{"id":67706,"date":"2024-04-17T20:38:03","date_gmt":"2024-04-17T11:38:03","guid":{"rendered":"https:\/\/monolith.law\/fr\/?p=67706"},"modified":"2026-01-31T15:42:12","modified_gmt":"2026-01-31T06:42:12","slug":"dataloss-risk-and-measures","status":"publish","type":"post","link":"https:\/\/monolith.law\/fr\/it\/dataloss-risk-and-measures","title":{"rendered":"Risque de perte de donn\u00e9es et responsabilit\u00e9 l\u00e9gale des op\u00e9rateurs de syst\u00e8mes"},"content":{"rendered":"\n

Il peut arriver que les entreprises rencontrent des probl\u00e8mes o\u00f9 des informations d’entreprise cruciales stock\u00e9es dans leurs bases de donn\u00e9es sont perdues en raison de circonstances impr\u00e9vues. Dans de tels cas, si l’entreprise a sous-trait\u00e9 ses op\u00e9rations de syst\u00e8me \u00e0 un prestataire externe, est-il juridiquement possible de tenir ce dernier responsable ?<\/p>\n\n\n\n

Cet article expliquera o\u00f9 r\u00e9side la responsabilit\u00e9 juridique en cas de perte d’informations dans une entreprise.<\/p>\n\n\n\n

Qu’est-ce que l'”exploitation” dans les syst\u00e8mes IT ?<\/h2>\n\n\n\n

Dans les syst\u00e8mes IT, l'”exploitation” peut \u00eatre simplement d\u00e9finie comme le travail consistant \u00e0 “continuer \u00e0 utiliser le syst\u00e8me existant comme auparavant”. Un syst\u00e8me que les ing\u00e9nieurs IT et les programmeurs ont nouvellement cr\u00e9\u00e9 (c’est-\u00e0-dire d\u00e9velopp\u00e9) n’est pas quelque chose qui se termine une fois qu’il a \u00e9t\u00e9 cr\u00e9\u00e9. Par exemple, si vous voulez ex\u00e9cuter une op\u00e9ration qui ne peut pas \u00eatre ex\u00e9cut\u00e9e \u00e0 partir de l’\u00e9cran, vous pouvez envisager de connecter un ordinateur \u00e0 la base de donn\u00e9es et d’entrer directement le langage informatique (comme SQL) (par exemple, l’extraction ou la modification de donn\u00e9es qui ne peuvent pas \u00eatre ex\u00e9cut\u00e9es \u00e0 partir de l’\u00e9cran).
<\/p>\n\n\n\n

Ces t\u00e2ches d’exploitation sont souvent plus faciles \u00e0 standardiser, par exemple en pr\u00e9parant des manuels de proc\u00e9dures, par rapport au travail de mise en \u0153uvre de nouveaux programmes, et sont donc souvent plus faciles \u00e0 externaliser \u00e0 des prestataires externes.<\/p>\n\n\n\n

Cependant, m\u00eame si ces t\u00e2ches sont faciles \u00e0 standardiser, le fait qu’elles impliquent l’op\u00e9ration directe des bases de donn\u00e9es g\u00e9r\u00e9es par l’entreprise signifie qu’elles sont souvent \u00e0 proximit\u00e9 d’incidents majeurs. Il convient de garder \u00e0 l’esprit que les risques de fuite ou de perte d’informations d\u00e9tenues par l’entreprise peuvent augmenter consid\u00e9rablement si l’externalisation est poursuivie sans tenir compte de la gravit\u00e9 des responsabilit\u00e9s associ\u00e9es \u00e0 ces t\u00e2ches.<\/p>\n\n\n\n

<\/span>Le risque de perte d’informations est plus proche qu’on ne le pense<\/span><\/h2>\n\n\n\n

Il existe plusieurs types de bases de donn\u00e9es utilis\u00e9es par les entreprises, mais en r\u00e9alit\u00e9, elles sont toutes une forme de logiciel. Et les op\u00e9rations d’extraction, de modification, d’ajout et de suppression des donn\u00e9es g\u00e9r\u00e9es sont g\u00e9n\u00e9ralement effectu\u00e9es \u00e0 l’aide d’un langage informatique appel\u00e9 SQL.<\/p>\n\n\n\n

<\/span>L’importance du droit<\/span><\/h3>\n\n\n\n

Il existe diff\u00e9rents types de travail pour les techniciens impliqu\u00e9s dans les syst\u00e8mes informatiques, tels que le d\u00e9veloppement, l’exploitation et la maintenance. Ce qui est commun \u00e0 ces emplois, c’est qu’ils impliquent principalement la manipulation d’entit\u00e9s abstraites telles que les “donn\u00e9es” et les “langages informatiques”. Par cons\u00e9quent, m\u00eame si l’apparence du travail effectu\u00e9 peut sembler insignifiante, comme une simple erreur de clic ou une petite erreur de saisie, l’impact de cette erreur peut se propager bien au-del\u00e0 de ce que l’on peut anticiper. Cette pr\u00e9misse fondamentale doit \u00eatre reconnue par tous ceux qui travaillent avec des syst\u00e8mes, qu’ils soient des experts en technologie de l’information ou non. Par nature, si un probl\u00e8me survient dans un travail impliquant des syst\u00e8mes, son impact se propage souvent instantan\u00e9ment au-del\u00e0 du d\u00e9partement concern\u00e9 et m\u00eame au-del\u00e0 des fronti\u00e8res de l’entreprise. L’importance du droit dans les syst\u00e8mes peut \u00eatre expliqu\u00e9e de mani\u00e8re uniforme \u00e0 la fois du point de vue du donneur d’ordre et du contractant.<\/p>\n\n\n\n

<\/span>Risque de perte de donn\u00e9es d’entreprise<\/span><\/h3>\n\n\n\n

Prenons un exemple un peu plus terre-\u00e0-terre. La requ\u00eate SQL pour supprimer toutes les donn\u00e9es d’une table n’est qu’une seule ligne : “TRUNCATE”. Lorsqu’on r\u00e9fl\u00e9chit au risque de perte de donn\u00e9es pour une entreprise, il n’est pas si important de conna\u00eetre parfaitement la syntaxe SQL ou la mani\u00e8re d’op\u00e9rer le logiciel de base de donn\u00e9es. Cependant, il est important de reconna\u00eetre que m\u00eame la suppression de toutes les donn\u00e9es stock\u00e9es par une entreprise peut \u00eatre aussi simple que cela. Cette prise de conscience de la r\u00e9alit\u00e9 pourrait bien \u00eatre le point de d\u00e9part pour r\u00e9fl\u00e9chir au risque de perte de donn\u00e9es pour une entreprise.<\/p>\n\n\n\n

Il est vrai que les op\u00e9rations sont souvent standardis\u00e9es et que si elles sont effectu\u00e9es correctement, il n’y a g\u00e9n\u00e9ralement pas de probl\u00e8me. Cependant, en m\u00eame temps, si les proc\u00e9dures ne sont pas suivies et qu’une situation irr\u00e9guli\u00e8re se produit, l’importance du droit devient \u00e9vidente.<\/p>\n\n\n\n

<\/span>Qui est l\u00e9galement responsable en cas de perte d’informations ?<\/span><\/h2>\n\n\n\n
\"\"
Quelle est la responsabilit\u00e9 l\u00e9gale en cas de perte de donn\u00e9es accidentelle ?<\/figcaption><\/figure>\n\n\n\n

<\/span>La nature juridique du travail des op\u00e9rateurs<\/span><\/h3>\n\n\n\n

Alors, en cas de perte de donn\u00e9es due \u00e0 un incident impr\u00e9vu et sans moyen de r\u00e9cup\u00e9ration, \u00e0 qui revient la responsabilit\u00e9 l\u00e9gale ? Ci-dessous, nous analyserons ces incidents d’un point de vue juridique.<\/p>\n\n\n\n

<\/span>Il est difficile de faire valoir l’obligation de garde bas\u00e9e sur le contrat de d\u00e9p\u00f4t<\/span><\/h4>\n\n\n\n

L’une des th\u00e9ories envisag\u00e9es pour questionner la responsabilit\u00e9 des op\u00e9rateurs qui g\u00e8rent les donn\u00e9es est de faire valoir l’obligation de diligence dans la garde bas\u00e9e sur un contrat de d\u00e9p\u00f4t r\u00e9mun\u00e9r\u00e9. Pour simplifier, c’est comme si on poursuivait la responsabilit\u00e9 de l’op\u00e9rateur qui a accept\u00e9 de garder des objets dans un casier payant et qui a perdu ces objets, en se demandant si on ne pourrait pas poursuivre la responsabilit\u00e9 de la perte de “donn\u00e9es”. Cependant, tout comme pour l’obligation de garde des “objets”, il n’est pas r\u00e9aliste de penser que l’obligation de garde des “donn\u00e9es” d\u00e9coule naturellement en vertu de la loi actuelle.<\/p>\n\n\n\n

<\/span>Cela d\u00e9pend du contenu sp\u00e9cifique du contrat<\/span><\/h4>\n\n\n\n

En fin de compte, la question de savoir “qui est responsable de la garde des donn\u00e9es” est difficile \u00e0 r\u00e9soudre de mani\u00e8re uniforme sur la base des dispositions du droit civil. Par cons\u00e9quent, la r\u00e9ponse est probablement “cela d\u00e9pend de ce qui est stipul\u00e9 dans le contrat sp\u00e9cifique”.<\/p>\n\n\n\n

Et la question de savoir “quel \u00e9tait le contenu du contrat” n’est pas seulement d\u00e9termin\u00e9e par le contrat lui-m\u00eame, mais aussi par les proc\u00e8s-verbaux des r\u00e9unions, etc. L’importance des proc\u00e8s-verbaux est expliqu\u00e9e en d\u00e9tail dans l’article ci-dessous.<\/p>\n\n\n\n

https:\/\/monolith-law.jp\/corporate\/the-minutes-in-system-development[ja]<\/a><\/p>\n\n\n\n

<\/span>Il est difficile de poursuivre la responsabilit\u00e9 pour acte illicite de la part de tiers autres que les contractants<\/span><\/h4>\n\n\n\n

Il est clairement \u00e9tabli dans la jurisprudence qu’il est impossible de poursuivre la responsabilit\u00e9 pour acte illicite de la part de tiers sans relation contractuelle. Dans un cas de jurisprudence, la question de savoir si un utilisateur pouvait demander des dommages-int\u00e9r\u00eats sur la base d’un acte illicite en cas de perte de donn\u00e9es dans un service de serveur de location a \u00e9t\u00e9 soulev\u00e9e.<\/p>\n\n\n\n

Un exemple typique d’acte illicite est un accident de la circulation. Par exemple, si une personne est bless\u00e9e \u00e0 cause de la n\u00e9gligence du conducteur dans un accident de voiture, elle est responsable non seulement au p\u00e9nal mais aussi au civil. M\u00eame entre \u00e9trangers, il est possible d’engager une responsabilit\u00e9 pour dommages-int\u00e9r\u00eats sans avoir conclu un contrat stipulant “ne pas heurter une personne avec une voiture”. Sur la base de ce cadre de responsabilit\u00e9 pour acte illicite, la question de savoir s’il \u00e9tait possible de poursuivre la responsabilit\u00e9 pour la perte de donn\u00e9es, m\u00eame si l’autre partie n’avait pas de relation contractuelle directe, a \u00e9t\u00e9 d\u00e9battue.<\/p>\n\n\n\n

Cependant, le tribunal a soulign\u00e9 les caract\u00e9ristiques de l’information num\u00e9rique et a indiqu\u00e9 qu’il \u00e9tait difficile de supposer l’existence de telles obligations.<\/p>\n\n\n\n

\n

Un serveur n’est pas infaillible et peut rencontrer des probl\u00e8mes qui entra\u00eenent la perte de programmes, etc.<\/u> Cependant, les programmes sont des informations num\u00e9riques qui peuvent \u00eatre facilement copi\u00e9es, et si l’utilisateur a enregistr\u00e9 et sauvegard\u00e9 ces informations, il peut red\u00e9marrer le programme m\u00eame en cas de perte<\/u>. C’est un fait largement connu (selon l’ensemble des arguments pr\u00e9sent\u00e9s), et les plaignants auraient pu facilement prendre des mesures pour pr\u00e9venir la perte du programme et des donn\u00e9es en question<\/u>. Compte tenu de la situation des deux parties, il n’y a aucune raison ni n\u00e9cessit\u00e9 d’imposer \u00e0 l’accus\u00e9, qui installe et g\u00e8re le serveur en question, l’obligation de pr\u00e9venir la perte des enregistrements des plaignants. (Omission) Les plaignants soutiennent que le contrat de location de serveur a la nature d’un contrat de d\u00e9p\u00f4t concernant les programmes ou les donn\u00e9es de tiers, et que sur cette base, l’accus\u00e9, en tant que fournisseur de services de location de serveurs, a l’obligation de diligence envers tous ceux qui stockent des enregistrements sur le serveur en question, et plus pr\u00e9cis\u00e9ment, l’obligation de ne pas perdre les enregistrements sur le serveur. Ils soutiennent que le fait que l’accus\u00e9 ait perdu les enregistrements des plaignants stock\u00e9s sur le serveur en question viole cette obligation de pr\u00e9vention de la perte.<\/p>\n\n\n\n


Cependant, l’accus\u00e9 n’a conclu qu’un contrat d’utilisation de services d’h\u00e9bergement de serveurs partag\u00e9s avec l’utilisateur A, et il n’y a pas de relation contractuelle entre l’accus\u00e9 et les plaignants, et on ne peut pas dire que le stockage du programme et des donn\u00e9es en question sur le serveur en question ait la nature d’un contrat de d\u00e9p\u00f4t. Par cons\u00e9quent, il est difficile de trouver une base pour dire que l’accus\u00e9 a une obligation de diligence en vertu de la loi sur les actes illicites envers les plaignants, avec lesquels il n’a pas de relation contractuelle, concernant les enregistrements stock\u00e9s sur le serveur en question. Par cons\u00e9quent, le simple fait que l’accus\u00e9 soit un fournisseur de services de location de serveurs ne signifie pas qu’il a n\u00e9cessairement une obligation de diligence envers les tiers sans relation contractuelle concernant les enregistrements stock\u00e9s sur le serveur en question, ou une obligation de pr\u00e9venir la perte des enregistrements. <\/p>\nTribunal de district de Tokyo, 20 mai 2009 (Heisei 21)<\/cite><\/blockquote>\n\n\n\n

Ce jugement indique qu’il n’est pas appropri\u00e9 de supposer l’existence d’une “obligation de ne pas effacer les donn\u00e9es” \u00e0 l’\u00e9gard d’un tiers (le demandeur) sans relation contractuelle directe. Ce jugement a attir\u00e9 une certaine attention en tant que cas potentiellement directeur pour des affaires similaires \u00e0 l’avenir.<\/p>\n\n\n\n

<\/span>En conclusion, il est souvent “difficile” de poursuivre la responsabilit\u00e9<\/span><\/h4>\n\n\n\n

En pratique, dans le cas des contrats couramment utilis\u00e9s, il n’est pas tr\u00e8s courant d’avoir des contrats qui stipulent que l’op\u00e9rateur est responsable de la garde et de la sauvegarde des donn\u00e9es. Au contraire, la majorit\u00e9 \u00e9crasante des contrats stipule que c’est la responsabilit\u00e9 de l’utilisateur (c’est-\u00e0-dire de l’entreprise cliente).<\/p>\n\n\n\n

Par cons\u00e9quent, \u00e0 moins qu’un accord particulier n’ait \u00e9t\u00e9 conclu, il serait extr\u00eamement difficile, d’un point de vue juridique, de consid\u00e9rer que l’op\u00e9rateur du syst\u00e8me a l’obligation de prendre des mesures pour pr\u00e9venir la perte de donn\u00e9es.<\/p>\n\n\n\n

<\/span>Que faire pour se pr\u00e9parer au risque de perte d’informations<\/span><\/h2>\n\n\n\n
\"\"
Toujours sauvegarder pour pr\u00e9venir la perte de donn\u00e9es.<\/figcaption><\/figure>\n\n\n\n

En fin de compte, le risque de perte d’informations que les entreprises encourent concerne principalement les informations que ces entreprises stockent elles-m\u00eames. Par cons\u00e9quent, il est probable que la mani\u00e8re dont elles prennent en compte ce risque de perte et le type de syst\u00e8me de stockage qu’elles mettent en place soient des questions que l’entreprise elle-m\u00eame doit d\u00e9cider.
<\/p>\n\n\n\n

De plus, m\u00eame si la responsabilit\u00e9 de l’entreprise est reconnue, il est possible que la compensation des dommages ne soit pas enti\u00e8rement accord\u00e9e en raison d’une compensation pour n\u00e9gligence. Il y a eu des cas dans le pass\u00e9 o\u00f9, dans des affaires o\u00f9 le d\u00e9fendeur, qui avait gard\u00e9 les donn\u00e9es du demandeur sur son serveur, avait effac\u00e9 ces donn\u00e9es, le fait que le demandeur n’avait pas sauvegard\u00e9 ses donn\u00e9es a \u00e9t\u00e9 consid\u00e9r\u00e9 comme une “n\u00e9gligence”, et une compensation pour n\u00e9gligence a \u00e9t\u00e9 accord\u00e9e.<\/p>\n\n\n\n

\n\n

Le demandeur aurait pu facilement prendre des mesures de sauvegarde<\/u> pour le contenu du fichier en question, et aurait pu pr\u00e9venir l’apparition de dommages ou r\u00e9duire les dommages \u00e0 un niveau tr\u00e8s faible<\/u>, mais il est reconnu que le demandeur n’avait conserv\u00e9 aucune donn\u00e9e du fichier en question au moment de l’accident de disparition.\n\n

Par cons\u00e9quent, dans cette affaire, il convient d’appliquer la disposition de compensation pour n\u00e9gligence en tenant compte de ce point pour d\u00e9terminer le montant de la responsabilit\u00e9 de l’accus\u00e9 pour les dommages, ce qui est conforme \u00e0 l’id\u00e9e d’\u00e9quit\u00e9 en mati\u00e8re de droit \u00e0 l’indemnisation des dommages.<\/p>\n\n\n

En revanche, le demandeur soutient qu’il \u00e9tait impossible pour lui de pr\u00e9voir que le fichier en question serait effac\u00e9 du serveur par le d\u00e9fendeur, qui est un fournisseur de services, et qu’il ne pouvait pas \u00eatre tenu de pr\u00e9voir cela, donc il ne peut pas \u00eatre reconnu qu’il avait une obligation l\u00e9gale de sauvegarder, et que son inaction ne peut pas \u00eatre consid\u00e9r\u00e9e comme une n\u00e9gligence au sens juridique, et il soutient que l’application de la compensation pour n\u00e9gligence doit \u00eatre refus\u00e9e.<\/p>\n\n\n

Cependant, pour appliquer la compensation pour n\u00e9gligence, il suffit de reconna\u00eetre que le demandeur pouvait pr\u00e9voir la possibilit\u00e9 de la disparition du fichier en question, et il n’est pas n\u00e9cessaire de pr\u00e9voir la possibilit\u00e9 que le fichier en question disparaisse en raison de la violation de l’obligation de diligence de l’accus\u00e9.<\/p>\n\n\n

Dans cette affaire, il est clair que le demandeur \u00e9tait conscient du risque d’intrusion de hackers, etc., sur la page d’accueil, et le demandeur reconna\u00eet qu’il y a un risque de modification et de destruction de l’information dans la communication sur Internet, et que ce risque \u00e9tait pr\u00e9visible, donc il est jug\u00e9 que le demandeur avait pr\u00e9vu le risque de disparition du fichier en question en raison de causes sp\u00e9cifiques \u00e0 la communication sur Internet, et la possibilit\u00e9 de pr\u00e9voir la disparition du fichier en question est suffisamment affirm\u00e9e, et il n’y a aucun obstacle \u00e0 l’application de la compensation pour n\u00e9gligence.<\/p>\n\nJugement du tribunal de district de Tokyo, 28 septembre 2001 (Heisei 13)<\/cite><\/blockquote>\n\n\n

Dans ce cas, “\u00e9tant donn\u00e9 que vous n’avez pas sauvegard\u00e9, vous auriez pu pr\u00e9voir le risque de disparition du fichier pour une raison quelconque, comme une intrusion de hackers, etc., et donc il y a une application de compensation pour n\u00e9gligence”, et le montant des dommages a \u00e9t\u00e9 r\u00e9duit de moiti\u00e9.<\/p>\n\n\n

<\/span>R\u00e9sum\u00e9<\/span><\/h2>\n\n\n

Bien que cela ne soit pas limit\u00e9 aux risques de perte de donn\u00e9es, lorsqu’on externalise les syst\u00e8mes, les utilisateurs ont tendance \u00e0 se soucier uniquement de la sensation op\u00e9rationnelle du c\u00f4t\u00e9 de l’\u00e9cran, et souvent, la gouvernance de l’organisation ne s’\u00e9tend pas jusqu’\u00e0 la zone de base de donn\u00e9es stock\u00e9e en arri\u00e8re-plan.<\/p>\n\n\n

Cependant, les pr\u00e9c\u00e9dents judiciaires sugg\u00e8rent que nous ne devrions pas consid\u00e9rer ces questions comme \u00e9tant “l’affaire des autres”. En d’autres termes, il est n\u00e9cessaire de prendre conscience que la mise en place d’un syst\u00e8me de gestion qui tient compte des risques de perte d’informations, comme la sauvegarde des donn\u00e9es, est avant tout une question qui concerne l’utilisateur (\u00e0 l’int\u00e9rieur de l’entreprise).<\/p>\n\n\n

Les pr\u00e9c\u00e9dents judiciaires sugg\u00e8rent que le fait de ne pas se pr\u00e9parer \u00e0 de tels risques pourrait entra\u00eener des situations irr\u00e9versibles, et devraient \u00eatre compris comme un avertissement de la n\u00e9cessit\u00e9 de pr\u00e9vention. Ne serait-ce pas ainsi que nous devrions les interpr\u00e9ter ?<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Il peut arriver que les entreprises rencontrent des probl\u00e8mes o\u00f9 des informations d’entreprise cruciales stock\u00e9es dans leurs bases de donn\u00e9es sont perdues en raison de circonstances impr\u00e9vues. D […]<\/p>\n","protected":false},"author":32,"featured_media":79396,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[19,31],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/posts\/67706"}],"collection":[{"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/comments?post=67706"}],"version-history":[{"count":3,"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/posts\/67706\/revisions"}],"predecessor-version":[{"id":79399,"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/posts\/67706\/revisions\/79399"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/media\/79396"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/media?parent=67706"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/categories?post=67706"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/tags?post=67706"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}