Sécurité

Définition et cadre juridique : Security

La notion de Security recouvre, dans un contexte juridique, une multitude de significations. Issu à l’origine de l’anglais, le terme « Security » signifie sécurité et protection, mais il trouve usage dans différents domaines du droit, en particulier concernant les prestations de sécurité, les valeurs mobilières et la protection des données. L’analyse suivante éclaire cette notion de façon approfondie d’un point de vue juridique et explicite les normes applicables, les obligations ainsi que les différentes acceptions du terme.

1. Security en tant que prestation de sécurité

1.1. Définition légale et conditions d’agrément

Dans le secteur des prestations de sécurité, Security renvoie principalement au secteur de la surveillance et aux entreprises privées de gardiennage et de sécurité. Selon l’article 34a du Code du Commerce (GewO), l’activité de surveillance est soumise à autorisation. L’exercice de cette activité requiert une vérification administrative de la fiabilité, la preuve d’une situation financière ordonnée ainsi qu’un examen de compétences qualifié conformément à la Verordnung sur la Surveillance (BewachV).

1.2. Fondements contractuels et responsabilité

Les prestations de surveillance reposent généralement sur des contrats de service régis par les articles 611 et suivants du Code civil allemand (BGB) ou sur des contrats d’entreprise (articles 631 et suivants BGB), selon la prestation due. Les entreprises de sécurité sont soumises à des obligations de diligence spécifiques ; en cas de manquements, des demandes en responsabilité contractuelle ou délictuelle peuvent être exercées à leur encontre. Leur responsabilité est souvent limitée par des clauses contractuelles individuelles, mais reste soumise à des limites légales, notamment en cas de faute lourde ou d’intention.

1.3. Protection des données dans le secteur de la surveillance

Le traitement des données à caractère personnel par les services de sécurité est soumis au Règlement général sur la protection des données (RGPD/DSGVO) ainsi qu’à la Loi fédérale sur la protection des données (BDSG). Notamment lors de la vidéosurveillance d’espaces publics accessibles, il convient d’opérer une pondération entre les intérêts légitimes de sécurité et les droits de la personnalité des personnes concernées.

2. Security dans le droit financier et des marchés de capitaux

2.1. Délimitation du terme : Security comme valeur mobilière

Dans les pays anglo-saxons, le terme « Security » désigne principalement les valeurs mobilières soumises à la réglementation des marchés financiers et de capitaux. Conformément à l’article 2 de la Loi allemande sur la négociation de valeurs mobilières (WpHG) et à la définition de la directive européenne MiFID II (Markets in Financial Instruments Directive), il comprend les actions, obligations, options, produits dérivés et autres instruments financiers cotés ou négociés de gré à gré.

2.2. Émission, négociation et protection des investisseurs

L’émission et la distribution de Securities sont strictement réglementées en Allemagne et en Europe. La Loi sur le prospectus des valeurs mobilières (WpPG) prévoit les obligations de publicité des émetteurs ; l’Autorité fédérale de surveillance financière (BaFin) contrôle le respect de ces règles. Pour la protection des investisseurs, des obligations d’information, de conseil et de documentation complètes s’imposent aux prestataires, réglementées par le WpHG et d’autres dispositions prudentielles (par ex. la Loi anti-blanchiment – GwG pour la prévention de la criminalité financière).

2.3. Conséquences pénales et civiles en cas d’infractions

La violation d’obligations issues du droit des marchés financiers peut entraîner à la fois des conséquences pénales (p. ex. délit d’initié, manipulation de marché au sens de l’article 119 WpHG) et des demandes civiles (comme des dommages-intérêts selon l’article 826 BGB – préjudice intentionnel contraire aux bonnes mœurs).

3. Security au regard du droit de l’informatique et de la protection des données

3.1. Sécurité informatique comme composante de la conformité de l’entreprise

Au sens de la sécurité de l’information, Security recouvre l’ensemble des mesures visant à protéger l’intégrité, la disponibilité et la confidentialité des systèmes d’information. Les exigences juridiques découlent notamment de la Loi sur la sécurité informatique (IT-SiG), du RGPD ainsi que de lois sectorielles spécifiques, telles que la Loi sur les télécommunications (TKG).

3.2. Obligations de déclaration et responsabilité en cas d’incidents de sécurité

Les exploitants d’infrastructures critiques sont tenus de déclarer sans délai les incidents majeurs de sécurité informatique à l’Office fédéral pour la sécurité des technologies de l’information (BSI). D’autres entreprises sont également soumises à des obligations de notification en cas de violation de la protection des données à l’égard des autorités de contrôle et des personnes concernées (art. 33, 34 RGPD). La violation de ces obligations peut entraîner des amendes, des demandes de dommages-intérêts et le retrait des autorisations d’exploitation.

4. Aspects juridiques de l’utilisation du terme dans les contextes internationaux

4.1. Différentes compréhensions juridiques

Alors qu’en droit allemand, le terme Security vise principalement les prestations de sécurité et la protection des données, en droit anglo-saxon, « Security » désigne avant tout la valeur mobilière. Cette distinction revêt une importance majeure dans les litiges et contrats internationaux afin d’éviter tout malentendu dans l’interprétation contractuelle.

4.2. Accords internationaux et harmonisation

De nombreux instruments juridiques internationaux (par ex. les directives de l’Union européenne sur le droit des marchés de capitaux ou la sécurité informatique) visent à uniformiser le cadre juridique et à assurer la protection des investisseurs ainsi que des standards de sécurité informatique transfrontaliers.

Résumé de la portée juridique du terme Security

La notion de Security joue, en droit allemand et international, un rôle multiple. Elle désigne à la fois les prestations de sécurité du secteur de la surveillance, englobe la réglementation des valeurs mobilières ainsi que la sécurité informatique et la protection des données. Tous ces domaines sont régis par des dispositions légales spécifiques et des autorités de surveillance strictes. Une analyse différenciée dans le contexte juridique est essentielle pour minimiser les risques de responsabilité, respecter les exigences légales et préserver les droits de toutes les parties concernées.

Sources

• Code civil allemand (BGB)
• Code du commerce (GewO)
• Règlement sur la surveillance (BewachV)
• Loi sur la négociation de valeurs mobilières (WpHG)
• Directive européenne MiFID II
• Règlement général sur la protection des données (RGPD/DSGVO)
• Loi sur la sécurité informatique (IT-SiG)
• Loi fédérale sur la protection des données (BDSG)

Questions fréquemment posées

Quelles sont les bases juridiques à respecter par les entreprises dans le domaine de la sécurité informatique (IT-Security) ?

Les entreprises sont soumises dans le domaine de l’IT-Security à une multitude de réglementations juridiques au niveau national et européen. Le Règlement général sur la protection des données (RGPD) est particulièrement pertinent, notamment son article 32 qui définit des exigences concrètes en matière de sécurité lors du traitement des données. Les entreprises doivent mettre en place des mesures techniques et organisationnelles (TOM) garantissant un niveau de protection approprié aux risques. Outre le RGPD, il existe d’autres lois nationales telles que la Loi fédérale sur la protection des données (BDSG), la Loi sur les télémédias (TMG), la Loi sur la protection des données pour les télécommunications et les télémédias (TTDSG) ainsi que la Loi sur la sécurité informatique 2.0 (IT-SiG 2.0). Ces textes régissent la protection des données à caractère personnel, les exigences en matière de sécurité informatique des infrastructures critiques (KRITIS), les obligations de notification en cas d’incident de sécurité ainsi que les normes sectorielles spécifiques. Pour les entreprises, cela signifie adapter en permanence leurs systèmes informatiques à l’état de l’art, évaluer les risques et, si nécessaire, intégrer des prestataires externes dans leurs obligations de sécurité. En cas de non-respect, des amendes importantes et des risques de responsabilité civile peuvent en résulter.

Quelles obligations de notification existent en cas d’incident de sécurité ?

Les entreprises ont l’obligation, en vertu de différentes lois, de signaler les incidents de sécurité. Selon l’article 33 RGPD, elles doivent notifier sous 72 heures toute violation de la protection des données personnelles (« Data Breaches ») à l’autorité de contrôle compétente, dès lors qu’un risque pèse sur les droits et libertés des personnes concernées. La Loi sur la sécurité informatique prévoit par ailleurs des obligations de déclaration pour les exploitants d’infrastructures critiques (KRITIS), y compris sans lien avec des données personnelles, par exemple lors d’attaques informatiques. Dans ces cas, les autorités compétentes, et en particulier l’Office fédéral pour la sécurité des technologies de l’information (BSI), doivent être informés. Les omissions ou les déclarations tardives peuvent entraîner de lourdes amendes et d’autres conséquences juridiques. De plus, certains intervenants – personnes concernées ou partenaires commerciaux – peuvent devoir être informés dans certaines circonstances. Il est donc conseillé aux entreprises de mettre en place un dispositif interne de rapport et de gestion des incidents garantissant la sécurité juridique.

Quels sont les risques de responsabilité en cas de manquement aux exigences en matière de Security ?

Les risques de responsabilité liés à l’IT-Security sont variés : les entreprises peuvent être tenues responsables tant civilement que publiquement. Dans le cadre du RGPD, des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial peuvent être prononcées. En outre, en cas de négligence ou de violation intentionnelle des obligations de security ayant causé un dommage (par exemple, perte, fuite ou indisponibilité de données), une obligation d’indemnisation envers les personnes concernées peut surgir. Des concurrents ou partenaires contractuels peuvent également faire valoir des demandes si un préjudice économique résulte d’un manque de sécurité. Les salariés sont responsables dans une limite définie de leur activité. Les gérants ou membres du directoire peuvent engager leur responsabilité personnelle s’ils manquent à leurs obligations d’organisation et de surveillance.

Quel rôle jouent les contrats avec les prestataires dans le domaine de la Security ?

Les contrats avec des prestataires externes, notamment les sous-traitants (conformément à l’art. 28 RGPD), sont un élément central de la garantie juridique de l’IT-Security. Les entreprises doivent contractuellement garantir que les prestataires mettent en place et documentent des mesures techniques et organisationnelles adéquates. Cela inclut des engagements de confidentialité, des droits d’audit, de contrôle et d’information, ainsi que l’obligation d’aviser sans délai toute violation de la sécurité. Le contrat doit également régir la restitution ou la suppression des données à la fin du traitement et prévoir d’éventuelles sanctions en cas de manquement. En cas de sous-traitance, des mécanismes spécifiques d’autorisation et de contrôle sont nécessaires. Le respect de ces obligations doit être surveillé et documenté en continu.

Comment l’état de l’art est-il juridiquement évalué et rempli ?

L’« état de l’art » est une notion juridique dynamique, utilisée tant dans le RGPD que dans la Loi sur la sécurité informatique. Sur le plan juridique, cela signifie que les entreprises doivent mettre en œuvre les mesures de sécurité correspondant au niveau actuel de la technique, en tenant compte du rapport entre le coût économique et le besoin de protection. Les références sont en particulier les normes publiées (ex. ISO 27001, BSI-Grundschutz), les recommandations sectorielles, les directives techniques et les pratiques reconnues. Les entreprises doivent régulièrement évaluer si les mesures mises en œuvre sont toujours conformes à l’état de l’art et s’il est nécessaire de les actualiser ou d’en adopter de nouvelles. Cela implique une analyse des risques et une documentation en continu. Un manquement à l’état de l’art peut être considéré comme une négligence grave et engager la responsabilité.

Les salariés sont-ils tenus à des mesures particulières en matière d’IT-Security ?

Oui, d’un point de vue juridique, il existe une obligation en droit du travail et en droit de la protection des données pour les salariés de contribuer à la sécurité informatique. Les employeurs doivent instruire leurs collaborateurs dans le cadre de politiques informatiques, instructions de travail et formations pour qu’ils respectent des exigences spécifiques (par ex. protection par mot de passe, gestion des données sensibles, obligation de signalement d’anomalies). Le respect de ces obligations doit être surveillé, le cas échéant sanctionné et vérifier régulièrement. Toutefois, d’un point de vue juridique, l’entreprise porte la responsabilité d’établir des instructions claires et compréhensibles et de former les employés. En cas de manquement, des avertissements ou, en cas de récidive, des conséquences juridiques en droit du travail peuvent être prononcées.

Quelles particularités s’appliquent lors de transferts de données internationaux dans le contexte de la Security ?

Les transferts internationaux de données, notamment vers des pays tiers hors UE/EEE, sont soumis à des exigences juridiques strictes. En plus de mesures de sécurité appropriées et du respect de l’état de l’art, il est nécessaire de garantir que le niveau de protection des données du pays destinataire corresponde au standard européen. Cela est généralement assuré par des décisions d’adéquation de la Commission européenne, des clauses contractuelles types ou des règles d’entreprise contraignantes (Binding Corporate Rules). Par ailleurs, le RGPD impose une évaluation des accès potentiels des autorités publiques aux données dans le pays destinataire ainsi que, le cas échéant, la mise en œuvre de mesures de protection complémentaires. La documentation des mesures techniques et organisationnelles de sécurité est obligatoire et doit pouvoir être démontrée auprès des autorités. En cas de non-respect, de lourdes amendes et une responsabilité civile peuvent en résulter.