Français English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fr/header.php</b> on line <b>103</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Risque de perte de données et responsabilité légale des opérateurs de systèmes

Risque de perte de données et responsabilité légale des opérateurs de systèmes

IT

Risque de perte de données et responsabilité légale des opérateurs de systèmes

Il peut arriver que les entreprises rencontrent des problèmes où des informations d’entreprise cruciales stockées dans leurs bases de données sont perdues en raison de circonstances imprévues. Dans de tels cas, si l’entreprise a sous-traité ses opérations de système à un prestataire externe, est-il juridiquement possible de tenir ce dernier responsable ?

Cet article expliquera où réside la responsabilité juridique en cas de perte d’informations dans une entreprise.

Qu’est-ce que l'”exploitation” dans les systèmes IT ?

Dans les systèmes IT, l'”exploitation” peut être simplement définie comme le travail consistant à “continuer à utiliser le système existant comme auparavant”. Un système que les ingénieurs IT et les programmeurs ont nouvellement créé (c’est-à-dire développé) n’est pas quelque chose qui se termine une fois qu’il a été créé. Par exemple, si vous voulez exécuter une opération qui ne peut pas être exécutée à partir de l’écran, vous pouvez envisager de connecter un ordinateur à la base de données et d’entrer directement le langage informatique (comme SQL) (par exemple, l’extraction ou la modification de données qui ne peuvent pas être exécutées à partir de l’écran).

Ces tâches d’exploitation sont souvent plus faciles à standardiser, par exemple en préparant des manuels de procédures, par rapport au travail de mise en œuvre de nouveaux programmes, et sont donc souvent plus faciles à externaliser à des prestataires externes.

Cependant, même si ces tâches sont faciles à standardiser, le fait qu’elles impliquent l’opération directe des bases de données gérées par l’entreprise signifie qu’elles sont souvent à proximité d’incidents majeurs. Il convient de garder à l’esprit que les risques de fuite ou de perte d’informations détenues par l’entreprise peuvent augmenter considérablement si l’externalisation est poursuivie sans tenir compte de la gravité des responsabilités associées à ces tâches.

Le risque de perte d’informations est plus proche qu’on ne le pense

Il existe plusieurs types de bases de données utilisées par les entreprises, mais en réalité, elles sont toutes une forme de logiciel. Et les opérations d’extraction, de modification, d’ajout et de suppression des données gérées sont généralement effectuées à l’aide d’un langage informatique appelé SQL.

L’importance du droit

Il existe différents types de travail pour les techniciens impliqués dans les systèmes informatiques, tels que le développement, l’exploitation et la maintenance. Ce qui est commun à ces emplois, c’est qu’ils impliquent principalement la manipulation d’entités abstraites telles que les “données” et les “langages informatiques”. Par conséquent, même si l’apparence du travail effectué peut sembler insignifiante, comme une simple erreur de clic ou une petite erreur de saisie, l’impact de cette erreur peut se propager bien au-delà de ce que l’on peut anticiper. Cette prémisse fondamentale doit être reconnue par tous ceux qui travaillent avec des systèmes, qu’ils soient des experts en technologie de l’information ou non. Par nature, si un problème survient dans un travail impliquant des systèmes, son impact se propage souvent instantanément au-delà du département concerné et même au-delà des frontières de l’entreprise. L’importance du droit dans les systèmes peut être expliquée de manière uniforme à la fois du point de vue du donneur d’ordre et du contractant.

Risque de perte de données d’entreprise

Prenons un exemple un peu plus terre-à-terre. La requête SQL pour supprimer toutes les données d’une table n’est qu’une seule ligne : “TRUNCATE”. Lorsqu’on réfléchit au risque de perte de données pour une entreprise, il n’est pas si important de connaître parfaitement la syntaxe SQL ou la manière d’opérer le logiciel de base de données. Cependant, il est important de reconnaître que même la suppression de toutes les données stockées par une entreprise peut être aussi simple que cela. Cette prise de conscience de la réalité pourrait bien être le point de départ pour réfléchir au risque de perte de données pour une entreprise.

Il est vrai que les opérations sont souvent standardisées et que si elles sont effectuées correctement, il n’y a généralement pas de problème. Cependant, en même temps, si les procédures ne sont pas suivies et qu’une situation irrégulière se produit, l’importance du droit devient évidente.

Qui est légalement responsable en cas de perte d’informations ?

Quelle est la responsabilité légale en cas de perte de données accidentelle ?

La nature juridique du travail des opérateurs

Alors, en cas de perte de données due à un incident imprévu et sans moyen de récupération, à qui revient la responsabilité légale ? Ci-dessous, nous analyserons ces incidents d’un point de vue juridique.

Il est difficile de faire valoir l’obligation de garde basée sur le contrat de dépôt

L’une des théories envisagées pour questionner la responsabilité des opérateurs qui gèrent les données est de faire valoir l’obligation de diligence dans la garde basée sur un contrat de dépôt rémunéré. Pour simplifier, c’est comme si on poursuivait la responsabilité de l’opérateur qui a accepté de garder des objets dans un casier payant et qui a perdu ces objets, en se demandant si on ne pourrait pas poursuivre la responsabilité de la perte de “données”. Cependant, tout comme pour l’obligation de garde des “objets”, il n’est pas réaliste de penser que l’obligation de garde des “données” découle naturellement en vertu de la loi actuelle.

Cela dépend du contenu spécifique du contrat

En fin de compte, la question de savoir “qui est responsable de la garde des données” est difficile à résoudre de manière uniforme sur la base des dispositions du droit civil. Par conséquent, la réponse est probablement “cela dépend de ce qui est stipulé dans le contrat spécifique”.

Et la question de savoir “quel était le contenu du contrat” n’est pas seulement déterminée par le contrat lui-même, mais aussi par les procès-verbaux des réunions, etc. L’importance des procès-verbaux est expliquée en détail dans l’article ci-dessous.

https://monolith-law.jp/corporate/the-minutes-in-system-development[ja]

Il est difficile de poursuivre la responsabilité pour acte illicite de la part de tiers autres que les contractants

Il est clairement établi dans la jurisprudence qu’il est impossible de poursuivre la responsabilité pour acte illicite de la part de tiers sans relation contractuelle. Dans un cas de jurisprudence, la question de savoir si un utilisateur pouvait demander des dommages-intérêts sur la base d’un acte illicite en cas de perte de données dans un service de serveur de location a été soulevée.

Un exemple typique d’acte illicite est un accident de la circulation. Par exemple, si une personne est blessée à cause de la négligence du conducteur dans un accident de voiture, elle est responsable non seulement au pénal mais aussi au civil. Même entre étrangers, il est possible d’engager une responsabilité pour dommages-intérêts sans avoir conclu un contrat stipulant “ne pas heurter une personne avec une voiture”. Sur la base de ce cadre de responsabilité pour acte illicite, la question de savoir s’il était possible de poursuivre la responsabilité pour la perte de données, même si l’autre partie n’avait pas de relation contractuelle directe, a été débattue.

Cependant, le tribunal a souligné les caractéristiques de l’information numérique et a indiqué qu’il était difficile de supposer l’existence de telles obligations.

Un serveur n’est pas infaillible et peut rencontrer des problèmes qui entraînent la perte de programmes, etc. Cependant, les programmes sont des informations numériques qui peuvent être facilement copiées, et si l’utilisateur a enregistré et sauvegardé ces informations, il peut redémarrer le programme même en cas de perte. C’est un fait largement connu (selon l’ensemble des arguments présentés), et les plaignants auraient pu facilement prendre des mesures pour prévenir la perte du programme et des données en question. Compte tenu de la situation des deux parties, il n’y a aucune raison ni nécessité d’imposer à l’accusé, qui installe et gère le serveur en question, l’obligation de prévenir la perte des enregistrements des plaignants. (Omission) Les plaignants soutiennent que le contrat de location de serveur a la nature d’un contrat de dépôt concernant les programmes ou les données de tiers, et que sur cette base, l’accusé, en tant que fournisseur de services de location de serveurs, a l’obligation de diligence envers tous ceux qui stockent des enregistrements sur le serveur en question, et plus précisément, l’obligation de ne pas perdre les enregistrements sur le serveur. Ils soutiennent que le fait que l’accusé ait perdu les enregistrements des plaignants stockés sur le serveur en question viole cette obligation de prévention de la perte.


Cependant, l’accusé n’a conclu qu’un contrat d’utilisation de services d’hébergement de serveurs partagés avec l’utilisateur A, et il n’y a pas de relation contractuelle entre l’accusé et les plaignants, et on ne peut pas dire que le stockage du programme et des données en question sur le serveur en question ait la nature d’un contrat de dépôt. Par conséquent, il est difficile de trouver une base pour dire que l’accusé a une obligation de diligence en vertu de la loi sur les actes illicites envers les plaignants, avec lesquels il n’a pas de relation contractuelle, concernant les enregistrements stockés sur le serveur en question. Par conséquent, le simple fait que l’accusé soit un fournisseur de services de location de serveurs ne signifie pas qu’il a nécessairement une obligation de diligence envers les tiers sans relation contractuelle concernant les enregistrements stockés sur le serveur en question, ou une obligation de prévenir la perte des enregistrements.

Tribunal de district de Tokyo, 20 mai 2009 (Heisei 21)

Ce jugement indique qu’il n’est pas approprié de supposer l’existence d’une “obligation de ne pas effacer les données” à l’égard d’un tiers (le demandeur) sans relation contractuelle directe. Ce jugement a attiré une certaine attention en tant que cas potentiellement directeur pour des affaires similaires à l’avenir.

En conclusion, il est souvent “difficile” de poursuivre la responsabilité

En pratique, dans le cas des contrats couramment utilisés, il n’est pas très courant d’avoir des contrats qui stipulent que l’opérateur est responsable de la garde et de la sauvegarde des données. Au contraire, la majorité écrasante des contrats stipule que c’est la responsabilité de l’utilisateur (c’est-à-dire de l’entreprise cliente).

Par conséquent, à moins qu’un accord particulier n’ait été conclu, il serait extrêmement difficile, d’un point de vue juridique, de considérer que l’opérateur du système a l’obligation de prendre des mesures pour prévenir la perte de données.

Que faire pour se préparer au risque de perte d’informations

Toujours sauvegarder pour prévenir la perte de données.

En fin de compte, le risque de perte d’informations que les entreprises encourent concerne principalement les informations que ces entreprises stockent elles-mêmes. Par conséquent, il est probable que la manière dont elles prennent en compte ce risque de perte et le type de système de stockage qu’elles mettent en place soient des questions que l’entreprise elle-même doit décider.

De plus, même si la responsabilité de l’entreprise est reconnue, il est possible que la compensation des dommages ne soit pas entièrement accordée en raison d’une compensation pour négligence. Il y a eu des cas dans le passé où, dans des affaires où le défendeur, qui avait gardé les données du demandeur sur son serveur, avait effacé ces données, le fait que le demandeur n’avait pas sauvegardé ses données a été considéré comme une “négligence”, et une compensation pour négligence a été accordée.

Le demandeur aurait pu facilement prendre des mesures de sauvegarde pour le contenu du fichier en question, et aurait pu prévenir l’apparition de dommages ou réduire les dommages à un niveau très faible, mais il est reconnu que le demandeur n’avait conservé aucune donnée du fichier en question au moment de l’accident de disparition.

Par conséquent, dans cette affaire, il convient d’appliquer la disposition de compensation pour négligence en tenant compte de ce point pour déterminer le montant de la responsabilité de l’accusé pour les dommages, ce qui est conforme à l’idée d’équité en matière de droit à l’indemnisation des dommages.

En revanche, le demandeur soutient qu’il était impossible pour lui de prévoir que le fichier en question serait effacé du serveur par le défendeur, qui est un fournisseur de services, et qu’il ne pouvait pas être tenu de prévoir cela, donc il ne peut pas être reconnu qu’il avait une obligation légale de sauvegarder, et que son inaction ne peut pas être considérée comme une négligence au sens juridique, et il soutient que l’application de la compensation pour négligence doit être refusée.

Cependant, pour appliquer la compensation pour négligence, il suffit de reconnaître que le demandeur pouvait prévoir la possibilité de la disparition du fichier en question, et il n’est pas nécessaire de prévoir la possibilité que le fichier en question disparaisse en raison de la violation de l’obligation de diligence de l’accusé.

Dans cette affaire, il est clair que le demandeur était conscient du risque d’intrusion de hackers, etc., sur la page d’accueil, et le demandeur reconnaît qu’il y a un risque de modification et de destruction de l’information dans la communication sur Internet, et que ce risque était prévisible, donc il est jugé que le demandeur avait prévu le risque de disparition du fichier en question en raison de causes spécifiques à la communication sur Internet, et la possibilité de prévoir la disparition du fichier en question est suffisamment affirmée, et il n’y a aucun obstacle à l’application de la compensation pour négligence.

Jugement du tribunal de district de Tokyo, 28 septembre 2001 (Heisei 13)

Dans ce cas, “étant donné que vous n’avez pas sauvegardé, vous auriez pu prévoir le risque de disparition du fichier pour une raison quelconque, comme une intrusion de hackers, etc., et donc il y a une application de compensation pour négligence”, et le montant des dommages a été réduit de moitié.

Résumé

Bien que cela ne soit pas limité aux risques de perte de données, lorsqu’on externalise les systèmes, les utilisateurs ont tendance à se soucier uniquement de la sensation opérationnelle du côté de l’écran, et souvent, la gouvernance de l’organisation ne s’étend pas jusqu’à la zone de base de données stockée en arrière-plan.

Cependant, les précédents judiciaires suggèrent que nous ne devrions pas considérer ces questions comme étant “l’affaire des autres”. En d’autres termes, il est nécessaire de prendre conscience que la mise en place d’un système de gestion qui tient compte des risques de perte d’informations, comme la sauvegarde des données, est avant tout une question qui concerne l’utilisateur (à l’intérieur de l’entreprise).

Les précédents judiciaires suggèrent que le fait de ne pas se préparer à de tels risques pourrait entraîner des situations irréversibles, et devraient être compris comme un avertissement de la nécessité de prévention. Ne serait-ce pas ainsi que nous devrions les interpréter ?

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Quelles sont les méthodes pour résilier un contrat dans le développement de systèmes ?

Quelles sont les méthodes pour résilier un contrat dans le développement de systèmes ?

IT

Le Ministère de la Justice annonce des lignes directrices sur la relation entre les services de soutien aux activités liées aux contrats d'IA et l'article 72 de la loi sur les avocats (Japanese 'Bengoshi-hō')

Le Ministère de la Justice annonce des lignes directrices sur la relation entre les services de .

IT

Qu'est-ce que la médiation civile en tant que moyen de résoudre les conflits de développement de systèmes ?

Qu'est-ce que la médiation civile en tant que moyen de résoudre les conflits de développement de.

IT

Quelles sont les mesures à prendre lorsque le développement du système est interrompu en raison des circonstances de l'utilisateur?

Quelles sont les mesures à prendre lorsque le développement du système est interrompu en raison .

IT

Qu'est-ce que le prêt de crypto-actifs ? Explication sur deux points juridiques

Qu'est-ce que le prêt de crypto-actifs ? Explication sur deux points juridiques

IT

Qu'est-ce qu'un contrat à plusieurs étapes dans le développement de systèmes? Explication en tenant compte des raisons recommandées

Qu'est-ce qu'un contrat à plusieurs étapes dans le développement de systèmes? Explication en ten.

IT

La distinction et la différence entre le contrat d'entreprise et le contrat de quasi-mandat dans le développement de systèmes

La distinction et la différence entre le contrat d'entreprise et le contrat de quasi-mandat dans.

IT

Qu'est-ce que la manière de conserver les procès-verbaux dans le développement de systèmes du point de vue juridique?

Qu'est-ce que la manière de conserver les procès-verbaux dans le développement de systèmes du po.

IT

Qu'est-ce que la gouvernance de l'IA que les entreprises devraient mettre en œuvre ? Explication des points clés basés sur les

Qu'est-ce que la gouvernance de l'IA que les entreprises devraient mettre en œuvre ? Explication.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Incorporation Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retourner En Haut