Le temps nécessaire pour faire face à une cyberattaque nécessite une réponse rapide et l’adoption de mesures techniques immédiates pour tenter d’arrêter l’action des criminels et d’atténuer les dommages causés à l’organisation. Presque tous les protocoles incluent divers scénarios en fonction de la gravité des attaques, avec des guides d’action adaptés à chaque situation. De plus, les étapes à suivre une fois le contrôle repris sont détaillées, afin que des actions soient entreprises pour l’évaluation et le renforcement des plans d’urgence. Cependant, dans plus de cas que prévu, les conséquences juridiques qui peuvent découler de ces attaques sont laissées à l’arrière-plan.
Faire appel à un juriste dans la gestion des crises liées à une cyberattaque est fortement recommandé, notamment lors de l’évaluation des obligations administratives et de l’impact en termes de responsabilité civile que peut avoir l’action des attaquants. Le cybercriminel n’est pas le seul à devoir assumer la responsabilité juridique des actes qu’il a commis au cas où la police parviendrait à l’identifier et à l’arrêter.
L’entreprise choisit généralement de poursuivre pénalement les pirates informatiques en déposant une plainte. Dans ce cas, le conseiller juridique devra travailler main dans la main avec l’équipe technique pour obtenir des preuves permettant de prouver les crimes dont les auteurs sont accusés. En outre, il est conseillé d’analyser la responsabilité des prestataires de services informatiques, au cas où il serait possible de réclamer des dommages et intérêts.
Cependant, au-delà des dommages économiques et réputationnels qu’une cyberattaque peut causer, il faut tenir compte du fait que l’entreprise qui a été la cible de ces actions criminelles pourrait également avoir à répondre des conséquences subies par des tiers, tant civils, administratifs et même criminels.
Responsabilité juridique en cas de cyberattaque
Dans le premier cas, elle peut être amenée à faire l’objet d’une procédure judiciaire en responsabilité civile à l’encontre des clients et des utilisateurs. D’une part, il y a la responsabilité contractuelle, par exemple, pour l’interruption du service offert à la suite de l’attaque informatique. Le produit ou le service offert par l’entreprise qui a fait l’objet de l’intrusion ne peut pas être livré avec la qualité requise ou, directement, être suspendu, de sorte que les clients pourraient réclamer une indemnisation pour dommages et intérêts, en raison de la violation du contrat.
Dans ce cas, les plaignants doivent prouver que les dommages qu’ils ont subis sont directement liés à l’absence de fourniture du service. Et, pour sa part, la société défenderesse doit s’efforcer de démontrer que l’un des cas d’exonération de responsabilité s’est produit et prouver qu’elle a agi avec diligence dans l’application des mesures de sécurité appropriées dans ses systèmes.
Mais ce n’est pas tout. Il y a aussi la responsabilité non contractuelle, lorsque les personnes touchées par la non-fourniture du produit ou du service à la suite de la cyberattaque sont d’autres personnes qui n’ont pas signé de contrat avec l’entreprise victime des cybercriminels. La responsabilité de l’entreprise pourrait être engagée du fait qu’elle est tenue de ne pas causer de dommages à autrui. En d’autres termes, des situations de responsabilité en « cascade » peuvent survenir. Les preuves seront essentielles et dépendront également du fait que l’attaque a été perpétrée par des cybercriminels extérieurs à l’entité. À cet égard, il sera d’une grande aide si les entreprises ont une assurance responsabilité civile.
Que se passe-t-il si les personnes concernées sont des personnes morales ? S’il s’agit d’intermédiaires commerciaux, les dispositions du Code de commerce doivent également être prises en compte, en particulier celles qui ont trait à des manquements contractuels, de sorte que l’entreprise attaquée pourrait avoir à assumer les réclamations soulevées par les clients finaux de ces sociétés intermédiaires.
Autres conséquences juridiques
Selon le secteur de l’entreprise qui a subi la cyberattaque, il peut y avoir une responsabilité légale conformément à la réglementation spécifique du secteur industriel dans lequel l’organisation exerce son activité ou si elle est considérée comme un opérateur critique. Également en raison de la législation territoriale du lieu où l’entreprise exerce son activité. Dans tous les cas, les autorités peuvent déterminer qu’il y a eu un certain type d’infraction et imposer les amendes correspondantes.
En revanche, il faudra prendre connaissance de la réglementation sur la protection des données personnelles si, par exemple, il y a eu une fuite qui a affecté ce type d’informations. La responsabilité administrative de l’entreprise s’il s’avère qu’elle a manqué à son devoir de diligence ou qu’elle a manqué à ses obligations en tant que responsable de traitement et qu’elle n’a pas adopté les mesures techniques et organisationnelles proportionnées et appropriées pour la sécurité des données à caractère personnel. Il faudra déterminer si l’absence, l’insuffisance ou l’inefficacité des mesures a permis d’accéder illégalement et de voler des données personnelles. Si un sous-traitant a été engagé, il faudra également déterminer si la responsabilité doit lui être imputée et, donc, s’il doit répondre de l’infraction et sanctionner.
Un autre aspect décisif se produit lorsqu’il y a une faille de sécurité. Dans ces cas, l’entreprise concernée doit tenir compte de l’obligation de notifier la violation de sécurité non seulement à l’Agence espagnole de protection des données (AEPD), mais aussi aux propriétaires des données personnelles qui ont été divulguées.
Enfin, il pourrait également y avoir une responsabilité pénale. Il se peut que la personne morale ait eu la qualité de partie lésée, mais qu’elle soit aussi pénalement responsable du fait des mêmes faits : la cyberattaque.
Source : Ciberataques: las empresas no deben olvidar el frente legal