Le Directeur des Systèmes d’Information (DSI) est investi de l’énorme responsabilité de gérer la mise en place et la sécurité des systèmes d’information au sein de son organisation. De nos jours, il se trouve confronté à une montée en puissance de la cybercriminalité et à une multiplication des lois répressives en la matière. Dans ce contexte, il est important de se demander si sa responsabilité pénale peut être engagée.
Le Code pénal énumère plusieurs infractions qui pourraient être liées à la mission du DSI. Il est notamment possible de mentionner les articles 323-1 et suivants, qui traitent de la fraude informatique et peuvent être sanctionnés de jusqu’à cinq ans d’emprisonnement et 150 000 € d’amende. Cette infraction couvre des actes tels que l’accès frauduleux à un système d’information, le maintien frauduleux dans un tel système, ainsi que l’introduction, la modification et la suppression frauduleuse de données. De plus, elle peut être associée à l’atteinte au secret des communications par voie de télécommunication, régie par l’article 226-15 du Code pénal.
Respecter le contrat des licences logiciels
Par ailleurs, les systèmes informatiques traitent une grande quantité de données personnelles. Le non-respect du Règlement Général sur la Protection des Données (RGPD) par une entreprise peut entraîner non seulement des sanctions administratives de la part de la CNIL, mais également des sanctions judiciaires pénales, prévues par les articles 226-16 et suivants du Code pénal. De plus, il est crucial de considérer le non-respect des licences de logiciels utilisés par les employés de l’entreprise, qui constitue un délit de contrefaçon sanctionné par l’article L335-3 du Code de la propriété intellectuelle, tout comme le téléchargement illégal de contenus protégés par le droit d’auteur à travers les systèmes informatiques de l’entreprise.
Comprendre la délégation de pouvoir
En principe, les personnes morales sont pénalement responsables des infractions commises pour leur compte par leurs organes ou représentants. De plus, sauf en cas de faute personnelle ou de complicité dans une infraction, un dirigeant peut être tenu responsable des infractions commises par ses employés dans l’exercice de leurs fonctions. À cet égard, les dirigeants ont de plus en plus recours aux délégations de pouvoir, ce qui expose les DSI à des poursuites, même s’ils n’ont pas participé directement aux délits commis par les employés.
Pour qu’une délégation soit valide, le DSI doit disposer de l’autorité, de la compétence technique, ainsi que des moyens humains et financiers nécessaires. La mission et les pouvoirs du délégué doivent être clairement définis et limités.
En cas de litige, la charge de la preuve de l’acceptation de la délégation incombe au dirigeant et peut, selon la jurisprudence, être établie par divers moyens. Par conséquent, il est fortement recommandé de formaliser la délégation par écrit, en précisant notamment une date de prise d’effet. En effet, le juge sera amené à déterminer qui détenait le pouvoir de contrôle au moment de la commission de l’infraction, ce qui est crucial dans le cas d’infractions continues.
La responsabilité du DSI peut être engagée si celui-ci ne respecte pas ses obligations, notamment s’il est démontré qu’il n’a pas pris les mesures de sécurité nécessaires ou effectué des contrôles adéquats sur les actes de ses employés.
Par conséquent, le DSI doit pleinement comprendre l’ampleur de la responsabilité pénale qui découle de la délégation de pouvoir.
Des actions simples telles que l’établissement d’une charte informatique, d’une politique de sécurité des systèmes d’information et la mise en place de contrôles réguliers pour encadrer l’utilisation des ressources informatiques par les employés sont autant d’outils que le DSI ne doit pas négliger pour assurer sa propre protection.