La responsabilité pénale des CISO

Face à la montée des cyberattaques et au durcissement des réglementations, les CISO voient leur rôle renforcé — mais aussi leur responsabilité pénale engagée. Philippe Glaser décrypte les risques juridiques auxquels ces garants de la sécurité informatique sont désormais exposés.

Par Philippe Glaser, associé au sein du cabinet Taylor Wessing

Le CISO (Chief Information Security Officer), c’est à dire le Directeur de la Sécurité de l’Information (DSI), est devenu un élément central dans l’organisation de l’entreprise. En effet, la transformation des systèmes d’information, leur externalisation ainsi que leur digitalisation se sont accrues ces dernières années. Dans le même temps, les attaques des Systèmes d’Informations (SI) – DoS, hameçonnage, ransomware… – ont augmenté, créant des préjudices parfois incommensurables (arrêt de production, rançon, corruption de données et atteinte à la notoriété de l’entreprise notamment).

C’est au regard du risque des attaques et de la fragilité de certains SI que la réglementation, essentiellement européenne, s’est densifiée pour favoriser la mise en œuvre de règles ayant pour objet de protéger les entreprises mais aussi les particuliers. Le RGPD fait bien évidemment partie de ces réglementations protectrices.

Le rôle du CISO

Dans ce contexte, le rôle du CISO a pris une importance toute particulière puisque celui-ci est en charge de la sécurité des informations et des données d’une entreprise ; il veille notamment à l’architecture du SI en termes de sécurité.

Il dispose d’une compétence accrue par rapport à un RSSI puisque son rôle est de s’assurer de la compatibilité du SI aux exigences métiers ; sa vision est avant tout axée sur l’innovation et la performance là où le RSSI doit veiller au quotidien à la protection, l’anticipation et la neutralisation des risques.

On considère que le CISO est le responsable de la sécurité opérationnelle, de la cybersécurité, des données de l’entreprise, des accès au SI, des programmes et plus généralement de la gouvernance en matière de SI, c’est-à-dire de la relation entre les équipes IT et les utilisateurs et de l’information des dirigeants.

Son rôle est donc primordial.

La délégation de pouvoir au profit du CISO

C’est dans ce contexte que la responsabilité pénale du CISO peut être mise en cause même si aucun texte spécial ne vient encadrer ce statut et ses obligations ni sanctionner leur non-respect. Reste qu’au-delà des obligations liées à son contrat de travail, le CISO peut être confronté, dans certaines circonstances, à des contraintes de nature pénale. Ce sera ainsi le cas soit lorsque le CISO sera l’auteur d’une infraction commise à titre personnel, soit en sa qualité de délégataire d’une délégation de pouvoir.

S’agissant de la commission d’un délit, le responsable doit répondre comme tout un chacun des fautes de nature pénale dont il est à l’origine, notamment s’il commet une faute caractérisée ayant contribué à une infraction (ex : négligence manifeste dans la mise en place de protections). Pour être retenue, la faute personnelle doit être grave pour engager la responsabilité pénale du CISO ou résulter de la complicité ou de la participation active à des pratiques illégales.

En dehors de ces situations particulières liées à une faute personnelle, la responsabilité pénale incombe en principe à l’employeur (personne morale ou dirigeant). Mais même dans cette hypothèse, un CISO peut être tenu responsable si une délégation de pouvoir formelle et claire lui a été confiée en matière de sécurité informatique. Il convient d’observer qu’il n’existe aucune définition légale de la délégation de pouvoir qui constitue un acte juridique permettant à un employeur d’autoriser un collaborateur à le représenter.

Il est cependant interdit au dirigeant de l’entreprise de déléguer tous ses pouvoirs. La délégation doit être définie de manière particulièrement précise et limitée dans son contenu. La délégation de pouvoir doit donc en pratique être nécessairement écrite et fixer un point de départ et une durée. Elle devra en outre être limitée pour ne pas mettre à la charge du DSI des obligations qui ne pouvaient lui incomber au regard de son poste et plus particulièrement des clauses de son contrat de travail.

Enfin, la jurisprudence laisse clairement apparaître que pour que le DSI voit sa responsabilité pénale engagée, il convient que soit apportée la preuve de l’acceptation de la délégation, preuve qui peut se faire par tout moyen, comme un reporting régulier aux dirigeants.

Les cas concrets de responsabilité pénale

En dehors des délits ressortant du droit pénal général, le CISO pourra répondre de délits spécifiques en lieu et place de l’entreprise ou à ses côtés :

L’atteinte à un système de traitement automatisé de données (STAD) (articles 323-1 à 323-7 du Code pénal)
La violation du secret professionnel (article 226-13 du Code pénal)
La complicité d’infraction, s’il participe sciemment à des actes illégaux (par exemple, l’installation de systèmes de surveillance non déclarés)

D’autres situations touchant plus particulièrement au non-respect du RGPD comme le traitement de données à caractère personnel sans respect des formalités peuvent là encore donner lieu à de lourdes sanctions de nature pénale.

Nous n’évoquerons pas ici les faits de contrefaçon qui peuvent se révéler, notamment à l’occasion d’un audit par les éditeurs de logiciels ayant pour objet de vérifier le respect des conditions d’utilisation de solutions logiciels mises à disposition de l’entreprise. C’est au regard de ce risque pénal de plus en plus présent que de nombreuses entreprises ont mis en place des délégations permettant, lorsque les conditions de leur mise en place sont strictement encadrées, d’éluder la responsabilité pénale des dirigeants.

Dans cette hypothèse, la responsabilité pénale du DSI peut alors être engagée. Bien peu de responsables dans ce domaine ont conscience qu’en signant une délégation de pouvoir, ils ne bénéficient pas seulement d’un pouvoir et d’une autorité mais sont également débiteurs d’une obligation sanctionnée pénalement. Ce n’est donc pas la seule sanction naturelle du droit du travail qui viendra s’appliquer mais aussi une sanction pénale. Il s’agit, au moment où les contraintes sont de plus en plus lourdes et les risques importants, d’une situation de plus en plus courante où l’on constate que les entreprises s’organisent et mettent en place ces délégations.