Dirigeants et RSSI, gare aux IA de conformité cyber
Les solutions de conformité aux réglementations cyber se développent rapidement grâce à l'IA. Parmi elles se trouvent par exemple celles de HeadMind Partners, Make it safe, Bastion Technologies ou encore Tenacy. De nombreuses entreprises y recourent pour se conformer en un temps record aux multiples réglementations en matière de cybersécurité : RGPD, NIS 2, Dora, etc. Et le mouvement devrait s'amplifier avec l'afflux de petites et moyennes entreprises concernées par le projet de transposition de NIS 2 actuellement en discussion à l'Assemblée nationale.
Cependant, ces IA de conformité ne sont pas sans danger. Si elles produisent des résultats inexacts, le risque pour l'entreprise est de mal se conformer aux réglementations. Cela peut par exemple être le cas si les règles intégrées dans l'IA ont été mal interprétées ou mal adaptées aux évolutions en la matière (modifications de normes, etc.). Or, en cas de contrôle par une autorité compétente comme l'Agence nationale de la sécurité des systèmes d'information ou la Commission nationale de l'informatique et des libertés, ce n'est pas l'éditeur de la solution qui sera sanctionné mais bien l'entreprise qui l'utilise.
Il est donc important pour l'entreprise de maîtriser au mieux son utilisation des IA de conformité afin qu'elle ne soit pas tenue responsable de leurs erreurs qui lui échappent. Surtout quand on sait qu'un manquement aux obligations de NIS 2 peut provoquer une lourde sanction allant jusqu'à une amende pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial. Sans oublier que le projet de transposition de la directive prévoit la possibilité d'engager la responsabilité des dirigeants de l'entreprise si ceux-ci n'ont pas adopté les mesures nécessaires pour s'y conformer. Après avoir été sanctionnée, l'entreprise pourra bien assigner en justice l'éditeur afin de demander une réparation du préjudice subi, mais cela comporte sa part d'incertitudes.
Le RSSI, un fusible ?
Selon Guillaume Seligmann, avocat spécialisé en droit du digital au cabinet Hoche, les textes législatifs NIS 2 et Dora rendent responsables les dirigeants "dans le choix et l'organisation du dispositif de conformité. Ainsi ils doivent nommer les bonnes personnes, les doter des bons moyens et contrôler leur action." Par conséquent, si les dirigeants d'une entreprise dotent le responsable de la sécurité des systèmes d'information (RSSI) d'une IA de conformité défaillante à tel point qu'elle ne conforme pas l'entreprise à toutes ses obligations, alors ils pourront être responsables des manquements aux obligations de NIS 2 et Dora. "C'est aux dirigeants, dans les instructions qu'ils donnent à leur RSSI, de s'assurer que l'utilisation de ces outils est bien contrôlée. Les dirigeants délèguent sous réserve du contrôle qu'ils exercent."
Toutefois, le RSSI aussi pourra voir sa responsabilité engagée jusqu'à son licenciement dans certains cas. En effet, bien qu'il ne soit pas responsable du choix de l'outil, il peut l'être de son utilisation. S'il a accordé une totale confiance à la solution défectueuse, à cause d'un biais d'automatisation, en validant aveuglement ses résultats sans même les vérifier avec ses équipes, alors il peut être licencié pour faute grave. C'est ce que pense un avocat qui, sous couvert d'anonymat, explique que les dirigeants pourraient en effet être tentés de licencier le RSSI à la fois pour se protéger et pour ne pas devoir assigner en justice l'éditeur de la solution qui est un long processus plus difficile.
Assigner l'éditeur de la solution défectueuse
Si l'entreprise utilisatrice d'une IA de conformité a été sanctionnée à cause d'un manquement à ses obligations dû à des erreurs de la solution, alors elle peut assigner en justice l'éditeur de celle-ci pour obtenir réparation du préjudice subi. Pour cela, elle doit trouver "un lien de causalité entre le préjudice subi par l'entreprise et le comportement fautif de l'éditeur", explique Alexandra Iteanu, avocate spécialisée en droit de la cybersécurité. Cependant, les preuves permettant d'établir ce lien sont difficiles à trouver car elles supposent "d'ouvrir le système d'IA" qui n'appartient pas à l'entreprise.
En outre, les contrats liant l'éditeur et l'entreprise utilisatrice contiennent souvent des clauses limitant la responsabilité du premier. Cependant, comme le précise l'avocat Marc-Antoine Ledieu, lui aussi spécialisé en droit de la cybersécurité, le fournisseur de la solution ne peut s'exonérer complètement de sa responsabilité. "Cela constituerait une clause exonératoire qui ne peut qu'être nulle", justifie-t-il. Selon lui, il n'est pas exclu qu'une entreprise lésée parvienne à rendre l'éditeur responsable des erreurs de la solution défectueuse. Pour affirmer cela, il se base sur une récente décision de la Cour d'appel de Rennes du 19 novembre 2024 par laquelle le juge a condamné un prestataire de cybersécurité pour "manquement à ses obligations". Et pour cause, un de ses clients a découvert lors d'une cyberattaque que la prestation comportait de graves défauts.
Se protéger des erreurs d'une IA de conformité
Pour éviter des assignations en justice longues et coûteuses, le mieux est de limiter et "contrôler l'usage de ces solutions", estime Guillaume Seligmann. Ce contrôle sur ce que produit l'IA de conformité, "qui n'est qu'un outil", est essentiel : si le RSSI ne l'effectue pas, "il s'agit d'un manquement très grave de sa part". Et l'usage de ces IA devrait être "accompagné d'une formation et d'une sensibilisation de tous les employés qui l'utilisent", ajoute Alexandra Iteanu. D'ailleurs, en cas de licenciement, un RSSI lésé par des erreurs d'une telle solution pourrait se défendre au motif qu'il n'a pas été formé pour pouvoir correctement l'utiliser.
Enfin, au moment de la souscription à un service d'IA de conformité, l'entreprise utilisatrice peut négocier l'introduction dans le contrat d'une clause permettant d'engager la responsabilité du fournisseur en cas d'erreurs de sa solution dans certains cas qu'ils déterminent ensemble.