Contexte juridique des ASR, où en est-on? suivi de... comment avancer avec un "Guide des bonnes pratiques des ASR"?
---------------------------
Cette communication fait état d'une réflexion sur le contexte juridique des ASR et l'établissement d'un guide des bonnes pratiques des ASR
La genèse de cette réflexion et des actions qui s'ensuivent (formation, et groupe de travail) remonte (pour moi) à 2006 sur la DR12. A la suite de plusieurs incidents de sécurité informatique sur la DR12, nous avons monté un groupe de travail pour formaliser un ensemble de questions sur la nature et l'étendue de nos responsabilités juridiques dans l'exercice du métier... et donc réfléchir à l'étendue de nos responsabilités juridiques.
Nous souhaitions alors obtenir des réponses claires et précises de nos tutelles à la question : En cas de problème de sécurité, de quoi sommes nous responsables ?
L'ensemble de ces questions, que je passe en revue, a constitué la base d'un cahier des charges pour une action de formation que nous avons montée en janvier 2008 avec la FP de la DR12, et que nous avons confiée à Me Barbry (cabinet Benssoussan) spécialiste des questions juridiques en informatique. Grâce à l'existence du réseau métier Resinfo, celle-ci a été reprise dans plusieurs autres régions par d'autres animateurs régionaux (Caen, Rouen, Strasbourg...)
Il ressort de cette formation qu'il n'y a bien entendu aucune réponse définitive à ces questions de responsabilité ni aucun glossaire précis des responsabilités qui nous incombent ni des fautes que nous pourrions éventuellement commettre.
Au vu des jurisprudences de ces dernières années, nous apportons donc dans cette communication plutôt un éclairage et ensemble de réponses partielles, synthétisées à partir des formations juridiques de Me Barbry. La question n'est en fait pas "de quoi sommes nous responsables ?", mais "qu'est-ce que la responsabilité ?" et... "où se situe actuellement la responsabilité en Droit Pénal et Administratif dans le métier d'ASR ?"
Dans la seconde partie de l'exposé, nous dépassons le cadre de "l'inquiétude" face à la responsabilité juridique.
Nous constatons qu'il y a une faiblesse de la définition du poste (cadre, limites des missions, fonctions..) d'ASR au CNRS comme à l'EN, et une nécessité d'améliorer « le contenu et la visibilité du métier » en commencant par l'établissement d'un "Guide des bonnes pratiques des ASR"
(Déf. De wikipedia) Le terme « bonnes pratiques » désigne, dans un milieu professionnel donné, un ensemble de comportements qui font consensus et qui sont considérés comme indispensables, qu'on peut trouver sous forme de guides de bonnes pratiques (GBP). Ces guides sont conçus par les filières ou par les autorités. Ils peuvent se limiter aux obligations légales, ou les dépasser. Comme les chartes, ils ne sont généralement pas opposables. Ils ne sont pas toujours publics, ni toujours gratuits ou accessibles en ligne pour le consommateur. Ils sont souvent établis dans le cadre d'une démarche qualité par les filières.
Nous poursuivons en indiquant que l'on peut essayer d'améliorer la qualité de service, mieux travailler, et limiter, encadrer ses responsabilités par un ensemble de "bonnes pratiques" du métier d'ASR. Ces bonnes pratiques seront déclinées selon plusieurs volets :
- recommandations d'ordre organisationnelles (en s'inspirant du standard ITIL et de l'iso20000) : Les bonnes pratiques dans la fourniture de services informatiques
- recommandations sur la sécurité du système d'information
- recommandations sur les attitudes à avoir face à la responsabilité juridique
- recommandations sur les bonnes pratiques au niveau "relationnel" et de l'organisation personnelle : gestion du temps, communication avec les utilisateurs
- Recommandations sur les compétences : formation permanente, veille technologique, réseaux métier
Maurice Libes (CNRS)