1. Les risques encourus par l’entreprise
Il ne se passe pas une semaine sans que les médias ne relatent des cyberattaques, fuites de données personnelles, ransomware, escroqueries au Président et autres incidents dont les entreprises sont victimes. L’entreprise (et par extension le DSI), bien que victime dans ces hypothèses, n’exclut pas pour autant sa responsabilité. A titre d’exemple, la responsabilité de l’entreprise peut être engagée pour défaut de sécurité des données personnelles. En effet, la loi Informatique et Libertés impose au responsable du traitement de mettre en œuvre des mesures de sécurité technique et physique visant à assurer l’intégrité et la confidentialité des données. L’entreprise peut alors être sanctionnée (sanctions administrative et pénale jusqu’à 300.000€ d’amende et 5 ans d’emprisonnement), même en cas de négligence. Ces sanctions, qui ont vocation à s’alourdir avec l’adoption prochaine du règlement européen, s’appliquent que la faille de sécurité provienne de l’entreprise ou de son sous-traitant (ex : prestataire d’hébergement).
Par ailleurs, l’action des salariés via le système d’information peut également être une source de responsabilité pour l’entreprise, et indirectement pour le DSI. A savoir notamment :
en cas d’intrusion non autorisée d’un salarié dans un autre système d’information, et ce à partir des moyens fournis par son employeur, l’atteinte à un STAD étant pénalement sanctionnée ;
dans l’hypothèse où un salarié, toujours grâce aux ressources informatiques de l’entreprise, publie des contenus illicites (propos diffamatoires, injurieux et racistes), commet une escroquerie, ou encore procède au téléchargement illicite de contenus protégés par le droit d’auteur ;
lors de l’utilisation de logiciels, en dehors des termes de leur licence, celle-ci étant, d’une part, susceptible d’entrainer des pénalités pour l’entreprise (en cas d’audit de licence l’éditeur) et, d’autre part, considérée comme un acte de contrefaçon réprimé pénalement (jusqu’à 3 ans d’emprisonnement 300.000€ d’amende).
Ces atteintes au système d’information et aux données de l’entreprise, ainsi que les autres infractions susmentionnées peuvent, en outre, avoir des conséquences indirectes particulièrement dommageables : pertes financières, perte de clientèle, atteinte à la réputation, désorganisation de l’entreprise, etc.
2. Les responsabilités auxquelles le DSI est exposé
Le DSI peut engager sa responsabilité par la commission d’un acte positif, ou en cas d’une omission, d’une négligence ou d’une imprudence de sa part.
Ainsi, le DSI peut être responsable pénalement des atteintes et ses conséquences à la sécurité du système d’information, dès lors que :
il dispose d’une délégation de pouvoir valable par le chef d’entreprise, à savoir notamment une délégation non ambiguë, précise, limitée à certains domaines et dans le temps, et acceptée par un délégataire disposant des compétences, de l’autorité et des moyens humain et financier nécessaires ;
il a commis une faute personnelle à l’origine du sinistre ou de l’infraction constaté, et ce notamment s’il est démontré qu’il n’a pas pris des mesures de sécurité raisonnables visant à protéger le système d’information (ex : faille de sécurité entrainant une fuite de données).
Si sa responsabilité pénale est effectivement engagée, le DSI encourt des peines d’amende, d’emprisonnement et complémentaires, telles que l’interdiction d’exercer certaines activités ou certains droits.
Le DSI peut également engager sa responsabilité professionnelle en cas d’inexécution ou mauvaise exécution de son contrat de travail (et le cas échéant, du règlement intérieur). Des sanctions disciplinaires (avertissement, mise à pied, rétrogradation, etc.) ou un licenciement pourront être prononcés par l’employeur à son encontre, en cas de faute lourde notamment (ex : intention de nuire à son employeur).
A titre d’exemple, le recours à la sanction disciplinaire pourrait être envisagée dans l’hypothèse où, du fait d’une grave négligence, le DSI aurait laissé se propager un virus causant un sinistre à des tiers.
3. Les bons réflexes juridiques
Afin de se prémunir contre la mise en jeu de la responsabilité de l’entreprise et/ou du DSI, voici quelques bonnes pratiques juridiques à mettre en place au sein de l’organisme.
L’édition ou la mise à jour d’une charte informatique est un premier exemple. Cette charte a vocation à encadrer l’utilisation d’internet, des ressources informatiques et du système d’information de l’entreprise par les salariés. Elle charte peut être complétée par une politique de sécurité SI afin d’organiser la gestion des accès et la traçabilité des incidents.
De même, une attention particulière doit être portée sur la contractualisation des délégations de pouvoirs mais également des relations avec les sous-traitants. Il est indispensable de verrouiller les contrats avec ces derniers et d’obtenir des sous-traitants, ayant accès au SI et aux données de l’entreprise, de solides garanties en termes d’intégrité et de confidentialité.
Enfin, il est recommandé d’anticiper l’entrée en vigueur du règlement européen portant sur les données personnelles. Parmi les actions à mener on peut citer : réaliser un audit CNIL, réfléchir à la mise en œuvre de procédures internes formalisées (études d’impact, analyses de risques, et codes de conduite), rédiger une politique de vie privée prenant en compte le principe de « Privacy by Design » et désigner un délégué à la protection des données (DPO), facilitant la mise en conformité de l’entreprise à la loi.
