire de
contribuer à l'éviter. Dans certains cas, en dépit de la prévention
des risques, le dommage survient et l'interruption de l'activité,
si courte soit-elle, pourra causer un préjudice à l'entreprise,
un partenaire ou un de ses clients. Or, les règles de droit
font reposer la responsabilité de tout dysfonctionnement au
sein de l'entreprise sur ses dirigeants. Une pratique fréquente
au sein des entreprises consiste en la délégation de pouvoirs
au profit de personnes compétentes ; elles doivent intervenir
dans le cadre du PCA (A). De plus, l'entreprise devra recourir
à une police d'assurance adaptée à ce type de dommages (B) et
mettre en place un code de déontologie et une charte de communication
de crise (C).
A) Délégation de pouvoir et Gouvernance
L'absence, la mauvaise exécution ou l'inexécution du PCA au
sein d'une entreprise peut engendrer de nombreux dommages. De
ce fait, la désignation des personnes responsables devra être
clairement opérée. Il faut donc nommer un responsable du PCA
et lui donner une délégation de pouvoir conforme aux règles
juridiques applicables.
Pour les établissements de crédit, il apparaît que les
obligations relatives à la continuité de l'activité pèsent essentiellement
sur la direction de l'entreprise. La mise en place de délégations
de pouvoir peut être un moyen de faire peser la responsabilité
de la mise en œuvre du PCA sur une personne au sein de l'entreprise.
Quel que soit le type de société mettant en place un PCA,
la délégation reste un acte de gestion permettant au représentant
légal de la personne morale de confier, au nom et pour le
compte de la société, à une personne qu'il investit d'un pouvoir
déterminé, le mandat de représenter la société dans les
limites de ses attributions. Cet outil est par conséquent indispensable
à une bonne gouvernance d'entreprise. Par principe, les
délégations, pour être valables juridiquement, doivent remplir
des conditions de forme et de fond [5] : délégation explicite (par
écrit de préférence), au profit d'un préposé de l'entreprise
ou du groupe d'entreprises, effective et justifiée au regard
de la taille de l'entreprise.
En ce qui concerne l'engagement de la responsabilité en présence
d'une délégation, il faut distinguer selon que l'on est en matière
civile ou pénale.
En matière civile, la responsabilité du dirigeant peut,
en principe, être engagée à raison des fautes ou des manquements
commis par ses préposés (article 1384 al. 5 du Code civil).
La mise en œuvre de ce principe est quasi-systématique et les
délégations de pouvoirs permettent le plus souvent d'atténuer
la condamnation des dirigeants[6]. En outre, certaines négligences
peuvent engager la responsabilité de l'entreprise ; tel est
le cas pour les modalités de révocation des délégations.
La société qui met fin aux fonctions d'un dirigeant doit révoquer
expressément tous les mandats que celui-ci a pu consentir à
des préposés de la société si elle entend ne plus être engagée
par une décision prise par l'ancien dirigeant[7]. Il est nécessaire
de prévoir la gestion juridique des délégations de pouvoirs.
En tout état de cause, il apparaît que, pour des raisons évidentes
de solvabilité, les responsabilités de l'entreprise et du dirigeant
seront les premières engagées.
En matière pénale, l'article 121-1 du Code pénal prévoit
que " nul n'est responsable que de son propre fait ".
Toutes personnes, y compris les personnes morales, seront considérées
comme pénalement responsables si leurs agissements ou leurs
manquements ont conduit à la commission d'une infraction. On
comprend alors l'intérêt pour le dirigeant de recourir à la
délégation de pouvoir. La responsabilité pénale des salariés
peut donc être retenue si les fautes ou manquements constitutifs
de l'infraction leur incombent personnellement et ont, le cas
échéant, un caractère intentionnel. Sauf le cas où le dirigeant
aurait personnellement pris part à l'infraction ou y aurait
consenti[8], et dès lors que la délégation remplie les conditions
nécessaires, le délégataire s'exposera alors seul à la responsabilité
pénale.
Si le risque pénal ne peut être assuré, la responsabilité civile
contractuelle ou délictuelle relative à l'inexécution d'un PCA
peut également entraîner d'importants coûts et faire l'objet
de polices d'assurance, qu'il faudra éventuellement négocier.
B) Assurance
Chaque entreprise est un cas particulier en termes de risques
et de couverture assurantielle.
Le coût résultant d'un arrêt de l'activité peut être prohibitif
pour différents types d'entreprises (matériel, dommages causés
à des clients et des prestataires). Il faut donc mettre en place
une couverture des risques, par le biais notamment du contrat
d'assurance ou de fonds propres suivant les options retenues
par l'entreprise[9]. Il existe de nombreux types d'assurance (assurance
des personnes, des biens, assurances spécifiques informatiques,
assurances des valeurs, des pertes financières, des responsabilités).
Le choix de l'assurance variera au cas par cas, en fonction
des risques identifiés dans le cadre d'une nomenclature interne
à l'entreprise. Il faudra donc pouvoir déterminer si ce risque
est couvert, à quelle hauteur, sous quelles réserves, le niveau
de franchise et le coût associé. Cette approche permettra ainsi
de déterminer la stratégie de l'entreprise en termes de PCA
(suivant qu'elle recourt à des fonds propres ou à un contrat
externe d'assurance).
C) Code de déontologie - Charte d'éthique et
de communication de crise
On peut noter également dans le cadre de cette approche déontologique
l'émergence de chartes éthiques, spécialement dans les établissements
de crédit. Ces chartes n'ont aucune valeur juridique en elles-mêmes
et se bornent le plus souvent dans le rappel de normes légales
et réglementaires ainsi que les principes de comportements sur
le lieu du travail, les règles de bonne conduite et de préservation
des intérêts des clients et des partenaires etc. Mais, si elles
sont annexées au contrat de travail des salariés ou introduites
dans le règlement intérieur de l'établissement, les chartes
sensibilisent et responsabilisent les acteurs de l'entreprise
au regard de la continuité de l'activité.
Enfin, il est important que l'entreprise dispose d'un plan de
communication de crise auquel, doivent s'ajouter des formations
adaptées permettant une meilleure sensibilisation des personnels
ainsi qu'une adhésion comportementale en cas de sinistre majeur.
Si les PCA relèvent du management des risques et de la gouvernance
des systèmes d'information, les enjeux juridiques ne doivent
pas être négligés, bien au contraire.
Notes
[1] Règlement du Comité de la Réglementation Bancaire et Financière
n°2004/02 en date du 8 janvier 2004, modifiant le Règlement
CRBF 97-02 en date du 21 février 1997 relatif au contrôle interne
des entreprises de crédit et d'investissement, ainsi que l'arrêté
du 31 mars 2005 modifiant le règlement du Comité de la réglementation
bancaire et financière n°97-02 du 21 février 1997 relatif au
contrôle interne des établissements de crédit et des entreprises
d'investissement, JO du 9 avril 2005, p. 6418 et s, v. pour
un commentaire de certains aspects de l'arrêté, Eric A. Caprioli,
Communication, Commerce électronique (éd. Lexis Nexis), octobre
2005, p.49 à 51.
[2] J.O n° 177 du 2 août 2003 p. 13220.
[3] V. égal. le Sarbanes-Oxley Act du 30 juillet 2002.
[4] L'art. 4 r) de l'arrêté du 31 mars 2005 (mod. le règlement
C.R.B.F. n° 97-02), J.O du 9 avril 2005, p. 6418.
[5] Sur la délégation de pouvoir, v. A. Cantéro, Délégations
de pouvoir et responsabilités en matière de communications électroniques,
Journal des Sociétés n°21, mai 2005, p. 39 et sur le site www.caprioli-avocats.com.
[6] Pour écarter cette règle, il faudrait en effet prouver que
la faute à l'origine du préjudice a été réalisée remplisse les
3 conditions cumulées suivantes : faute en dehors du cadre des
fonctions du délégataire, qu'il ait agi sans autorisation et
à des fins étrangères à ses attributions, et qu'il existe un
lien de causalité entre la faute commise par lui et le préjudice
subi par la victime qui s'en prévaut (Cass. Ass. Plén. 25 février
2000, Bull. Civ. n°2, p.3).
[7] Cass. com. 15 mars 2005, n° de pourvoi : 03-13032.
[8] V. notamment, Cass. crim., 20 mars 1995, Bull. crim. n°
114.
[9] L'arbitrage Fonds propres/assurance est essentiel dans le
cadre d'une approche stratégique liée au PCA.
|
|
