La responsabilité pénale du dirigeant au titre d’infractions apparemment commises par son entreprise est un principe ancien qui tend à voler en éclat depuis le développement de la pratique des délégations pénales à l’égard des cadres et notamment des DSI, justifié par la nécessité de responsabiliser des hommes sur le terrain.
Toutefois, le délégataire peut engager la responsabilité pénale de la personne morale pouvant ainsi entraîner sa disparition lorsque le montant de l’amende est trop élevé (1).
Certes, l’exonération du chef d’entreprise ou de la personne morale ne joue que dans la stricte limite de la délégation consentie et pour l’exercice de responsabilités bien délimitées, mais en matière de sécurité informatique, les occasions d’engager cette responsabilité ne manquent pas.
De la fraude informatique à la contrefaçon de logiciels, en passant par l’utilisation à des fins illicites des outils de l’entreprise ou du détournement de finalité d’un traitement de données nominatives, les risques de poursuivre pénalement un DSI sont bien réels. Les innovations technologiques conduisant au partage de l’information via internet, ne sont pas sans accentuer ces risques.
Les délégations pénales en matière informatique
L’employeur est pénalement responsable des faits commis dans la gestion de l’entreprise. Toutefois, il peut, sauf exception légale, s’exonérer de sa responsabilité pénale s’il prouve qu’il a délégué ses pouvoirs à une personne ayant la compétence, l’autorité et les moyens nécessaires pour l’exercer.
Se trouvent donc ici particulièrement concernées, en matière informatique, les délégations pénales qui peuvent être données aux DSI. Aucune disposition n’interdisant le principe de la délégation pénale en matière informatique, la sécurité d’un système informatique peut donc faire l’objet d’une telle délégation à l’égard d’un DSI.
La délégation peut en effet concerner un domaine fonctionnel précis, tel que par exemple la direction de l’informatique, la direction de programme, le support aux clients, ou encore la direction de la production. Ainsi, lorsqu’elle réunit les conditions de fond et de forme posées par la jurisprudence, la délégation a pour effet d’exonérer le chef d’entreprise de sa responsabilité pénale pour les faits commis par ses employés.
Ce mécanisme de responsabilité pénale implique un comportement actif de la part du DSI dans l’organisation de la sécurité informatique et plus généralement du système d’information de l’entreprise. Par exemple, il doit rappeler systématiquement aux utilisateurs les règles sanctionnant toute manipulation frauduleuse de systèmes de traitement de données, contrefaçon de logiciels, utilisation illicite des outils de l’entreprise ou tout détournement de finalité en matière de fichiers nominatifs.
La responsabilité au titre de la fraude informatique
En matière d’atteintes aux systèmes informatiques, le Code pénal modifié en 1994 a repris la plupart des dispositions de la loi du 5 janvier 1988 relative à la fraude informatique (2) et sanctionne, notamment, l’atteinte volontaire au fonctionnement d’un système de traitement automatisé et aux données qui y sont contenues.
Ainsi, l’accès ou le maintien frauduleux dans un système informatique, la falsification, la modification, la suppression et l’introduction d’informations avec l’intention de nuire, la modification, la suppression et l’introduction de traitements dans un système dans le but d’en fausser le comportement, sont considérés comme des délits. La tentative de ces délits relève des mêmes peines :
- les sanctions peuvent aller jusqu’à 3 ans d’emprisonnement et 300 000 francs d’amende (45 000 euros), ainsi que
- d’une peine complémentaire d’interdiction d’exercer une activité professionnelle ou sociale ou d’interdiction des droits civiques, civils et de famille ou encore l’affichage ou la diffusion du jugement (3).
Le DSI, même s’il n’a pas participé matériellement au délit, peut être condamné au motif qu’il a manqué à l’obligation lui incombant personnellement, en sa qualité de responsable ayant reçu une délégation de pouvoirs lui permettant d’exercer les contrôles nécessaires sur la pratique de ses préposés sauf s’il a accompli des diligences normales, compte tenu de la nature des moyens dont il dispose (4). En revanche, il doit être mis hors de cause dès lors que le salarié a agi à l’insu de son employeur et que les actes qu’il a commis sont sans contestation possible, étrangers à l’existence de ses fonctions (5).
La responsabilité au titre de l’atteinte au droit d’auteur sur les logiciels
Le DSI doit également être vigilant en ce qui concerne l’utilisation des logiciels dans l’entreprise, notamment en gérant les droits qui y sont associés, en informant les salariés et en effectuant les contrôles nécessaires. En effet, toute reproduction de tout logiciel autre que l’établissement d’une copie de sauvegarde est illicite (6). Elle constitue le délit de contrefaçon (7) sanctionné par des peines qui peuvent aller jusqu’à 2 ans d’emprisonnement et 1 000 000 francs d’amende (150 000 euros).
Au niveau des logiciels, la licence devra avoir défini les contours du droit d’utilisation, que ce soit au niveau du nombre de postes équipés ou du nombre d’utilisations simultanées, du type de matériel équipé, et aussi de la destination des programmes et le cadre de leur utilisation normale.
Depuis la loi du 10 mai 1994, le droit d’utilisation, non visé en tant que tel, se trouve englobé dans la définition du droit de reproduction, qui vise le droit « d’effectuer et d’autoriser la reproduction permanente ou provisoire d’un logiciel en tout ou partie par tout moyen et sous toute forme ». Dans la mesure où le chargement, l’affichage, l’exécution, la transmission ou le stockage de ce logiciel nécessitent une reproduction, ces actes ne sont possibles qu’avec l’autorisation de l’auteur (8). Le droit d’utilisation se trouve ainsi soumis à l’accord de l’auteur.
La direction informatique doit également effectuer des contrôles rigoureux de l’utilisation des programmes et sensibiliser les utilisateurs sur les sanctions pénales encourues au titre de la contrefaçon. Elle doit enfin connaître les limites de ses droits sur les applicatifs réalisés à partir de générateurs, qui constitueront des œuvres dérivées (9) s’ils sont considérés comme originaux. Elle en est alors propriétaire, si le programme a été réalisé dans le cadre des fonctions de son employé ou sur ses instructions, sous réserve des droits de l’auteur de l’oeuvre initiale.
La responsabilité au titre de la sécurité des traitements de données nominatives
Avec la mise en place de nouvelles méthodes de partage d’informations entre les membres de l’entreprise (groupeware, workflow, intranet…), les groupes de travail communiquent entre eux de manière horizontale (échanges de fichiers, messagerie électronique, mise à jour de bases de données communes…) et accèdent verticalement à l’informatique départementale ou d’entreprise.
Ce phénomène n’est pas accentuer les risques juridiques, tant en ce qui concerne les fichiers (en particulier nominatifs) sans que les logiciels utilisés par l’entreprise.
Selon la loi Informatique et Libertés, toute utilisation d’un fichier comportant des données relatives à des personnes physiques doit, pour être licite, être prévue dans une déclaration effectuée auprès de la Commission Nationale Informatique et Libertés (CNIL).
Dans le cas du travail en groupware, dans la mesure où il permet à de multiples utilisateurs de réaliser leurs propres applicatifs à partir de fichiers et de moyens informatiques mis à leur disposition, il convient d’éviter que ces pratiques aboutissent à la réalisation de traitements illicites, car non spécifiés dans leurs déclarations auprès de la CNIL.
Ces pratiques peuvent être constitutives d’un « détournement de finalité », délit passible de sanctions pénales qui peuvent aller jusqu’à 5 ans d’emprisonnement et 2 000 000 francs d’amende (300 000 euros), doublées d’une peine complémentaire d’interdiction d’exercer une fonction publique (10).
Ceci implique d’une part, une véritable stratégie de déclaration de la part des directions informatiques, les déclarations effectuées auprès de la CNIL déterminant leur marge de manœuvre en matière de traitement informatisé de données nominatives et d’autre part, la mise en œuvre de certaines actions de la part du DSI ayant reçu délégation pénale en matière de sécurité du système informatique.
A ce titre, il aura en effet à mettre en place une politique de sécurité conforme aux prescriptions de la loi Informatique et Libertés et notamment l’obligation de diffuser auprès des utilisateurs une note de sensibilisation relatives aux obligations de cette loi, attirant leur attention sur les limites à ne pas franchir afin d’éviter que des exploitations spécifiques aboutissent à des traitements de données non prévus par les déclarations.
Il existe de très nombreux autres risques d’engager la responsabilité d’une direction informatique du fait de l’utilisation illicite des outils de l’entreprise par les salariés ayant eut des comportements illégaux : diffamation, injures et autres activités illicites dont l’employeur peut être rendu responsable.
La solution réside sans doute dans l’élaboration d’un règlement intérieur ou d’une charte d’utilisation du système informatique interdisant notamment, l’utilisation non professionnelle de l’ordinateur, de la messagerie électronique ou encore du site internet de l’entreprise.
Mais attention, si l’employeur a le droit d’interdire une utilisation non professionnelle de tels outils, cela ne l’autorise pas pour autant à ouvrir un fichier intitulé « Personnel » (11). Pour sanctionner les salariés fautifs, il faudra alors agir sur le terrain de l’abus de l’outil professionnel à des fins privées (12).
Isabelle Pottier
Lexing Droit informatique
[1] Cas notamment des infractions relatives à l’entrave au fonctionnement d’un STAD et à l’introduction de données pirates qui peuvent atteindre 1 500 000 francs (soit 225 000 €), pour une étude cf. Alain Bensoussan, « Informatique, Télécoms, Internet », Ed. Francis Lefèbvre juillet 2001, 2e éd. nos 2512 et s.
[2] Art. 323-1 à 323-7 du Code pénal
[3] Art. 323-1 à 323-7 du Code pénal
[4] Art. 121-3, al. 3 du Code pénal
[5] TGI Lyon, corr. 1e, 20 février 2001, à propos d’un salarié qui, depuis son nouveau travail et à l’aide du matériel mis à sa disposition, a envoyé des spams en grand nombre à son ex-employeur, saturant ainsi l’accès au système, voir, I. Pottier, J. Berenguer-Guillon, « Vengeance électronique : une pratique qui peut coûter cher », Les Echos du 6 novembre 2001
[6] Art. L.122-6 du Code de la propriété intellectuelle
[7] Art. L.335-2 du Code de la propriété intellectuelle
[8] Art. L.122-6-1 du Code de la propriété intellectuelle
[9] Art. L.113-2 al. 2 et L.113-4 du Code de la propriété intellectuelle
[10] Art. 226-21 du Code pénal
[11] Cf. J. Bérenguer-Guillon, « E-mail à caractère privé sur le lieu de travail et atteinte au secret des correspondances », Les Echos du 6 octobre 2001
[12] CA Paris, 18e ch., Sect. A, 22 mai 2000, à propos du licenciement d’un salarié qui, pendant son temps de travail, utilise l’ordinateur et l’e-mail de l’entreprise, pour son usage personnel et ce, dans des proportions importantes.