Dans mon précédent post, était évoquée la question de la responsabilité pénale d’un directeur des systèmes d’information (DSI) d’un Centre Hospitalier, du fait de l’externalisation d’un traitement de données illicite. Il avait été acquitté, la preuve ayant été rapportée de ce qu’il n’avait pas connaissance de cette externalisation. Se pose alors la question suivante : quand la responsabilité pénale d’un DSI peut-elle être engagée ?
Passons outre l’hypothèse d’une faute volontaire, propre au DSI, pour nous focaliser sur le cas d’un manquement commis par un employé ou agent « pour le compte » de leur organisation. Un DSI pourrait-il être poursuivi pour de tels faits ?
En matière de responsabilité pénale, la règle de base est celle de la responsabilité personnelle. « Nul n’est [ainsi] responsable pénalement que de son propre fait ». Un DSI ne devrait théoriquement pas être inquiété en raison des fautes commises par des tiers.
Théoriquement ? Oui. Deux tempéraments à cette règle existent, et l’un pourrait in fine permettre d’engager la responsabilité du directeur des systèmes d’information :
- Les personnes morales peuvent voir leur responsabilité pénale engagée à raison des infractions commises, pour leur compte, par leurs organes ou représentants ;
- Le chef d’entreprise – ou toute personne à qui il aura délégué ses pouvoirs – peut être simultanément poursuivi pour des faits commis par leurs employés et agents : l’idée est ici de sanctionner un défaut d’encadrement, de surveillance ayant permis la réalisation de l’infraction.
L’avantage principal de la délégation, pour le chef d’entreprise, est donc qu’elle permet littéralement de transférer la responsabilité de pénale du premier à tout délégataire, lorsque les conditions de validité en sont démontrées.
La validité de la délégation de pouvoirs suppose de démontrer qu’elle :
- Est nécessaire, eu égard à la taille de l’organisation : le chef d’entreprise peut alors déléguer ses pouvoirs parce qu’un encadrement, une surveillance de toute l’organisation est exclue de par cette taille ;
- Est bornée à un domaine de compétence déterminé ;
- Est concédée à un subordonné ;
- Transfert audit subordonné la compétence, les moyens et l’autorité nécessaires à l’accomplissement de sa mission.
Autre inconvénient pour le délégataire, la délégation de pouvoir n’obéit à aucun formalisme et elle peut être recherchée « d’office » par les juges.
Revenons à nos moutons. S’il se voit accorder une délégation de pouvoir, un DSI risque-t-il d’être déclaré pénalement responsable du fait des employés et agents de son organisation ? La réponse est très clairement « Oui ». Et la fréquence de ce « Oui » est d’autant plus importante que dans un domaine aussi technique – et nébuleux, pourrait-on désormais dire – que le SI, la délégation par le chef d’entreprise au DSI des prérogatives pour l’organisation et la gestion du SI est fréquente.
Petit conseil pratique à l’usage des DSI, donc.
Lorsque le chef d’entreprise vous transfère une partie de ses pouvoirs et compétences, ayez toujours conscience du risque pénal consécutif.
Prenez garde au fait que la délégation de pouvoir peut être retenue par les juges, même si elle n’est pas écrite ou à partir d’autres éléments. Dans le jugement ayant donné lieu à la condamnation d’un médecin hospitalier pour traitement de données illicite, les juges avaient ainsi déduit de la délégation de signature concédée au DSI l’existence d’une délégation de pouvoir pour l’organisation et la gestion du SI. C’est là la raison pour laquelle c’est le DSI, et non le directeur général du CH, qui a fini devant le juge.
Et dans un souci de sécurité juridique, conservez bien votre fiche de poste et demandez un écrit pour toute évolution s’accompagnant d’un transfert – même tacite – de compétences.