Risques informatiques: Leur gestion dans les projets numériques
André Henri Kuhn
André Henri Kuhn, MLaw/MBA, collaborateur juridique (Die Advokatur Sury AG) et chargé de cours à la Haute école de Lucerne (HSLU) et à la Haute école spécialisée à distance suisse (FFHS).
Ursula Sury
Ursula Sury, RA lic. Iur, avocate et propriétaire de Die Advokatur Sury AG. Vice-directrice de la Haute école de Lucerne - Informatique à Rotkreuz et responsable du domaine de la formation continue.
Aides de travail appropriées
Les risques en droit
La notion de risques existe dans le droit lui-même. On attend ainsi des grandes entreprises qu'elles procèdent, dans leur rapport annuel, à une évaluation des risques dans le cadre de la présentation des comptes et qu'elles l'annexent (art. 961c CO). Le Code suisse de bonnes pratiques pour la gouvernance d’entreprise renvoie également à l'exigence d'une gestion des risques et à la nécessité d’un système de contrôle interne (SCI). Les risques potentiels doivent également y être mentionnés et évalués.
Sont venues s’y ajouter, sous forme de guide, des normes contraignantes dans le domaine de l'informatique. On pourra par exemple procéder conformément aux directives du système de gestion de la sécurité de l'information (ISMS) selon ISO 27001.
Identifier les risques
Pour chaque modèle d'entreprise, il convient d'identifier en premier lieu les points faibles par rapport aux avantages escomptés. Les spécificités du modèle doivent donc être connues dans le détail. Dans un environnement numérique qui évolue rapidement, les risques de perte sont peut-être encore plus difficiles à appréhender. Difficile en effet de prévoir toutes les éventualités. Une telle analyse requiert donc que l’on y consacre suffisamment de temps, afin d’en avoir une vision globale et de pouvoir examiner tous les domaines et toutes les interfaces. Ce n'est qu’à ce prix que l’on pourra ensuite nommer tous les risques possibles.
Evaluer les risques
Le droit exige que les risques soient évalués selon le principe de prudence et qu'ils soient dûment prouvés (art. 958 al. 1 ch. 5 CO et art. 958 al. 2 CO). Les risques identifiés doivent être exprimés en argent. Chaque risque se voit donc attribuer un coût spécifique. S'il doit y avoir une fourchette de coûts, il faut toujours utiliser le montant maximal (ce qui relève du principe de prudence). Ce sont toujours les coûts complets qui doivent être pris en compte. Un montant total est attribué à chaque risque, lequel peut être déduit des coûts potentiels et des droits y relatifs. Dans le cas de projets et d'applications numériques, le défi réside précisément dans le fait qu'en cas de survenance de certains risques, l'ensemble du modèle d'entreprise peut être remis en question.
Retenir les probabilités
Lorsqu’un dommage survient, cela doit être de manière illicite. Est illicite toute atteinte injustifiée à un bien juridique protégé de manière absolue, comme la vie et l'intégrité corporelle, la propriété ou les droits de propriété intellectuelle (p. ex. droits d'auteur, droits de brevet, droits de marque et protection des designs). En revanche, la violation d'un bien juridique relativement protégé n'est illicite que si une norme protégeant spécifiquement ce bien a été violée. Parmi les justifications possibles, on mentionnera notamment la légitime défense ou le consentement de la personne lésée.
Carte des risques
Utilisation et définitions
Il est possible, à tout le moins dans le domaine contractuel, de limiter la responsabilité par des clauses d'exclusion spécifiques. Ce qui est d’ailleurs régulièrement le cas dans les contrats ou les conditions générales. On y précise en effet dans quels cas une responsabilité est assumée et où elle est refusée. On parle alors également de clauses d'exonération. Une partie tente de se «dégager» contractuellement de sa responsabilité, en totalité ou en partie. Une clause de non-responsabilité signifie qu’une partie contractante n'assume aucune responsabilité. Si un telle limitation de responsabilité il y a elle se réfère à une réduction de cette dernière, généralement par une limitation de son étendue.
On comprend par exemple qu’un fournisseur de logiciels souhaite réduire sa responsabilité, pour la bonne raison que même de petites erreurs peuvent avoir des conséquences graves en informatique, domaine où il est pratiquement impossible de travailler sans erreur. Les risques en matière de responsabilité doivent donc être analysés avec précision lors de l'élaboration d'un contrat et pris en compte dans la formulation des limitations de responsabilité.
Lire la suite avec 
- Accès illimité à plus de 500 aides de travail
- Tous les articles payants en accès illimité sur weka.ch
- Actualisation quotidienne
- Nouveaux articles et aides de travail hebdomadaires
- Offres spéciales exclusives
- Bons séminaires
- Invitations aux webinaires en direct
