Le Responsable de la Sécurité des Systèmes d’Information (RSSI) joue un rôle central dans la protection des systèmes informatiques des entreprises. Pourtant, une idée fausse persiste : l'embauche d’un RSSI exonère la responsabilité d’une entité vis à vis de sa cybersécurité. En réalité, le RSSI est l’exécutant des décisions stratégiques de l'entreprise, et sa responsabilité ne remplace pas celle de la direction ni celle de l’entreprise. Il est donc nécessaire de cartographier les responsabilités de chaque acteur de la sécurité informatique au sein de son entreprise pour la protéger juridiquement.

Le RSSI est le chef d’orchestre de la cybersécurité d’une organisation. Ses missions sont variées : mise en place des politiques de sécurité, gestion des incidents, veille technologique, et sensibilisation des employés aux risques cybernétiques. Il agit en lien direct avec la direction de l’entreprise pour définir les priorités stratégiques et allouer les ressources nécessaires à la sécurité des systèmes d’information.

Son rôle est d’évaluer les risques informatiques et de proposer des solutions techniques et organisationnelles pour protéger les données sensibles de l’entreprise contre les cyberattaques. Cela fait du RSSI un interlocuteur clé entre la direction, les équipes techniques, et parfois même les régulateurs, notamment dans le cadre des réglementations sur la protection des données comme le RGPD.

Selon une étude SALT Security relayée par le ITSocial, 43% des RSSI ressentent qu’ils sont débordés par la multiplication des responsabilités qui leurs sont données et près de 48% des RSSI craignent que des litiges liés à une violation des données les atteignent personnellement. De nombreux RSSI ont peur que les conséquences d’une attaque ciblant l’entreprise qui les embauche engagent leur reponsabilité au delà du cadre professionnel. Il est nécessaire de clarifier les responsabilités du RSSI au sein de son entité pour la protéger de manière adéquate au plan juridique.

Le salarié RSSI bénéficie d’une protection légale dans le cadre de ses missions de travail

La responsabilité d’un RSSI en tant que salarié d’une entreprise est encadrée par des règles juridiques spécifiques. Ces règles prévoient que toute personne qui cause un dommage à autrui par sa faute lui doit réparation. Mais en ce qui concerne la relation employeur/salarié, c’est l’employeur qui est responsable des actes de son salarié dans le cadre des missions qui lui sont confiées. C’est à dire qu’en France, les salariés ne peuvent être tenus personnellement responsables des dommages causés dans l’exercice normal de leurs fonctions sous réserve de respecter leur contrat de travail. 

Comme la relation entre le RSSI et l’entreprise qui l’emploie est régie par un rapport de subordination, le RSSI – en tant que salarié – exécute les instructions de son employeur. Toute faute commise dans l’exercice des fonctions “normales” d’un RSSI relève donc – en principe – de la responsabilité de l’employeur.

Lorsqu’une entreprise recrute un RSSI, elle ne se décharge pas de sa responsabilité en matière de cybersécurité. Au contraire, l’entreprise demeure pleinement responsable, notamment en cas de manquements graves aux mesures de protection des systèmes d’information. L’embauche d’un RSSI doit donc s’accompagner d’une stratégie globale de sécurité, sous peine de voir la responsabilité de l’entreprise engagée en cas de faille ou de cyberattaque.

La responsabilité du RSSI pourrait être engagée dans le cadre d’un abus de fonction 

Bien qu’un RSSI bénéficie d’une protection légale dans le cadre de ses missions salariées, cette protection ne l’exempte pas de toute responsabilité. Sa responsabilité peut être engagée, notamment, dans le cadre d’un abus de fonction tel qu’il a été défini par la jurisprudence.

L’abus de fonction se caractérise juridiquement dans l’hypothèse où le salarié agit hors de ses fonctions, sans autorisation et à des fins étrangères à ses attributions selon une jurisprudence continue. Il s’agit concrètement de l’hypothèse où un salarié décide seul de quelque chose, en dehors de son lieu de travail, en dehors de son temps de travail, sans autorisation de sa direction, dans un but qui n’entre pas dans le cadre de ses missions de travail et qui ne sert pas l’intérêt de l’employeur.

Concernant l’hypothèse d’une cyberattaque, cela supposerait que le RSSI agirait de manière indépendante à la réalisation de cette dernière, en dehors de toute subordination.


Attention, la faute d’un RSSI dans le cadre de ses missions et l’abus de fonction créé deux situations différentes au niveau de la responsabilité du RSSI et de son employeur en cas de cyberattaque.

Il est essentiel de rappeler que, dans le cadre de son contrat de travail, le RSSI n’est qu’un exécutant des directives et politiques de sécurité définies par l’entreprise. Ainsi, sauf en cas d’abus de fonction, le RSSI bénéficie d’une protection légale qui limite sa responsabilité civile. Ainsi, dans le cas de cyber attaque, le RSSI ne peut en principe être tenu pour responsable s’il se trouve dans le cadre de ses missions et ce, y compris s’il commet une faute.

La faute d’un RSSI dans le cadre de ses missions, peu importe que la nature de la faute, engage la responsabilité de l’employeur. Par exemple, si un RSSI met en œuvre les directives de la direction sans moyens financiers ou techniques suffisants pour assurer une protection optimale, la responsabilité incombe à l’entreprise, et non au salarié. Le droit du travail protègera le RSSI en tant que salarié. Même si le RSSI comet une faute, y compris une négligence, tel que l’oubli d’une mise à jour de sécurité qui entrainerait une faille critique de sécurité du parc, sa responsabilité civile ne pourra être engagée, en principe. L’employeur pourra toutefois sanctionner le RSSI sur le fondement du droit du travail selon la situation de faitet notamment en cas de faute.

Il est actuellement difficile de caractériser la faute ou un abus de fonction concernant les RSSI car les cyber attaques peuvent avoir des origines multiples et il est complexe d’imputer au RSSI seule une faille de sécurité.

https://www.hellowork.com/fr-fr/metiers/responsable-securite-des-systemes-dinformation-rssi.html
https://feral.law/archives/rssi-quelles-responsabilites/

https://cyber.gouv.fr/sites/default/files/2021/10/anssi-profils_de_la_cybersecurite-marche_ouvert-rssi.pdf

https://www.infortive.com/metiers/responsable-de-la-securite-des-systemes-d-information-rssi

https://www.lemagit.fr/actualites/365531713/NIS-2-pour-les-DPO-apres-RGPD-cest-cybersecurite

https://sante.gouv.fr/metiers-et-concours/les-metiers-de-la-sante/le-repertoire-des-metiers-de-la-sante-et-de-l-autonomie-fonction-publique/systemes-d-information/sousfamille/expertise-systemes-d-information/metier/responsable-securite-des-systemes-d-information-rssi

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.