RSSI : Quelles responsabilités ?

Publié le 01/03/2008 - Mag Securs

Le responsable de la sécurité des systèmes d’information de l’entreprise (RSSI) est garant de la continuité de service et du bon fonctionnement de l’entreprise. Ce qui lui donne des responsabilités juridiques qu’il doit connaître. 

Le responsable de la sécurité du système d’information (RSSI) occupe désormais un poste clé. Bien plus qu’un technicien de la sécurité, il opère en qualité de responsable du choix et de la mise en œuvre de la politique sécuritaire de l’entreprise. A ce titre, il lui appartient de définir le niveau de sécurité requis et d’assurer une veille permanente pour identifier les éventuelles failles du dispositif mis en place et y remédier, procéder au besoin à des contrôles et audits. En d’autres termes, il lui revient de garantir la continuité du service et de préserver le patrimoine informationnel de l’entreprise.

Les risques d’atteinte dans l’environnement informatique de l’entreprise sont bien réels

Or, les risques d’atteinte dans l’environnement informatique de l’entreprise sont bien réels : contournement ou violation d’un dispositif de sécurité, suppression délibérée des instructions de contrôle, insertion de fichiers espions enregistrant les codes d’accès des abonnés, création de connexions pirates, consultation de fichiers sans habilitation, destruction de fichiers de programmes, de sauvegardes, encombrement intentionnel de la capacité mémoire sont autant d’exemples d’atteintes susceptibles de provoquer des dommages directs et indirects conséquents.

Face à ces agressions, la question de la responsabilité du RSSI doit conduire à des réponses nuancées en fonction d’une analyse au cas par cas de chaque situation.

Les règles applicables à la responsabilité sont différentes en matière de responsabilité civile d’une part ou de responsabilité pénale d’autre part, et dans le cadre de la responsabilité civile, on distinguera, suivant qu’elle s’exerce vis-à-vis de l’entreprise employeur ou qu’elle s’exerce à l’égard des tiers.

Si le RSSI commet une infraction non intentionnelle, il n’encourt pas de responsabilité pénale ni civile

Pour simplifier, on retiendra que si le RSSI commet une infraction de manière non intentionnelle dans le cadre de ses fonctions et qu’il n’a pas signé de délégation de pouvoir valable à son profit, il n’encourt pas de responsabilité, ni pénale, ni civile, le risque étant pour lui principalement le licenciement et donc la perte de son emploi.

En revanche, si le RSSI a commis une infraction intentionnelle ou bien s’il est le bénéficiaire d’une délégation de pouvoir valide, ou bien si le fait dommageable est sans relation aucune avec l’exécution de son contrat de travail, il pourra être déclaré personnellement pénalement et/ou civilement responsable et encourt également une sanction disciplinaire pouvant aller jusqu’au licenciement.

Quand on connaît la gravité des sanctions pénales et l’ampleur des conséquences dommageables pouvant résulter d’une absence de sécurité du système d’information, on mesure tout l’intérêt qu’il y a tant pour l’entreprise que pour le RSSI à bien clarifier leurs rapports.

Pas de responsabilité financière à l’égard de son employeur sauf intention de nuire

Le RSSI, qui commettrait des fautes directement à l’origine d’un préjudice causé à son employeur n’assume aucune responsabilité financière, c’est-à-dire réparatrice, au profit de son employeur, sauf et uniquement en cas de faute lourde, c’est-à-dire d’une faute commise avec l’intention de nuire.

En conséquence, et dès lors que le manquement reproché au RSSI n’a pas été commis avec intention de nuire à son employeur, aucune indemnité ne peut être mise à la charge du RSSI.

Naturellement, l’entreprise peut sanctionner le salarié fautif, en allant jusqu’à son licenciement, notamment pour faute grave si telle est la qualification qui doit être donnée au comportement du responsable de la sécurité du système d’information.

Pas de responsabilité civile à l’égard des tiers, sauf si la faute a été commise par le RSSI en dehors de ses fonctions et de ses attributions

Notre Code Civil Napoléon a prévu que l’employeur était responsable de ses préposés (article 1384 alinéa 5 du Code Civil), ce qui signifie que si un préjudice est causé à un tiers par le fait d’un salarié dans l’exercice de ses fonctions, c’est l’employeur qui en est responsable. Ainsi, l’employeur répond civilement des actes commis à l’encontre de tiers par son salarié lorsque celui-ci n’excède pas les limites de la mission qui lui est impartie. Cette solution a été énoncée par le célèbre arrêt « Costedoat » de l’Assemblée plénière de la Cour de Cassation du 25 février 2000(1).

La Jurisprudence a effet évolué et en cherchant toujours à caractériser l’existence d’un lien entre le fait reproché au salarié et le contrat de travail, le temps ou le lieu du travail, de sorte qu’il est finalement assez rare de voir la responsabilité personnelle et civile du salarié retenue. Néanmoins cette responsabilité est retenue si le salarié RSSI agit hors des fonctions auxquelles il est employé, sans autorisation à des fins étrangères à ses attributions(2). Il en serait ainsi par exemple de l’introduction par le RSSI d’un virus dans le système d’un tiers, en utilisant les moyens techniques mis à sa disposition par l’entreprise.

Pas de responsabilité pénale sauf si le RSSI a commis intentionnellement une infraction

En matière pénale, le RSSI, qui aurait commis intentionnellement une infraction, serait incontestablement pénalement responsable.

Ce cas de figure est sans doute théorique, mais il peut arriver que le RSSI soit directement l’auteur d’agissements portant atteinte au système d’information ou aux données de l’entreprise, soit parce qu’il agit de sa propre initiative, soit parce qu’il a donné des instructions en ce sens – et dans ce cas il est complice -, soit encore parce qu’il a reçu des instructions à cet effet.

Il va de soi que le RSSI, directement et délibérément auteur ou complice de tels agissements engage sa responsabilité pénale et également civile.

Sur le plan pénal, il encourt les peines visées par le Code Pénal qui, depuis longtemps, a répertorié les infractions à caractère technologique : le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données (article 323-1 du C. Pén.), l’entrave ou le faussement du fonctionnement du système (article 323-2 du C. Pén.), la modification ou la suppression frauduleuse de données (article 323-3 du C. Pén.), le délit d’atteinte au secret des correspondances (article 226-15 du Code Pénal), ou encore le délit de détournement des données à caractère personnel (article 226-21 du C. Pén.).

L’appréciation de la faute du RSSI et donc la sanction seront d’autant plus sévères que sa mission induit de grandes facilités d’accès et de contrôle d’informations à caractère confidentiel.

Comme nous l’avons évoqué, il peut également arriver que le RSSI soit confronté à un ordre hiérarchique d’enfreindre la loi. Une telle situation n’est pas sans risque pour le RSSI qui doit être conscient que, même dans ce cas, sa propre responsabilité peut être engagée, tant sur le terrain pénal que sur le terrain civil. En effet, dans son arrêt « Cousin » du 14 décembre 2001(3), la Cour de cassation a reconnu la responsabilité civile du préposé – qui avait été condamné pénalement – pour avoir intentionnellement commis une infraction ayant porté préjudice à un tiers, fût-ce sur l’ordre du commettant. De même sur le plan pénal, le RSSI ne pourra jamais s’exonérer de sa responsabilité en invoquant que l’infraction a été commise sur ordre du dirigeant de l’entreprise. La jurisprudence considère en effet que cette circonstance ne constitue en aucune façon une cause d’irresponsabilité pénale « L’ordre reçu d’un supérieur hiérarchique ne constitue pas, pour l’auteur d’une infraction, une cause d’irresponsabilité pénale »(4).

En cas d’infraction intentionnelle commise par le RSSI, il faut également signaler que la responsabilité du dirigeant de l’entreprise sera également recherchée sauf si celui-ci démontre, soit son absence de faute (ce qui est rarement retenu en jurisprudence), soit l’existence d’une délégation de pouvoir au profit du RSSI, qui s’accompagne par définition d’un transfert de responsabilité pénale. Ainsi, en présence d’une délégation de pouvoir, le RSSI répondra seul, non seulement de l’infraction qu’il a personnellement commise, mais également de celles qui auront été commises par un préposé placé sous ses ordres.

En définitive, tout RSSI doit être attentif aux responsabilités qu’il encoure au cas par cas sur le plan civil, pénal et disciplinaire, tout particulièrement lorsqu’une délégation de pouvoir a été conclue à son profit et qu’il dirige et contrôle le travail de techniciens en sécurité informatique.

(1) Cass. Ass. Plén. 25 fév. 2000, Bull. civ. n° 2 p.3 ; JCP 2000 II. 10295, 1. 241 n°16, obs. Viney ; D. 2000 p.673, note Brun ; RTD vic. 2000, p. 582, obs. Jourdain.

(2) Cass. Ass. Plén. 15 nov. 1985, JCP E 1986 II. 20568, note Viney ; D. 1986, 81, note Aubert ; RTD civ. 1986, 128, obs. Huet.

(3) Cass. Ass. Plén. 14 déc. 2001, Bull. 2001 A. P. n° 17 p. 35, JCP G n°7, 13 fév. 2002 II n°10026, p. 345 347, note Marc Billiau ; I, 124, p. 604 606, note Genevieve Viney; RTP civ. janv. Mars 2002, n°1 p. 109112, note Patrice Jourdain; D. 18 av. 2002, n° 16, Jurisprudence, p. 1317 note Denis Mazeaud. Gaz. Pal. 31 au 1er aoput 2002, n°212 à 213, Doctrine p. 2-4, note Serge Petit.

(4) Crim. 13 mars 1997, Bull. crim. 1997 n° 107 p. 356.

Autres publications