Le juriste présent en cellule de crise cyber doit y être formé, notamment pour intégrer toutes les complexités évoquées dans le premier article de cette série, dédié au rôle stratégique du juriste dans cette instance. Quoiqu’il en soit, voici quelques règles de la qualification juridique en cas d’incident numérique.
En cas de malveillance, la tentation est grande de vouloir dresser une typologie spécifique des cyberattaques – ce qui faciliterait davantage la qualification juridique. L’enjeu pour le juriste est de pouvoir dépasser cette idée pour s’adapter à la temporalité particulière du cyberespace.
Pour ce faire, il convient d’opérer selon le classique raisonnement juridique, en intégrant les spécificités du cyber : Les faits, et l’application au droit pour en extraire la qualification juridique et ainsi conseiller l’organisation.
1. Les faits – Participer activement aux investigations et analyser les preuves collectées
Le juriste doit ici collaborer avec les équipes techniques pour analyser et conserver les preuves qui conduiront à la qualification juridique de l’incident. Il convient ici de préciser que la collecte de ces preuves doit être scrupuleusement menée pour en assurer la recevabilité.
Il doit également se placer dans une réelle démarche proactive : solliciter les éléments qui viendront étayer son analyse – et ce pour toute la durée des investigations – et non raisonner uniquement sur base des informations mises à sa disposition (biais de disponibilité).
2. Le droit – Qualifier juridiquement
L’arsenal juridique est complet sur le plan pénal avec une dizaine d’infractions existantes. Les cinq premières infractions correspondent par exemple à cinq comportements d’atteintes aux systèmes de traitement automatisés de données (STAD) se situant à des moments différents de l’action délictuelle, depuis la préparation de l’atteinte jusqu’à sa consommation (Art. 323-1 à 323-4 du code pénal).
Le juriste doit ainsi composer suivant les preuves qui auront été collectées pendant la phase d’investigation technique.
3. Les actions à intenter – Les différentes possibilités
Le droit pénal du numérique a connu un renforcement des incriminations pénales et une extension des obligations administratives (obligation de déclaration d’un incident de sécurité, obligation de notification de violation de données personnelles). De manière fréquente, les organisations ont tendance à se concentrer uniquement sur les obligations administratives. Cependant, il faut y ajouter les actions pénales possibles en cas de cyberattaque (dépôt de plainte, engagement de procédures contentieuses).
Même si l’attribution des actes de malveillance reste complexe à établir, il ne faudrait pas que cela soit un frein au dépôt de plainte et à l’engagement de procédures contentieuses.
Vous êtes juriste et souhaitez vous former à la gestion de crise cyber ? Vous êtes responsable formations et souhaitez évoquer un besoin spécifique ? Contactez-nous et discutons-en : formations@alcyconie.com.
