Qualification et quantification de l'obligation de sécurité informationnelle dans la détermination de la faute civile

L'obligation de sécurité informationnelle - c'est-à-dire la tâche qui incombe aux entreprises d'assurer l'intégrité, la confidentialité et la disponibilité de l'information découle, tant en droit québécois que dans une majorité de juridictions occidentales, d'une série de dispositions législatives imposant non pas l'adoption de comportements ou l'utilisation de technologies ou de procédés identifiables, mais bien l'implantation de mesures de sécurité «raisonnables », «adéquates », ou « suffisantes ». Or, dans un domaine aussi embryonnaire et complexe que celui de la sécurité informationnelle, domaine dans lequel les solutions disponibles sont multiples et où la jurisprudence est éparse, comment une entreprise peut-elle jauger avec justesse l'étendue de son obligation? Bref, comment établir ce que ferait une entreprise raisonnablement prudente et diligente dans un domaine où il n'existe actuellement aucune balise législative, jurisprudentielle ou même coutumière permettant de fixer avec justesse le niveau de diligence imposé par le législateur? L'absence de sécurité juridique offerte par une telle situation est patente et nécessite une reconfiguration du cadre opératoire de l'obligation de sécurité informationnelle afin d'en identifier les composantes et les objectifs. Cet exercice passera par la redéfinition de l'obligation de sécurité informationnelle comme obligation de réduire les risques qui guettent l'information à un niveau socialement acceptable. En effet, la sécurité pouvant être définie comme étant la gestion du risque, c'est donc le risque qui réside au cœur de cette obligation. Or, en analysant les risques qui guettent un système, soit en analysant les menaces qui visent à exploiter ses vulnérabilités, il est possible d'établir quelles contre-mesures s'avèrent utiles et les coûts associés à leur mise en œuvre. Par la suite, il devient envisageable, en recourant à la définition économique de la négligence et en prenant compte des probabilités de brèches de sécurité et des dommages escomptés, d'établir les sommes optimales à investir dans l'achat, l'entretien et la mise à jour de ces contre-mesures. Une telle analyse permet ainsi de quantifier avec un certain degré de précision l'étendue de l'obligation de sécurité informationnelle en offrant aux entreprises un outil s'inspirant de données matérielles auxquelles elles ont librement accès et s'intégrant aisément dans le contexte juridique contemporain.

Responsabilité sociale et gouvernance d’entreprise : études de cas de firmes en situation de crise

Les cas d’entreprises touchées par des scandales financiers, environnementaux ou concernant des conditions de travail abusives imposées à leur main-d’œuvre, n’ont cessé de jalonner l’actualité ces vingt dernières années. La multiplication des comportements à l’origine de ces scandales s’explique par l’environnement moins contraignant, que leur ont offert les politiques de privatisation, dérégulation et libéralisation, amorcées à partir des années 1980. Le développement de la notion de responsabilité sociale des entreprises à partir des années 1980, en réaction à ces excès, incarne l'idée que si une entreprise doit certes faire des profits et les pérenniser elle se doit de les réaliser en favorisant les comportements responsables, éthiques et transparents avec toutes ses parties prenantes. Nous analysons dans cette thèse le processus par lequel, face à des dysfonctionnements et abus, touchant les conditions de travail de leur main d’œuvre ou leur gouvernance, des entreprises peuvent être amenées, ou non, à questionner et modifier leurs pratiques. Nous avons axé notre étude de cas sur deux entreprises aux trajectoires diamétralement opposées. La première entreprise, issue du secteur de la fabrication de vêtements et dont la crise concernait des atteintes aux droits des travailleurs, a surmonté la crise en réformant son modèle de production. La seconde entreprise, située dans le secteur des technologies de l'information et de la communication, a fait face à une crise liée à sa gouvernance d’entreprise, multiplié les dysfonctionnements pendant dix années de crises et finalement déclaré faillite en janvier 2009. Les évolutions théoriques du courant néo-institutionnel ces dernières années, permettent d’éclairer le processus par lequel de nouvelles normes émergent et se diffusent, en soulignant le rôle de différents acteurs, qui pour les uns, définissent de nouvelles normes et pour d’autres se mobilisent en vue de les diffuser. Afin d’augmenter leur efficacité à l’échelle mondiale, il apparaît que ces acteurs agissent le plus souvent en réseaux, parfois concurrents. L’étude du cas de cette compagnie du secteur de la confection de vêtement nous a permis d’aborder le domaine lié aux conditions de travail de travailleurs œuvrant au sein de chaînes de production délocalisées dans des pays aux lois sociales absentes ou inefficaces. Nous avons analysé le cheminement par lequel cette entreprise fut amenée à considérer, avec plus de rigueur, la dimension éthique dans sa chaîne de production. L’entreprise, en passant par différentes étapes prenant la forme d’un processus d’apprentissage organisationnel, a réussi à surmonter la crise en réformant ses pratiques. Il est apparu que ce processus ne fut pas spontané et qu’il fut réalisé suite aux rôles joués par deux types d’acteurs. Premièrement, par la mobilisation incessante des mouvements de justice globale afin que l’entreprise réforme ses pratiques. Et deuxièmement, par le cadre normatif et le lieu de dialogue entre les différentes parties prenantes, fournis par un organisme privé source de normes. C’est fondamentalement le risque de perdre son accréditation à la cet organisme qui a poussé l’entreprise à engager des réformes. L’entreprise est parvenue à surmonter la crise, certes en adoptant et en respectant les normes définies par cette organisation mais fondamentalement en modifiant sa culture d'entreprise. Le leadership du CEO et du CFO a en effet permis la création d'une culture d'entreprise favorisant la remise en question, le dialogue et une plus grande prise en considération des parties prenantes, même si la gestion locale ne va pas sans poser parfois des difficultés de mise en œuvre. Concernant le domaine de la gouvernance d’entreprise, nous mettons en évidence, à travers l’étude des facteurs ayant mené au déclin et à la faillite d’une entreprise phare du secteur des technologies de l’information et de la communication, les limites des normes en la matière comme outil de bonne gouvernance. La légalité de la gestion comptable et la conformité de l’entreprise aux normes de gouvernance n'ont pas empêché l’apparition et la multiplication de dysfonctionnements et abus stratégiques et éthiques. Incapable de se servir des multiples crises auxquelles elle a fait face pour se remettre en question et engager un apprentissage organisationnel profond, l'entreprise s'est focalisée de manière obsessionnelle sur la rentabilité à court terme et la recherche d'un titre boursier élevé. La direction et le conseil d'administration ont manqué de leadership afin de créer une culture d'entreprise alliant innovation technologique et communication honnête et transparente avec les parties prenantes. Alors que l'étude consacrée à l’entreprise du secteur de la confection de vêtement illustre le cas d'une entreprise qui a su, par le biais d'un changement stratégique, relever les défis que lui imposait son environnement, l'étude des quinze dernières années de la compagnie issue du secteur des technologies de l’information et de la communication témoigne de la situation inverse. Il apparaît sur base de ces deux cas que si une gouvernance favorisant l'éthique et la transparence envers les parties prenantes nécessite la création d'une culture d'entreprise valorisant ces éléments, elle doit impérativement soutenir et être associée à une stratégie adéquate afin que l'entreprise puisse pérenniser ses activités.