Gouvernance
La responsabilité pénale du DSI disposant d’une délégation de pouvoirs
Par Pierre-Randolf Dufau, publié le 09 février 2023
Le DSI est responsable de la mise en place, de la gestion et de la sécurité des systèmes d’information au sein de l’entité pour laquelle il travaille. Il est aujourd’hui confronté à la montée en puissance de la cybercriminalité, mais également à la multiplication des textes répressifs en la matière. Dans ce cadre, peut-il voir sa responsabilité pénale engagée ?
Par Me Pierre-Randolph Dufau, Avocat à la cour, fondateur de la SELAS PRD avocats,
et Fanny Vigier, Avocate à la cour, PRD avocats
Le Code pénal prévoit de nombreuses infractions pouvant être liées à la mission confiée au DSI. À ce titre, il est ainsi possible de citer les articles 323-1 et suivants qui concernent la fraude informatique sanctionnée jusqu’à cinq ans d’emprisonnement et 150 000 € d’amende. Elle englobe l’accès ou le maintien frauduleux dans un système d’information ainsi que l’introduction, la modif ication et la suppression frauduleuse de données dans ce dernier. Cette infraction peut être couplée à l’atteinte au secret des communications par voie de télécommunication, prévue à l’article 226-15 du Code pénal.
Par ailleurs, un grand nombre de données personnelles circulent au sein et par les systèmes informatiques. Le non-respect du RGPD par une entreprise peut non seulement conduire au prononcé d’une sanction administrative par la Cnil, mais également d’une sanction judiciaire pénale, visée aux articles 226-16 et suivants du Code pénal. En outre, il convient de citer le non-respect des licences de logiciels utilisés par les salariés de l’entreprise qui constitue un délit de contrefaçon sanctionné par l’article L335-3 du Code de la propriété intellectuelle, au même titre que le téléchargement illégal de contenus protégés par le droit d’auteur par le biais des systèmes informatiques de l’entreprise.
En principe, les personnes morales sont responsables pénalement des infractions commises, pour leur compte, par leurs organes ou représentants. Par ailleurs, outre le cas où il aurait commis une faute personnelle ou serait complice d’une infraction, le dirigeant sera pénalement responsable des infractions commises par ses préposés agissant dans l’exercice de leurs fonctions. Dans ce cadre, les dirigeants ont de plus en plus recours aux délégations de pouvoir, les DSI se trouvant dès lors susceptibles d’être eux-mêmes poursuivis, quand bien même ils n’auraient pas participé matériellement aux délits commis par des salariés.
À LIRE AUSSI :
Pour que la délégation soit valable, le DSI doit avoir l’autorité, la compétence technique et les moyens humains et financiers nécessaires. La mission et les pouvoirs du délégué doivent être définis de manière précise et limitée.
En cas de contentieux, la charge de la preuve de l’acceptation de la délégation incombe au dirigeant et peut, selon la jurisprudence, se faire par tout moyen. Il est donc vivement recommandé de formaliser la délégation par écrit et de fixer notamment une date d’entrée en vigueur. En effet, le juge sera amené à rechercher qui était alors titulaire du pouvoir de contrôle au moment de la commission de l’infraction, ce qui revêt une importance toute particulière en présence d’infraction continue.
La responsabilité du DSI pourra être ensuite engagée s’il a manqué à son obligation et notamment s’il est démontré qu’il n’a pas effectué les mesures de sécurité nécessaires ou de contrôles sur les agissements de ses préposés.
En conséquence, le DSI doit prendre l’exacte mesure de la portée d’une délégation de pouvoir impliquant le transfert de la responsabilité pénale. Des actes simples tels que l’établissement d’une charte informatique, d’une politique de sécurité SI et la mise en place de contrôles récurrents visant à encadrer l’utilisation des ressources informatiques par les salariés sont autant d’outils que le DSI ne doit pas négliger comme point de départ de sa protection.
À LIRE AUSSI :