La question de savoir si les DSI et les RSSI encourent une responsabilité pénale est un sujet qui inquiète de plus en plus les intéressés. La réponse est oui, sous réserve que ceux-ci soient investis d'une délégation de pouvoir valable. La délégation de pouvoir est un mécanisme qui a pour objet et pour effet d'opérer un transfert de la responsabilité pénale du chef d'entreprise vers le préposé délégataire.
La délégation de pouvoir est une institution ancienne, qui a prospéré dans le domaine bien particulier de l'hygiène et de la sécurité. Un chef d'entreprise qui est dans l'incapacité de veiller personnellement et constamment au respect de la réglementation sur l'hygiène et la sécurité doit déléguer ses pouvoirs à un préposé qui veillera à l'application de la réglementation afférente. La délégation de pouvoir est généralement considérée comme un outil indispensable de la prévention des accidents du travail et des maladies professionnelles.
Même si l'hygiène et la sécurité est son domaine d'élection, la délégation de pouvoir est possible dans d'autres domaines (Cass. Crim, 11 mars 1993). En matière de système d'information, une délégation des pouvoirs du dirigeant vers un spécialiste des systèmes d'information se justifie pleinement. En effet, le système d'information est de plus en plus complexe et il s'avère être une source potentielle de responsabilité pénale pour l'entreprise et son dirigeant au titre d'infractions variées. Par exemple, pour ne citer que les plus courantes :
- en matière de contrefaçon (piratage de logiciels au sein de l'entreprise) ;
- en matière de respect de l'obligation de sécurité afférente aux données personnelles traitées par l'entreprise (données des clients comportant des informations financières par exemple) ;
- toutes les infractions pénales susceptibles d'être commises par les salariés sur le réseau en utilisant les moyens de l'entreprise.
D'où la question de plus en plus souvent posée par les DSI et les RSSI : suis-je muni d'une délégation de pouvoir et dans quelles conditions ma responsabilité pénale pourrait-elle être engagée ?
Les conditions de validité d'une délégation de pouvoir
Les conditions de validité d'une délégation de pouvoir ne font l'objet d'aucune disposition légale et c'est la jurisprudence qui, depuis plus d'un siècle, a construit son régime juridique. Les tribunaux se sont jusqu'ici presque exclusivement prononcés dans la perspective des infractions pénales liées à la sécurité physique des salariés, et l'on n'a guère de recul sur les raisonnements qui seraient suivis par les juges dans le domaine des systèmes d'information. Pour autant, il est certain que les fondamentaux du régime resteront les mêmes : selon une jurisprudence constante, un chef d'entreprise peut s'exonérer de sa responsabilité pénale s'il rapporte la preuve qu'il a délégué ses pouvoirs à une personne pourvue de la compétence, de l'autorité et des moyens nécessaires pour assurer sa mission.
Il en découle qu'un DSI ou un RSSI ne peut être valablement investi d'une délégation de pouvoir que si :
- Il a les compétences nécessaires. En l'occurrence, il ne s'agit pas seulement des compétences techniques mais aussi des connaissances juridiques : le DSI doit maîtriser les textes légaux dont il aura à surveiller l'application. En matière de système d'information, il s'agit d'un point délicat car, contrairement au domaine de l'hygiène et de la sécurité, les textes susceptibles d'entraîner une responsabilité pénale liée à l'utilisation du système d'information sont nombreux et disparates.
- Il a l'autorité nécessaire, ce qui signifie qu'il doit être pourvu d'un pouvoir de commandement suffisant pour que les salariés obéissent à ses ordres. Dans le cadre du système d'information, cela signifie que le DSI doit être en mesure de faire respecter par tous les salariés les modalités d'utilisation du système d'information (par l'intermédiaire d'une charte intégrée au règlement intérieur par exemple). En application de ce critère, on pourrait se demander si un RSSI peut être valablement muni d'une délégation de pouvoir, puisque généralement cette fonction ne s'accompagne pas de pouvoir hiérarchique.
- Il dispose des moyens nécessaires, ce qui sera évalué en fonction du budget alloué à la DSI compte tenu des besoins exprimés en matière de mesures visant à encadrer les risques pénaux de l'entreprise.
Au-delà de ces exigences, d'autres conditions portant sur l'objet de la délégation doivent être satisfaites : la délégation doit être précise (par exemple : mesures de sécurité liées au système d'information), et celle-ci doit revêtir un caractère de permanence (pas de délégation à une personne occupant temporairement le poste).
D'après la jurisprudence, le chef d'entreprise est tenu d'informer le salarié des conséquences produites par la délégation de pouvoir, à savoir un transfert de responsabilité pénale. Il n'est a priori pas nécessaire que le salarié l'ait formellement acceptée pour que celle-ci soit valable. Une décision a néanmoins considéré que si le salarié avait expressément refusé la délégation, celle-ci ne pouvait pas produire d'effet. C'est bien sûr un sujet délicat, car on augure mal de la carrière d'un DSI qui refuserait toute responsabilité en la matière dès lors qu'il serait investi des pouvoirs et du budget nécessaires.
Une délégation de pouvoir peut-elle se sub-déléguer ?
Depuis une jurisprudence relativement récente (Cass. Crim. 30 octobre 1996), la sub-délégation de pouvoir est possible dès lors que le sub-délégataire est lui-même pourvu de la compétence, de l'autorité et des moyens nécessaires pour exercer sa mission. Ainsi, un DSI pourrait déléguer en partie ses pouvoirs à un autre salarié (le RSSI par exemple), mais encore faudrait-il que les trois conditions ci-dessus énumérées soient remplies pour que la délégation soit valable, ce qui se conçoit difficilement dans une relation DSI/RSSI. En revanche, on pourrait imaginer que le DSI d'un très grand groupe délègue ses pouvoirs à des responsables informatiques chargés de départements ou de filiales. Il faudrait pour autant toujours respecter le principe du non-cumul des délégations de pouvoir, ce qui signifie que pour une filiale ou un département déterminé, une seule personne devra être investie du pouvoir.
Sur la forme de la délégation de pouvoir
La délégation de pouvoir n'est soumise à aucune règle de forme particulière et la jurisprudence admet même la validité des délégations de pouvoir verbales dès lors que celles-ci sont dépourvues d'ambiguïté. La jurisprudence sur ce sujet s'étant construite en matière de sécurité sur les chantiers, on peut se demander si elle garderait la même orientation en matière de système d'information, où les enjeux sont fondamentalement différents.
Pour autant, et ce pourrait être la conclusion de ce bref aperçu, les intéressés doivent se montrer très prudents. Certains RSSI par exemple disposent de "notes de mission" dont on pourrait se demander si elles ne seraient pas considérées, le cas échéant, comme une délégation de pouvoir. Ces RSSI doivent donc vérifier d'une part que la personne qui leur a confié la mission est apte à déléguer (le chef d'entreprise) ou sub-déléguer (un manager lui même muni d'une délégation de pouvoir) ses pouvoirs. Ensuite, si l'intention est bien de l'investir d'une délégation de pouvoir, il a intérêt à exiger un écrit très précis quant à l'étendue de sa mission et quant au champ exact de la délégation de pouvoir.
|
Isabelle Renard