Etienne Drouard (Hogan Lovells) "NIS 2 et Dora ne changent rien pour la responsabilité des dirigeants"

Avocat spécialisé en droit de la cybersécurité précise ce que risquent les dirigeants s'ils ne conforment pas correctement leur entreprise à la directive NIS 2 et au règlement Dora.

JDN. NIS 2 et Dora rendent-ils responsables les dirigeants en cas de non-conformité de leur entreprise aux obligations de cybersécurité ?

Etienne Drouard. Non. Ces textes font peser la responsabilité seulement sur les entreprises qui ont l'obligation de mettre en œuvre les mesures de résilience et de sécurité qu'ils prescrivent. Le droit européen n'a pas vocation à régir la responsabilité des dirigeants. Il laisse le soin aux Etats membres de décider en la matière. En France, le projet de transposition de NIS 2 permet de suspendre temporairement l'exercice des fonctions des dirigeants quand ils ne conforment pas leur entreprise aux obligations de cybersécurité.

Cependant, cette disposition n'est pas nécessaire car la responsabilité classique des dirigeants pour faute de gestion existe déjà et suffit. Or les dirigeants commettent une faute de gestion quand ils n'ont pas accordé à l'entreprise les ressources nécessaires pour sa mise en conformité avec la réglementation. Donc NIS 2 et Dora ne changent rien pour les dirigeants et leur responsabilité. Les parlementaires ont ajouté cette disposition uniquement pour signifier que les dirigeants doivent être attentifs à conformer correctement leur entreprise à ces nouvelles obligations de cybersécurité. C'est simplement une disposition à visée pédagogique.

Comment la responsabilité des dirigeants peut-elle être engagée en cas de mauvaise conformité de leur entreprise avec NIS 2 et Dora ?

Les dirigeants peuvent être coupables d'une faute de gestion s'ils n'ont pas conformé leur entreprise à la réglementation de manière volontaire. Une simple négligence de leur part ne suffit pas. Il est nécessaire de démontrer qu'ils ont activement refusé de mettre en œuvre la conformité de l'entreprise. Par exemple, si un dirigeant n'accorde que la moitié du budget demandé par ses équipes pour conformer l'entreprise à NIS 2 ou Dora, cela n'est pas nécessairement fautif de sa part. En effet, il a pu estimer que cette moitié était suffisante pour la mise en œuvre de la conformité.

La faute de gestion engage la responsabilité personnelle du dirigeant et peut être engagée civilement ou pénalement. Comme toute administration qui constate un délit, l'Agence nationale de la sécurité des systèmes d'information peut saisir le procureur de la république pour faire reconnaître une faute de gestion commise par un dirigeant. De manière générale, toute personne physique ou morale (salariés, fournisseurs, clients, etc.) qui a subi un préjudice à cause de la faute de gestion d'un dirigeant peut saisir le juge pour qu'elle soit reconnue comme telle. Cela peut être le cas d'un client qui s'estime lésé par une défaillance informatique de son fournisseur causée par un refus de la part de ses dirigeants de se conformer à NIS 2. Toutefois, le client doit alors démontrer l'existence de cette faute et prouver le lien de causalité entre celle-ci et son préjudice subi, ce qui est complexe.

Enfin, la sanction du juge peut aboutir à la radiation des dirigeants ou à leur interdiction d'exercer des fonctions dirigeantes pendant une certaine durée.

Les dirigeants peuvent-ils imputer à leur responsable de la sécurité des systèmes d'information le manque de conformité à NIS 2 et Dora ?

Bien sûr. Un dirigeant accusé de faute de gestion peut expliquer que ses décisions ont été prises sur la base des expertises de son directeur financier, de son directeur des systèmes d'information, de son responsable de la sécurité des systèmes d'information (RSSI), etc. Et donc que l'origine de la faute provient d'eux. Un dirigeant décide sur la base d'expertises qui ne sont pas les siennes.

Toutefois, pour être vraiment inquiété, le RSSI doit avoir accepté une délégation de responsabilité de la part de la direction de l'entreprise. Et pour cause, en acceptant une telle charge, il est alors responsable des décisions relatives à la conformité à NIS 2, à la sécurité informatique, etc. En cas de manque de conformité aux obligations légales de cybersécurité, il est donc responsable. C'est pourquoi le RSSI ne doit accepter une délégation de responsabilité que si l'entreprise lui accorde les moyens nécessaires pour réaliser ses missions. Aussi, s'il l'accepte, il doit demander à son entreprise de souscrire une assurance en son nom qui peut le protéger financièrement si une faute lui est imputée.