Le risque juridique dans le management des projets informatiques
La loi encadre la réalisation des projets informatiques dans le domaine de la protection des données personnelles, le respect des pratiques comptables, la régularisation des processus de vente (facturation, dématérialisation des documents, etc.).
Cette loi est-elle respectée par les opérateurs économiques, les entreprises et les sociétés ? En cas de violation des principes, qui relèvent de la vie privée et du droit commercial, le directeur et le gérant de la société pourraient faire l’objet de poursuite judiciaire. Afin de concilier l’informatique avec la loi, il est primordial que la gestion des projets informatiques n’ignore pas les droits et libertés des salariés ainsi que les règles régissant la comptabilité et le commerce. L’apparition de l’outil informatique a accéléré la capacité de collecte et de traitement de données nominales sur les personnes ainsi que la possibilité d’interconnecter des informations collectées dans divers fichiers.
Si on prend le seul exemple des données personnelles, en France, la loi du 6 janvier 1978 (modifiée le 6 août 2004) relative à l’informatique, aux fichiers et aux libertés a pour objectif de garantir le type d’informations faisant l’objet d’un recueil informatisé et de limiter les regroupements d’informations à caractère personnel.
Tout fichier automatisé de données normatives est soumis au contrôle de la Commission nationale de l’informatique et des libertés (CNIL) s’agissant de : son élaboration (données recueillies); son traitement (les possibilités du logiciel) ; son exploitation (l’usage fait des données) ; son utilisation (consultation, communication, vente, prêt) et ses interconnexions à d’autres fichiers.
Avec la loi de 2004, le régime ordinaire est celui de la déclaration auprès de la CNIL avec un régime simplifié lorsque le système d’information est conforme aux normes arrêtées par la CNIL. L’informatique, par définition, n’est qu’une automatisation de la création, l’échange ou la transformation de l’information propre à un métier. Elle ne se substitut pas au métier et ne s’exonère pas, donc, des contraintes juridiques. Or, dans la pratique il existe certaines irrégularités. Ces dernières peuvent être volontaires et prémédités comme elles se prolifèrent également de manière involontaire et souvent par ignorance des principes de la loi.
Quelques notions et solutions :
Un moyen connu dans le management de projet permet de résoudre cette faiblesse sans perturber le déroulement du projet informatique souvent mené à la hâte : le management du risque.
Le management de projet :
Le management de projet, informatique ou autre, consiste à dérouler un certain nombre de processus, définis et ordonnancés afin d'atteindre les objectifs pour lesquelles le projet en question a été initié. Il existe des normes et des méthodes qui décrivent ces processus et leur enchainement tels que le PMP, Prince 2, ISO….
Le management des risques :
Le découpage des processus de management de projet pratiqué par l’institut américain PMI (Project Management Institute), prévoit un "domaine de connaissance" dit "Management des risques du projet". Ce dernier regroupe pas moins de six processus. Ils servent à prévenir toutes éventualités d’irrégularité qui pourraient survenir avant, pendant ou après la réalisation du projet. Ainsi, on minimise les risques de la responsabilité.
Le risque juridique :
Lors du déroulement des processus de prévention des risques, l’informaticien essaie d'identifier tout ce qui peut affecter de près ou de loin le bon déroulement des tâches planifié pour l'exécution du projet. La loi doit être un allié du progrès. C’est pourquoi, elle doit suivre l’évolution de la technique et l’encadrer pour éviter les atteintes aux droits et aux libertés. Il existe, aussi dans la pratique, des risques qui surgissent après le commencement de l’exploitation du produit en raison d’une sous-estimation d’un risque dans le management du projet. La loi doit prévoir des solutions à ce type de situation.
Mais quels risques juridiques dans les projets informatiques :
Les données sont très maniables en informatique, ce qui donne souvent l'impression de l'impunité face aux infractions relatives à l'utilisation abusive de ces données en termes d'exploitation (exemple des données personnelles) ou de modification (exemple des aspects contractuels). Dans les faits, la loi s'applique naturellement sur l'outil informatique parfois même de façon exclusive. Le produit informatique peut être mis à l’abandon à défaut de pouvoir le rendre conforme à la législation. Le cas échéant, les pertes financières sont considérables.
Quels experts pour manager les risques juridiques :
Un des outils préconisés pour estimer les risques dans le management des projets, est celui de l'avis des experts. Il est, souvent, question de professionnels de l'entreprise qui "jugent", de par leurs expériences, les risques qui pèsent sur les tâches identifiées, or pour les questions juridiques cela ne suffit pas. Il est donc préconisé, d'impliquer des juristes, d'abord pour identifier les domaines de lois touchés par le produit résultant du projet, puis pour caractériser chaque risque par domaine.
En effet, l'expertise du juriste peut bien sûr venir de l'entreprise, mais faut-il encore qu'il soit assez souvent impliqué dans le domaine du risque. Le juriste d’entreprise est souvent sollicité pour des questions de transactions contractuelles.
En réalité, c'est surtout des experts dans la pratique du droit de l’informatique et des libertés dont l’entreprise aurait besoin. Ainsi, l'outil informatique qui à la base devrait optimiser les coûts métiers par une automatisation des processus et une maîtrise de leur déroulement, peut conduire à des pertes implicites liées à la création du produit et explicites dû au non-respect de la loi. Un risque à prévoir ou plutôt à inclure dans le management des risques afin de maîtriser le management de projet.
Badie Ghorab, consultant SI et Fayçal Megherbi, avocat
Commentaires (2) | Réagir ?
merci
merci bien