Responsabilité pénale du DSI
2 juin 2025

Responsabilité pénale du DSI : comprendre les risques juridiques croissants

Le rôle critique des responsables de la sécurité de l’information face aux nouvelles menaces

La multiplication des cyberattaques et le renforcement des réglementations européennes, notamment le RGPD, ont considérablement accru l’importance du Chief Information Security Officer (CISO), ou Directeur de la Sécurité de l’Information (DSI). Mais avec ce renforcement du rôle viennent aussi de nouvelles responsabilités, parfois même pénales.

Le rôle essentiel du DSI au sein des entreprises

Le DSI occupe désormais une position centrale dans la sécurité des données et des systèmes d’information (SI). Contrairement au RSSI, dont le rôle est davantage axé sur la protection quotidienne des données, le DSI doit assurer la compatibilité du SI avec les besoins métiers, tout en privilégiant l’innovation et la performance.

Son champ d’action inclut :

  • La sécurité opérationnelle

  • La cybersécurité

  • La gestion des données

  • Le contrôle des accès au SI

  • La gouvernance des systèmes informatiques

La délégation de pouvoir : une arme à double tranchant

En l’absence de cadre légal précis définissant le rôle du DSI, sa responsabilité pénale peut néanmoins être engagée, notamment en cas de délégation de pouvoir explicite.

Pour que cette responsabilité pénale soit applicable :

  • La délégation doit être écrite, précise et limitée.

  • Elle doit avoir une durée déterminée.

  • Le DSI doit clairement accepter cette délégation, preuve qui peut être démontrée par un reporting régulier auprès des dirigeants.

Cette délégation ne doit jamais dépasser le périmètre des missions du DSI définies par son contrat de travail.

Situations engageant la responsabilité pénale du DSI

La responsabilité pénale peut être engagée dans deux cas principaux :

1. En cas de faute personnelle grave :

  • Négligence manifeste (ex : défaut de mise en place de mesures de sécurité suffisantes)

  • Participation ou complicité dans des actes illégaux

2. Via une délégation de pouvoir formelle :

Le DSI peut répondre pénalement pour des infractions spécifiques telles que :

  • Atteintes à un système de traitement automatisé de données (STAD)

  • Violation du secret professionnel

  • Infractions liées au non-respect du RGPD (ex : traitement de données personnelles sans consentement ou déclaration appropriée)

Ces infractions peuvent entraîner des sanctions pénales lourdes et des préjudices significatifs pour les entreprises.

Cybersécurité par YOUTELL
Lire également : Gouvernance responsable de l’IA générative : un levier d’innovation sécurisée

Conclusion

Avec l’augmentation des contraintes réglementaires et des cyberattaques, il est essentiel que les entreprises sensibilisent les DSI à leurs nouvelles obligations pénales. La délégation de pouvoir offre certes une autonomie et une capacité d’action renforcées, mais elle impose aussi des responsabilités pénales importantes qu’il est crucial de bien appréhender.

Précédent

Cybersécurité : la CNIL impose la double authentification dès 2026

Il n'y a pas d'article plus récent

2 juin 2025
scroll to top