Primauté des attentes légitimes de sécurité dans la communication par e-mail dans le cadre commercial
La question de la protection technique et organisationnelle appropriée dans le cadre de la communication commerciale par e-mail fait l’objet d’une mise à jour constante dans le contexte de la numérisation croissante. En particulier dans le commerce, où des données sensibles et parfois confidentielles sont régulièrement échangées électroniquement, l’étendue des mesures de sécurité à prendre pour l’envoi d’e-mails est d’une importance pratique considérable. La décision récente de la Cour d’appel supérieure de Karlsruhe du 19.09.2023 (réf. 19 U 83/22) contribue à clarifier les normes juridiques applicables. L’accent est mis notamment sur le critère des attentes légitimes de sécurité dans le commerce.
Norme pour les mesures de sécurité : les attentes légitimes du commerce
Délimitation des obligations de protection technique
La Cour d’appel supérieure de Karlsruhe a précisé dans son jugement que le niveau requis des mesures techniques de protection lors de l’envoi d’e-mails ne doit pas être déterminé de manière générale selon des normes abstraites de sécurité informatique, mais plutôt selon les attentes légitimes du partenaire commercial moyen. Il n’existe donc pas une obligation générale de chiffrer systématiquement tous les e-mails purement du point de vue technologique, mais cela suppose qu’en fonction des circonstances du commerce concret et du caractère des informations échangées, un besoin de chiffrement existe. Sont déterminants à cet égard à la fois la sensibilité des données et l’influence du segment commercial concerné sur le niveau de la technique.
Groupes d’interlocuteurs et particularités sectorielles
Le niveau de protection établi s’appuie fortement sur les usages dans le cercle commercial pertinent. Les normes techniques minimales sont ainsi influencées par la pratique réelle du secteur et les moyens de communication typiquement utilisés. Selon le secteur et le type de données transmises, des exigences différentes peuvent donc s’imposer. Cela signifie par exemple que dans le secteur bancaire et financier, des normes plus strictes peuvent s’appliquer que dans le commerce ordinaire de marchandises. L’attente habituelle dans le monde des affaires limite en ce sens l’obligation d’implémenter des mesures de sécurité plus poussées.
Norme de diligence et responsabilité organisationnelle dans l’entreprise
Diversification selon l’organisation et le cercle des destinataires
La norme de diligence que les entreprises doivent respecter lors de l’envoi d’e-mails découle à nouveau des attentes légitimes de sécurité des destinataires. La responsabilité organisationnelle inclut donc l’obligation d’évaluer et d’adapter les processus internes, notamment en ce qui concerne le choix du mode de transmission approprié et les obligations d’information envers les parties concernées. Dans la mesure où l’e-mail concerne uniquement l’échange d’informations généralement accessibles ou en tout cas non confidentielles, la transmission simple et non chiffrée est toujours reconnue comme usuelle.
Rapport avec les questions de responsabilité
L’étendue de la responsabilité possible en cas de dommage résultant d’une communication par e-mail non sécurisée dépend des mesures de sécurité prises et dues. Si le niveau de sécurité techniquement et organisationnellement courant n’est pas atteint, cela peut constituer une violation de l’obligation de sécurisation du trafic. La Cour d’appel supérieure de Karlsruhe a toutefois souligné qu’un niveau de protection objectivement plus élevé n’est dû que si le destinataire moyen pouvait légitimement s’attendre, pour des raisons de situations de danger compréhensibles, à des mesures de protection correspondantes.
Conséquences pour l’exécution contractuelle et commerciale
Importance pour la confiance commerciale
La décision renforce la confiance légitime des acteurs économiques sur le fait que l’étendue des mesures de sécurité à prendre s’aligne sur l’état actuel des pratiques et attentes habituelles du commerce. Par conséquent, le principe est maintenu selon lequel chaque option technique potentielle n’est pas nécessairement exigée juridiquement. Pour les entreprises, cela signifie une plus grande prévisibilité de leurs obligations dans la gestion du courrier électronique quotidien.
Évolution des attentes
Il convient de prendre en compte que, avec l’évolution technique constante et la numérisation croissante, les critères des attentes commerciales font l’objet d’un ajustement permanent. Une pratique jusque-là usuelle peut être déplacée vers des exigences accrues par de nouvelles dispositions légales, des engagements sectoriels ou des normes de marché généralement reconnues. Cela s’applique par exemple lorsque des chiffrages de transport auparavant rarement utilisés deviennent la norme grâce à une application plus large.
Examen au cas par cas et questions juridiques ouvertes
Importance du cas individuel
La décision de la Cour régionale supérieure de Karlsruhe souligne la nécessité d’une approche différenciée tenant compte de toutes les circonstances du processus commercial spécifique. Les éléments déterminants sont le type d’information, le risque de divulgation de données ainsi que la mesure dans laquelle les partenaires de communication pouvaient légitimement s’attendre à une transmission confidentielle. Il n’y a pas de typification rigide des obligations de protection ; au contraire, un examen cas par cas est toujours requis, qui prend en compte, en plus des mesures techniques prises, la situation d’attente individuelle ainsi que les usages du secteur.
Évolution du cadre juridique
Il convient de noter que la décision sous-jacente fait l’objet de discussions en cours et d’éventuels examens complémentaires. Les faits publiés reposent sur le jugement de la Cour régionale supérieure de Karlsruhe du 19.09.2023 (réf. 19 U 83/22), dont l’appréciation factuelle et juridique pourrait faire l’objet à l’avenir d’une réévaluation, notamment à la suite d’un recours auprès de la Cour fédérale de justice (source : https://urteile.news/OLG-Karlsruhe_19-U-8322_Mass-der-Sicherheitsvorkehrungen-beim-Versand-von-E-Mails-im-geschaeftlichen-Verkehr-richtet-sich-nach-berechtigten-Sicherheitserwartungen-des-Verkehrs~N33273). Jusqu’à une clarification finale par la plus haute juridiction, une évolution continue est à prévoir.
Conclusion et perspectives
La Cour régionale supérieure de Karlsruhe fonde la conception des mesures de sécurité informatique dans la communication par e-mail principalement sur les attentes légitimes des acteurs du marché et rejette les obligations généralisées d’utilisation des techniques de chiffrement les plus avancées. Ainsi, les entreprises bénéficient d’un cadre adapté à la réalité commerciale pour leurs flux d’informations électroniques, répondant à la fois au besoin économique de solutions pratiques et à la protection des informations confidentielles. Au regard de l’évolution continue des possibilités techniques et des exigences légales, il convient toutefois que les entreprises suivent attentivement les développements jurisprudentiels et les usages sectoriels. Pour des questions juridiques approfondies ou des réflexions sur la sécurisation de la communication commerciale par e-mail à la lumière de la jurisprudence actuelle, il est recommandé de solliciter un conseil qualifié. MTR Legal propose de plus amples informations et un accompagnement personnalisé dans la rubrique Conseil juridique en droit informatique.
