Citation : Eric A. Caprioli, Plan de continuité d'activité des systèmes d'information : aspects juridiques, www.caprioli-avocats.com Première publication : octobre 2005 Plan de continuité d'activité des systèmes d'information : aspects juridiques Par Eric A. Caprioli, Docteur en droit, Avocat à la Cour de Paris contact@caprioli-avocats.com
Plan I/ ASPECTS CONTRACTUELS A) Les clauses dans les contrats de prestations de services B) Le contrat spécifique de PCA II/ L'ENVIRONNEMENT JURIDIQUE D'UN PCA A) Délégation de pouvoir et Gouvernance B) Assurance C) Code de déontologie - Charte d'éthique et de communication de crise Notes
Les événements font fréquemment avancer la technique, mais également le droit. Après l'incendie du crédit lyonnais en 1996, les attentats du 11 septembre 2001 sont emblématiques de ce constat. Outre les mesures d'ordre sécuritaire en découlant directement ou indirectement, ce drame a mis l'accent sur la nécessité de mettre en place des plans de continuité d'activité. A New York, seules les entreprises munies d'un plan de continuité d'activité efficient ont pu limiter les pertes dues à cette catastrophe. La continuation de l'activité " envers et contre tout " est ainsi apparue comme une donnée essentielle de l'économie actuelle. A cet effet, les Plans de Secours Informatiques (PSI), les Plans de Reprise d'Activité (PRA) et les Plans de Continuité d'Activité (PCA) doivent être considérés comme des manifestations de cette même réalité. Ils se sont multipliés dans de nombreuses entreprises, à la fois pour "prévoir l'imprévisible" et pour répondre à certaines exigences légales. Selon l'article 4 n) du règlement CRBF 97-02 modifié[1], le Plan de Continuité de l'Activité est, pour les établissements financiers, l'" ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l'entreprise puis la reprise planifiée des activités ". Ainsi, depuis 1997, les documents visant à assurer la continuité de l'activité dans les banques et dans les établissements financiers n'ont cessé de s'étoffer. Cette préoccupation n'intéresse pas que la cible première, visée par ces textes d'origine bancaire mais devrait, au contraire, se généraliser dans un proche avenir à l'ensemble des grandes, voire moyennes entreprises. En effet, l'article L. 225-37 du Code de commerce (complété par la loi n°2003-706 du 1er août 2003[2]), applicable aux sociétés anonymes cotées ou non, prévoit que " Le président du conseil d'administration rend compte […] des conditions de préparation et d'organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la société. "[3]. Ces obligations laissent augurer un même mouvement pour les plans de continuation d'activité et donc des obligations identiques pour les sociétés d'une certaine importance financière. Le PCA participe d'une bonne politique de gestion des risques. Cependant, pour l'instant, rares sont encore les entreprises qui prennent en compte ces questions sous l'angle juridique. Il convient donc de déterminer les impacts que le PCA peut avoir en matière contractuelle (I) mais également dans son contexte juridique (II). I/ ASPECTS CONTRACTUELS Le développement des PCA entraînera vraisemblablement l'élaboration de nouveaux instruments contractuels. Ainsi, les contrats traditionnels de services informatiques devraient intégrer de nouvelles clauses (ou des avenants) relatives à la continuation de l'activité et des annexes techniques (A). Mais, l'édiction et la mise en œuvre d'un PCA pourraient également donner lieu à la rédaction d'un nouveau type de contrat de prestations informatique (B), étant précisé que la nature juridique du contrat demeure un contrat d'entreprise (ou de louage d'ouvrage) au sens du code civil.
A) Les clauses dans les contrats de prestations de services La continuation d'activité est protéiforme, à la fois technique (matérielle et logique) et organisationnelle. En cas d'externalisation d'activité auprès d'un prestataire (archivage notamment), le contrat le liant au client devra prévoir des clauses spécifiques pour poursuivre son activité même en présence d'un sinistre (physique comme informatique). Toute absence ou défaillance dans la mise en place du plan de continuité d'activité pourrait engager la responsabilité de ce prestataire pour manquement à une engagement de résultat, lorsque les parties ont fait de la reprise d'activité une prestation essentielle de leur relation. Dans le cas contraire, une simple obligation de moyens devrait alors peser sur celui qui s'oblige. Concernant ces deux hypothèses, les cocontractants pourraient s'accorder sur un délai de reprise d'activité, variable en fonction des besoins et possibilités de chacun, et au-delà duquel l'entreprise partenaire estimera avoir subi un préjudice. Les prestations entourant une même prestation globale sont souvent liées. Pour cette raison, l'intégration d'un dispositif contractuel limitant la propagation des effets de l'interruption d'activité d'une composante du processus global pourrait constituer une mesure préventive efficace et un bon moyen de distinguer les obligations et responsabilités de chacun. B) Le contrat spécifique de PCA Une distinction doit être effectuée a priori suivant que l'entreprise est ou non un établissement financier ou bancaire. Dans le premier cas, le contenu du contrat devra être conforme aux exigences contenues dans certains textes comme le règlement du C.R.B.F. n° 97-02 modifié relatif au contrôle interne des établissements de crédit et des entreprises d'investissement et l'accord Bâle II évoquant les " bonnes pratiques " à mettre en œuvre pour la gestion et la surveillance du risque opérationnel. Dans le second cas, la liberté contractuelle a un rôle plus important à jouer même si les prescriptions formulées pour les établissements bancaires et financiers pourront être reprises en substance. Dans les deux cas, lorsqu'une entreprise fait appel à un prestataire pour mettre en place un PCA, leur contrat nécessitera une structure particulière. L'objet du contrat joue ici un rôle éminemment directeur : la définition des " prestations essentielles "[4], le périmètre et le contenu exact des prestations attendues. Par définition, le PCA sera élaboré en fonction des risques opérationnels propres à chaque entreprise. Une phase d'étude et d'analyse de son environnement doit être préalablement effectuée, permettant notamment la caractérisation des prestations essentielles de l'entreprise. Il s'agit de ces prestations qui devront être reprises dans les plus brefs délais et sur lesquelles l'essentiel du contrat pèsera. Une obligation de résultat devrait peser sur le prestataire pour celles-ci. Mais, quoi qu'il en soit, il appartiendra au prestataire de respecter ses engagement et de tout mettre en œuvre pour reprendre l'activité et éviter une interruption qui pourrait causer un préjudice à l'entreprise elle-même, à ses clients, ou encore à ses partenaires, que l'obligation soit considérée comme de moyens ou de résultat. Le cœur même d'un PCA est bien de continuer l'activité conformément aux engagements (ex : respect du planning, …) ! D'autres clauses devront être particulièrement soignées. On pense à ce sujet aux clauses d'assurance, de force majeure (cette clause devrait se borner à une reprise de l'article 1148 du Code civil, ce qui implique d'exclure la pré-qualification des cas de force majeure dans la clause ou la contrat), de responsabilité (limitations et exonérations éventuelles) ainsi que d'interopérabilité et de réversibilité des prestations informatiques en cas de sinistre informatique lié à une interruption d'activité. L'archivage et les procédures de back-up sont bien évidemment inclus dans le PCA. Une autre clause pourrait également avoir une importance certaine : la clause relative à la mise en place d'un comité d'alerte en cas d'arrêt de l'activité (nominations et fonctionnement). Ce comité mettrait en place a priori les procédures d'urgence à respecter par l'ensemble de la société (ex : installation de cellules externes). Enfin, il serait bon de prévoir des mises à jour régulières du PCA en fonction des évolutions du système d'informations mais aussi de l'ensemble de l'organisation et des procédures internes de l'entreprise.
II/ L'ENVIRONNEMENT JURIDIQUE D'UN PCA Dans une entreprise, la mise en place d'un PCA a pour but de pallier les conséquences de l'arrêt de son activité, voire de contribuer à l'éviter. Dans certains cas, en dépit de la prévention des risques, le dommage survient et l'interruption de l'activité, si courte soit-elle, pourra causer un préjudice à l'entreprise, un partenaire ou un de ses clients. Or, les règles de droit font reposer la responsabilité de tout dysfonctionnement au sein de l'entreprise sur ses dirigeants. Une pratique fréquente au sein des entreprises consiste en la délégation de pouvoirs au profit de personnes compétentes ; elles doivent intervenir dans le cadre du PCA (A). De plus, l'entreprise devra recourir à une police d'assurance adaptée à ce type de dommages (B) et mettre en place un code de déontologie et une charte de communication de crise (C). A) Délégation de pouvoir et Gouvernance L'absence, la mauvaise exécution ou l'inexécution du PCA au sein d'une entreprise peut engendrer de nombreux dommages. De ce fait, la désignation des personnes responsables devra être clairement opérée. Il faut donc nommer un responsable du PCA et lui donner une délégation de pouvoir conforme aux règles juridiques applicables. Pour les établissements de crédit, il apparaît que les obligations relatives à la continuité de l'activité pèsent essentiellement sur la direction de l'entreprise. La mise en place de délégations de pouvoir peut être un moyen de faire peser la responsabilité de la mise en œuvre du PCA sur une personne au sein de l'entreprise. Quel que soit le type de société mettant en place un PCA, la délégation reste un acte de gestion permettant au représentant légal de la personne morale de confier, au nom et pour le compte de la société, à une personne qu'il investit d'un pouvoir déterminé, le mandat de représenter la société dans les limites de ses attributions. Cet outil est par conséquent indispensable à une bonne gouvernance d'entreprise. Par principe, les délégations, pour être valables juridiquement, doivent remplir des conditions de forme et de fond [5] : délégation explicite (par écrit de préférence), au profit d'un préposé de l'entreprise ou du groupe d'entreprises, effective et justifiée au regard de la taille de l'entreprise. En ce qui concerne l'engagement de la responsabilité en présence d'une délégation, il faut distinguer selon que l'on est en matière civile ou pénale. En matière civile, la responsabilité du dirigeant peut, en principe, être engagée à raison des fautes ou des manquements commis par ses préposés (article 1384 al. 5 du Code civil). La mise en œuvre de ce principe est quasi-systématique et les délégations de pouvoirs permettent le plus souvent d'atténuer la condamnation des dirigeants[6]. En outre, certaines négligences peuvent engager la responsabilité de l'entreprise ; tel est le cas pour les modalités de révocation des délégations. La société qui met fin aux fonctions d'un dirigeant doit révoquer expressément tous les mandats que celui-ci a pu consentir à des préposés de la société si elle entend ne plus être engagée par une décision prise par l'ancien dirigeant[7]. Il est nécessaire de prévoir la gestion juridique des délégations de pouvoirs. En tout état de cause, il apparaît que, pour des raisons évidentes de solvabilité, les responsabilités de l'entreprise et du dirigeant seront les premières engagées. En matière pénale, l'article 121-1 du Code pénal prévoit que " nul n'est responsable que de son propre fait ". Toutes personnes, y compris les personnes morales, seront considérées comme pénalement responsables si leurs agissements ou leurs manquements ont conduit à la commission d'une infraction. On comprend alors l'intérêt pour le dirigeant de recourir à la délégation de pouvoir. La responsabilité pénale des salariés peut donc être retenue si les fautes ou manquements constitutifs de l'infraction leur incombent personnellement et ont, le cas échéant, un caractère intentionnel. Sauf le cas où le dirigeant aurait personnellement pris part à l'infraction ou y aurait consenti[8], et dès lors que la délégation remplie les conditions nécessaires, le délégataire s'exposera alors seul à la responsabilité pénale. Si le risque pénal ne peut être assuré, la responsabilité civile contractuelle ou délictuelle relative à l'inexécution d'un PCA peut également entraîner d'importants coûts et faire l'objet de polices d'assurance, qu'il faudra éventuellement négocier.
B) Assurance Chaque entreprise est un cas particulier en termes de risques et de couverture assurantielle. Le coût résultant d'un arrêt de l'activité peut être prohibitif pour différents types d'entreprises (matériel, dommages causés à des clients et des prestataires). Il faut donc mettre en place une couverture des risques, par le biais notamment du contrat d'assurance ou de fonds propres suivant les options retenues par l'entreprise[9]. Il existe de nombreux types d'assurance (assurance des personnes, des biens, assurances spécifiques informatiques, assurances des valeurs, des pertes financières, des responsabilités). Le choix de l'assurance variera au cas par cas, en fonction des risques identifiés dans le cadre d'une nomenclature interne à l'entreprise. Il faudra donc pouvoir déterminer si ce risque est couvert, à quelle hauteur, sous quelles réserves, le niveau de franchise et le coût associé. Cette approche permettra ainsi de déterminer la stratégie de l'entreprise en termes de PCA (suivant qu'elle recourt à des fonds propres ou à un contrat externe d'assurance).
C) Code de déontologie - Charte d'éthique et de communication de crise On peut noter également dans le cadre de cette approche déontologique l'émergence de chartes éthiques, spécialement dans les établissements de crédit. Ces chartes n'ont aucune valeur juridique en elles-mêmes et se bornent le plus souvent dans le rappel de normes légales et réglementaires ainsi que les principes de comportements sur le lieu du travail, les règles de bonne conduite et de préservation des intérêts des clients et des partenaires etc. Mais, si elles sont annexées au contrat de travail des salariés ou introduites dans le règlement intérieur de l'établissement, les chartes sensibilisent et responsabilisent les acteurs de l'entreprise au regard de la continuité de l'activité. Enfin, il est important que l'entreprise dispose d'un plan de communication de crise auquel, doivent s'ajouter des formations adaptées permettant une meilleure sensibilisation des personnels ainsi qu'une adhésion comportementale en cas de sinistre majeur. Si les PCA relèvent du management des risques et de la gouvernance des systèmes d'information, les enjeux juridiques ne doivent pas être négligés, bien au contraire.
Notes [1] Règlement du Comité de la Réglementation Bancaire et Financière n°2004/02 en date du 8 janvier 2004, modifiant le Règlement CRBF 97-02 en date du 21 février 1997 relatif au contrôle interne des entreprises de crédit et d'investissement, ainsi que l'arrêté du 31 mars 2005 modifiant le règlement du Comité de la réglementation bancaire et financière n°97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d'investissement, JO du 9 avril 2005, p. 6418 et s, v. pour un commentaire de certains aspects de l'arrêté, Eric A. Caprioli, Communication, Commerce électronique (éd. Lexis Nexis), octobre 2005, p.49 à 51. [2] J.O n° 177 du 2 août 2003 p. 13220. [3] V. égal. le Sarbanes-Oxley Act du 30 juillet 2002. [4] L'art. 4 r) de l'arrêté du 31 mars 2005 (mod. le règlement C.R.B.F. n° 97-02), J.O du 9 avril 2005, p. 6418. [5] Sur la délégation de pouvoir, v. A. Cantéro, Délégations de pouvoir et responsabilités en matière de communications électroniques, Journal des Sociétés n°21, mai 2005, p. 39 et sur le site www.caprioli-avocats.com. [6] Pour écarter cette règle, il faudrait en effet prouver que la faute à l'origine du préjudice a été réalisée remplisse les 3 conditions cumulées suivantes : faute en dehors du cadre des fonctions du délégataire, qu'il ait agi sans autorisation et à des fins étrangères à ses attributions, et qu'il existe un lien de causalité entre la faute commise par lui et le préjudice subi par la victime qui s'en prévaut (Cass. Ass. Plén. 25 février 2000, Bull. Civ. n°2, p.3). [7] Cass. com. 15 mars 2005, n° de pourvoi : 03-13032. [8] V. notamment, Cass. crim., 20 mars 1995, Bull. crim. n° 114. [9] L'arbitrage Fonds propres/assurance est essentiel dans le cadre d'une approche stratégique liée au PCA.
