Nous avons vu récemment (lire l'article du 05/02/2005) que les DSI et les RSSI pouvaient encourir une responsabilité pénale dans le cadre de leurs fonctions dès lors qu'ils étaient investis d'une délégation de pouvoir valable.

Le système d'information s'avère en effet constituer une source non négligeable de responsabilité pénale, au titre d'infractions variées dont nous rappelons les plus courantes :
- la contrefaçon (piratage de logiciels au sein de l'entreprise) ;
- l'atteinte aux données personnelles traitées par l'entreprise (données des clients comportant des informations financières par exemple) ;
- toutes les infractions pénales susceptibles d'être commises par les salariés sur le réseau en utilisant les moyens de l'entreprise (infractions sur le net et intrusion non autorisée dans d'autres SI par exemple).

Il semble que certains responsables informatiques s'interrogent sur la question de savoir si l'infogérance de tout ou partie du système d'information auprès d'un prestataire (par exemple la gestion de la sécurité du SI, ou la gestion des postes utilisateurs), est de nature à alléger leur propre responsabilité pénale, voir transférer cette responsabilité vers le prestataire infogérant.

Une délégation de pouvoir peut-elle transférer une responsabilité pénale à l'infogérant ?
La réponse est négative : le mécanisme de la responsabilité de pouvoir ne joue que dans le cadre de relations hiérarchiques organisées dans une entreprise ou un groupe d'entreprises. Il ne peut en aucun cas s'appliquer entre une société cliente et le salarié d'un tiers.

Quelle est la responsabilité de l'infogérant ?
S'agissant de la responsabilité civile (qui a pour objet la réparation du dommage causé par une personne à une autre), les responsabilités respectives du client et de l'infogérant sont régies par le contrat, tant pour ce que concerne l'étendue de cette responsabilité que son plafond financier.

Il en va tout autrement de la responsabilité pénale, qui est une responsabilité dite d'"ordre public", qui ne peut être aménagée par aucune règle contractuelle. C'est de plus une responsabilité dite "personnelle" : c'est le responsable de l'infraction qui est recherché (le responsable pouvant être une personne morale ou physique).

Il s'en suit qu'en cas d'infraction, la mise en cause de la responsabilité pénale de l'infogérant du fait d'une infraction commise au travers du SI de son client ne pourra être qu'occasionnelle. L'infogérant n'a en effet aucun pouvoir de contrôle et de direction sur les salariés du client, et il ne pourra pas être poursuivi si lesdits salariés commettent des infractions pénales au moyen du SI (contrefaçon, comportements délictueux sur internet, intrusion dans d'autres systèmes).

En conclusion, le fait d'infogérer tout ou partie du système d'information décharge-t-il les DSI ou RSSI de leur responsabilité pénale ?
De façon générale, la réponse est négative. Hormis des cas bien particuliers, le fait de déléguer à un tiers la gestion du système d'information ne déchargera pas les préposés de l'entreprise cliente de leur propre responsabilité.

Ce principe s'illustre très bien en matière de gestion des données personnelles. Une entreprise qui confie des données personnelles à un tiers porte elle-même, en tant que responsable du traitement, toutes les obligations légales afférentes au respect et à la sécurité des données personnelles (obligations qui sont presque toutes sanctionnées pénalement). D'après le texte même de la loi du 6 août 2004, c'est à l'entreprise cliente de prescrire au prestataire les mesures de sécurité que celui-ci doit respecter, et ce sera la responsabilité pénale de l'entreprise cliente qui sera recherchée en cas de problème.

En conclusion, la règle en matière pénale est la même que celle qui prévaut pour toute externalisation : externaliser n'est pas "se débarrasser", en particulier de ses responsabilités...