Responsabilité freelance en télétravail

Bonjour,

Je ne connais pas trop les assureurs en matière de télétravail, je ne peut apporter que mon avis sur certains points supplémentaires:

- FDE (Full Disk Encryption) devient la norme (BitLocker pour Windows si je me souviens bien). En cas de vol, si l'ordinateur est éteint, c'est plus difficile à voler des données sur disque.
- Si vous avez l'habitude de laisser l'ordinateur déverrouillé pendant les pauses, alors mettez un programme pour verrouiller automatiquement.
- Choisissez un bon gestionnaire de mot de passe, générez des mots de passes longs et difficiles, et n'en réutilisez jamais un ailleurs. Je recommande Keepass (+backup sur Cloud), mais peut-être parce que je ne fais pas trop confiance à gestionnaire de mot de passe en ligne

Ca n'empêche pas un piratage par 0 day vuln ou un programme de malveillant, mettez à jour de votre PC de temps en temps et séparez la machine perso de la machine pros (n'installez pas des trucs bizarres sur la machine pro par exemple)


Sinon, malgré des précautions, si un pépin arrive, d'après la discussion avec mon client actuel, c'est au cas par cas mais si c'est un gros pépin (un accès non autorisé interrompte la prod par ex) ma responsabilité sera engagé s'il peut prouver un lien. Je pense donc que c'est plutôt les garanties d'assurance qui sont importants, s'il n'exclure pas le télétravail?

Bonjour, merci pour toutes ces informations, je vais me pencher dessus !
A vrai dire c''est la première fois que je dois bosser avec mon matos, avant c'état l'esn ou le client qui gérait. Je n'ai rien dans le contrat concernant la sécu hormis les clauses de confidentialié et en tant que presta j'ai du mal à voir comment aborder la question de ce que le client attend de moi en terme de sécurisation... J'ai l'impression que pour lui c'est à moi de gérer ces aspects point ce qui me semble aussi normal. Merci

Bonjour,

A mon sens, vous devez gérer votre propre sécurité, mais c'est à votre client de définir sa politique de sécurité informatique.

Eventuellement, en tant que consultant, vous pouvez peut-être l'accompagner / le conseiller sur le sujet. Il devrait effectivement faire apparaitre des clauses contractuelles concernant la sécurité informatique. Il devrait également y avoir le cas échéant des clauses concernant la confidentialité et la protection des données personnelles (RGPD).

Votre client a-t-il un RSSI (Responsable de la Sécurité des Systèmes d'Information) ?

Un prestataire est en quelque sorte un mandataire au sens qu'il est chargé par son client (mandant) d'effectuer des tâches en son nom ou pour son compte.

A partir de là, d'après le code civil, le mandataire est responsable de tout document qui lui serait confié dans le cadre de sa mission.
Et est responsable envers son client de toutes fautes comises dans l'accomplissement de sa mission.

Il n'y a donc pas besoin d'avoir de clauses spécifiques dans le contrat avec son client pour que ce dernier puisse engager votre responsabilité si des informations sensibles fuites.

C'est donc à vous de prendre vos dispositions (protection outils de travail et espace de travail) et de contracter des assurances en conséquence pour transférer ce "risque" à cette dernière.
Attention cependant, la plupart des assurances ne couvrent pas (cf liste des exclusions) la négligence manifeste comme le fait de laisser trainer son PC sans surveillance et non chiffré dans un espace public.


Edit : Je m'étais un peu renseigné sur ces histoires de mandataires et de code civil pour un litige que j'ai avec mon syndic de copropriété.
J'ai supposé que ça pouvait s'appliquer de la même façon aux prestataires.

Bonjour _lael,

C'est intéressant ce que vous dites, même si pas forcément rassurant. Vous pouvez nous en dire plus ?

Est-ce que cela s'applique dans notre cas, étant donné que le client est une entreprise et nous aussi ?
Dans votre cas (syndic de copro), le client (vous si j'ai bien compris) était un particulier, non ?

Bonjour,

J'étais justement sur cette jurisprudence plutôt intéressante sur le sujet :
https://derriennic.com/la-responsabilite-du-prestataire-informatique-en-cas-de-cyberattaque/

Prestataire informatique accusé par une association de manquement à la sécurité (défaut de sauvegarde) après une cyberattaque.
En résumé, la cour a reconnu que le prestataire aurait du mieux analyser les besoins pour proposer des solutions de sauvegarde. Néanmois comme rien ne figurait dans le contrat ou le cahier des charges, le client (l'assoc) a été débouté de sa demande.

Merci Laura.p63, ce cas est très intéressant.
Car il s'agit d'un prestataire pour lequel on pouvait attendre des conseils sur la gestion du risque.

En ce qui concerne le cas initial, quel serait la responsabilité du prestataire, sur un risque qui n'a rien à voir potentiellement avec la prestation.
A partir du moment où le client envoie ses informations par mail, il accepte que ce ne soit pas vraiment sécurisé.

C'est aussi la question que je me posais en fait lorsque je suis tombée sur ce cas.
J'ai eu une propo de mission pour faire la maintenance régulière d'un site (mises à jour de thèmes et extensions, corrections de bug et développement de nouvelle fonctionnalités). Sauf que je me suis apercue que 2 autres personnes ont des accès au site en admin, une agence SEO et l'ami du propriétaire, selon ses dires "expert en cybersécurité". Autant dire que là avec 3 prestas je vois pas du tout comment ça se passe pour les responsabilités s'il se passe un truc...

Ha oui, c'est pas top du tout.

Peut-être la mise en place d'une journalisation fine des accès ?

Bonjour à toutes et à tous,

Les entreprises sont toutes encore loin d'avoir pris toutes les mesures nécessaires relatives à la mise en place du télé-travail et de fournir un "digital workplace" en distanciel, en bonne et dûe forme.

Dans la plupart des cas, nous avons ces deux cas de figures :

1/ Le client met à disposition un outillage de session distante (Citrix, MS RDS, une machine virtuelle de rebond ou un session Cloud), accessible depuis un ordinateur portable prêté par le client, charge à vous de vous assurer de la connexion et de la sécurisation de la connexion Wifi.

2/ Le client met à disposition un outillage de session distante (Citrix, MS RDS, une machine virtuelle de rebond ou un session Cloud), accessible depuis votre ordinateur personnel, charge à vous de vous assurer de la connexion, de la sécurisation de la connexion Wifi et de la sécurisation de votre poste personnel/professionnel.

3/ Il se peut parfois que ce soit l'intermédiaire (quand il y en a un) qui se charge de vous prêter un ordinateur portable (cela existe vraiment), charge à vous de vous assurer de la connexion et de la sécurisation de la connexion Wifi.

Comme énoncé dans le premier message de "Membre-02551943", la mission s'effectue, en télétravail, avec le matériel personnel/professionnel du prestataire. Il s'agit d'un cas plus fréquent que l'on ne peut le penser :

4 Comme cité plus haut, le client n'a pas d'outillage d'accès à distance pour le télétravail, ne fournit pas d'ordinateur portable. charge à vous de vous assurer de la connexion, de la sécurisation de la connexion Wifi et de la sécurisation de votre poste personnel et des données qui transiteront et/ou seront stockées à un moment donné sur votre ordinateur personnel/professionnel.

Quelques actions que j'ai déjà appliqué et qui donne souvent à réfléchir au client, voire à l'intermédiaire (ce n'est que pour son/leur bien, rappelez-vous ce "bon ami") :

=> Demander l'accès à la "PSSI" pour consultation si disponible ainsi qu'à la "Charte Informatique" : vérifier la présence et le contenu d'un chapitre concernant les prestataires externes (accès, identification, sécurité, sûreté, accès distant, utilisation contrôlée de l'outillage, etc.)

=> Demander l'envoi d'une procédure NDA (Non Disclosure Agreement") : vous engage d'une certaine manière à ne pas communiquer d'informations .... à renseigner, à signer et à renvoyer au bon service.

=> Enovoyer une décharge au client (copie à l'intermédiaire si il y en a un), rappelant les faits et les constats :

- Pas de prêt d'ordinateur portable et de périphériques (imprimantes, mobiles, ...)
- Pas d'outillage pour se connecter à distance.
- Pas de politique de gouvernance de la donnée adaptée à l'utilisation, au traitement, au stockage de données de travail ou définitive par un intervenant extérieur, sur un matériel externe (l'ordinateur portable perso/pro, clé USB, disque externe, et .)
- Pas d'application des quelques rudiments obligatoires de la Loi Informatique & Liberté de 1978, du RGPD applicable depuis le 25/05/2018 (citer quelques articles essentiels), ainsi que la Loi Anti-Fraude er/ou Anti-Corruption.

- Indiquer que vous ne pourrez, et ne serez, en aucun cas, tenu responsable d'un quelconque litige survenu avant ou après un incident d'exploitation, une perte ou un vol de document, de données, dans le cadre de votre mission/prestation, vu qu'il n'y a aucune mesure viable et fiable de protection des données et des services, inhérents à l'exécution de votre mission.

Au final, le client y regarde à deux fois et comprend (souvent rapidement) que le "gus" (le prestataire) en face de lui, n'est pas un "perdreau de la dernière année" ou un "lapin de six semaines" et qu'il a flairé, avec un vent contraire, en avance, comme les animaux de la nature.

Je signe le tout, daté comme il faut, j'envoi par mail sécurisé avec accusé de réception/lecture/suppression et par courrier en LAR (j'en ai connu des p'tits malins) : la réponse n'est jamais longue à venir. Dans 95%, une solution est rapidement trouvée et la prestation se déroule sans anicroche (comme le disait un acteur de série : "j'adore les plans qui se déroulent sans accroc".

N'oublions pas toutefois notre RC PRO à souscrire qui devrait être rendue obligatoire, à la création de la structure.
La RC PRO, c'est comme l'assurance auto/moto : tu ne travailles pas tant que tu n'es pas assuré / tu ne roules pas avec ton véhicule tant que tu n'es pas assuré correctement, pour toi, pour ton entreprise, envers les autres.

Cela me rappelle le titre de deux films, des "Western spaghettis" pour être plus précis : "Et pour quelques dollars de plus" et "Pour une poignée de dollars" ... tu peux bien t'assurer pour bien travailler.

Bien à vous,
Yanolezard

Non merci, je n'ai pas de RC Pro et je n'en ai pas besoin !

Je me pose aussi la question de si la RC pro couvrirait vraiement ce genre de situation. Je n'ai pas de détails poussé dans mon contrat mais si on reprend la jurisprudence de Laura, si l'entrepreneur avait été reconnu fautif, je vois pas comment la RC pro aurait pu couvrir un "défaut de conseil".
Idem pour le cas du post initial à quel moment ça peut être couvert et à quel moment c'est considéré comme de la négligence ?
Ou alors ça voudrait dire que l'assureur impose des équipements, logiciels ou règles de sécu minimales ? Pour ma part je n'ai rien de tout ça

Les contrats de RC Pro sont truffés d'exceptions, d'exclusions ..., je n'ai connu PERSONNE qui ait dû/pu faire appel à sa RC PRO dans le domaine de l'IT.

Bonjour à toutes et à tous,

N'en déplaise à certain(s) contributeur(s) de ce fil, une RC PRO peut être utile en environnement IT ... J''ai déjà expliqué mon cas dans un précédent post.

Deux exemples concrets,résumés et récents de l'utilisation de la RC PRO en environnement IT :

Première situation:

- Le client : un assureur important en France.
- Le prestataire : un développeiur UNIX/COBOL chevronné (+ de 30 ans d'expériences, irréprochable jusqu'à ce jour).

Le contexte : travaux importants de modernisation et de refonte sur une "chaine" COBOL de remboursement de frais professionnels (une dizaine de projets en parallèle avec une multitude de découpages en chantiers/lots et une équipe de 10 personnes (quelques externes et quelques internes sous ces ordres, un projet comme il en traite depuis des années)

Les faits : substitution avérée d'une devise "Euro" par une devise "Franc", avec traitement et édition de chèques de rembourments de frais et d'émissions automatiques EDI et SEPA.

Explications : pourtant chevronné, une faute d'inattention a été commise (fatigue, personnels pressés, mauvaises pratiques DevOps, et comme il est responsable de ce projet .... la guillotine (une première fois en + de 30 ans)

Pour le client, pertes estimées à 25000 euros :

- édition de chèques de remboursement de frais à des collaborateurs, libellés en francs, sur une chaine automatique de nuit (22:00 / 06:00)
(il faut savoir que ces chèques sont édités sur des imprimantes matricielles ultra-rapides à doubles-chariots : 500 chèques/30 mn ... ça pulse et rien ne peut arrêter le spooler sauf à stopper l'imprimante ou à arriver en fin de papier-chèques, pas pratique lorsque les appareils sont dans une pièce sécurisée, à l'abrti des regards indiscrets)

- corrections urgentes H/24 et ré-éditions des chèques de remboursement des frais dss collaborateurs libellés en euros.
- pénalités de traitement des chèques par les organismes contrôleurs.
- correction des envois EDI/SEPA, intertmédiations avec la BDF et les autres banques ...
- pénalités de traitement des virements par les organismes contrôleurs.

La RC PRO a été activée et l'assurance a réglé les dommages causés ... Malgré cet "accroc", il a continué le projet.

Seconde situation :

- Le client : un sous-traitant d'un groupe métallurgique.
- Le prestataire : indépendant spécialisé en informatique industrielle (IT) et en centre d'usinage "fraiseuse".

Le contexte : mise au point d'un nouveau centre d'usinage à vocation multi-fraises entièrement robotisé.

Les faits :
- destruction partielle du nouveau centre d'usinage que le client venait d'acquérir.
- destruction de 3 fraises (2 au tungsten et 1 au diamant) d'une valeur globale de 23000 euros.
- lésions profondes par entailles dans 3 murs de l'atelier d'essais
- 2 blessés légers par éclat de fraise (malgré les protections en place du constructeur)
- Abandon d'une nappe de 30 litres de lubrifiant (appelé "Lait") au sol.
- 1 blessé léger (chute par glissade à cause de l'expansion du lubrifiant)

Explications possibles (voire plausibles) :

- La mise au point d'un programme de CFAO (Conception et Fabrication Assistée par Ordinateur) et les règlages des outils de découpe est assez complexe et nécessite des compétences pointues entre différentes équipes : tous les acteurs (internes/externes) avaient les compétences plus que nécessaires. Seulement, les machines numériques et la mécanique de précision ne font pas toujours bon ménage ensemble.

- Une erreur de codage dans le programme est le déclencheur : un choix "inapproprié" ou "plus juste" d'un type de valeur (un type "float" si mes souvenirs sont exacts), ce qui a provoqué en bout de chaine, par effet "domino" : le serrage des mâchoires et de l'axe des fraises n'était pas effectif, les fraises ont commencé l'usinage d'une pièce ... il y a eu quelque chose qui a fait qu'un blocage s'est produit simultanément sur les 3 fraises et la pièce .... dans ce cas précis, c'est très simple : les fraises éclatent en 1000 morceaux, partent dans des directions inconnues et tout objet ou corps se trouvant dans leur direction en fait les frais (pour en avoir vu et vécu 2 fois, je peux attester formellement des dégats causés : cela découpe du kevlar comme un cutter dans un cuir de vieux taureau : vous entendez une "détonation" (comme un coup de fusil de chasse, à distance proche et à la même vitesse) et lorsque vous vous retournez, le spectacle peut être désastreux .... quand les éclats rencontrent un corps humain, je vous laisse imagine ce que cela peut engendrer et c'est ce qui s'est passé avec les personnes blessés légers : un bras musclé entaillé sec et une fesse dans le même état. Les chirurgiens comparent souvent ces "dégats" à ce qui se passent sur les théâtres d'opérations extérieurs.

Pour le client, les dégâts matériels et humains sont très importants :

- 56000 euros de matériels (centre, murs, fraises)
- pour les personnels : le montant est à discrétion.

La RC PRO a été enclenchée ... L'assurance a payé les dégâts matériels (il y avait une clause particulière pour un certain type d'activité IT de cer secteur de pointe) et la partie pénale est encore en cours pour les humains.

Alors, oui, la RC PRO peut servir en environnement IT. Cela n'arrive pas tous les jours, fort heureusement.
Les assureurs ne font pas de "reporting" sur ces faits qui sont plus fréquents que l'on ne pense, au même titre que les RC PRO du secteur juridique IT ou de la cyber IT et ils ne le "crient pas non plus sur les toits".

Bien à vous toutes et tous,
Yanolezard.

L'exemple est très clair et intéressant mais on reste ici, j'ai l'impression, sur une faute avec responsabilité clairement identifiée.
Le prestataire a si j'ai bien compris développé et mis en prod le code en autonomie, sans contrôle du client (ce qui peut être logique si le client n'a pas les compétences et ressources internes)
Mais comment est ce que cela se passerait si le client à un pouvoir de décision ou est impliqué dans l'incident . Comme pour mon cas avec les multiples accès admin ou celui de l'auteur initial où le client utilise visiblement des méthodes moyennements sécurisés pour communiquer des informations son presta. Et si on reprend votre exemple que se serait-il passé si le client avait contrôlé le code et donné son accord pour la mise en prod ? Pas sûr que la RC pro du presta aurait acceptait de prendre en charge les dégâts dans ce cas.

Bonjour Laura.p63,
Je dirais que l'avantage de la RC Pro dans les cas que vous évoquez, c'est que ce sera l'assurance qui se battra pour ne pas payer et pas vous 😉

Il n'y a qu'à lire les conditions des assurances RC Pro pour comprendre qu'elles n'assurent pas grand chose.

Droopyann a écrit : Bonjour Laura.p63,
Je dirais que l'avantage de la RC Pro dans les cas que vous évoquez, c'est que ce sera l'assurance qui se battra pour ne pas payer et pas vous 😉

Oui je n'avais pas pensé à cet aspect mais c'est déjà une belle économie.. de temps

Freelance91 a écrit : Il n'y a qu'à lire les conditions des assurances RC Pro pour comprendre qu'elles n'assurent pas grand chose.

Bonjour,

C'est un problème contractuel d'un côté et de niveau de risque de l'autre.

Si c'est dans le contrat : pas le choix.

Et au niveau risque :
- faut-il s'assurer contre un risque infinitésimal ?
- faut-il avoir un accompagnement juridique pour ne pas avoir à payer quand le risque se concrétise ?
- faut-il être couvert quand un risque est faible, mais catastrophique quand il survient ?

Les choix sont à étudier par tout un chacun. C'est personnel. Chacun voit midi à sa porte.

Par exemple : Faut-il s'assurer contre un risque de crue centenaire ? Le risque est de 1/100. Pour un événement qui arrive sur quelques jours tous les 100 ans. Est-ce utile ?