Vous l’avez sans doute vu : Joe Sullivan, ancien CISO d’Uber a été condamné pénalement pour une fuite de données. A l’époque où nous vivons, toute société victime d’une attaque est, malheureusement, souvent déjà condamnée socialement et voit fondre la confiance de ses clients de manières souvent disproportionnée. Mais à ce premier niveau de risque (souvent également supporté par le CISO), s’ajoute donc potentiellement cette sentence ultime pour le CISO d’une condamnation juridique au niveau individuel.
Joe Sullivan a été condamné le 5 octobre 2022 à 8 ans de prison (dont 5 pour avoir empêché la Fédéral Trade Commission d’obtenir des informations), pour une fuite de données à caractère personnel ayant eu lieu en 2016. C’est la première fois qu’un employé en charge de protéger le capital informationnel d’une entreprise est ainsi condamné pénalement à une amende de 100.000$ pour avoir caché volontairement des indices[1].
Les Etats-Unis sont régulièrement en avance par rapport à nous sur de nombreux sujets : il est donc nécessaire de prêter une attention toute particulière à ce fait d’actualité.
A lire aussi : [Chronique] Protection de l’information : quel périmètre définir pour ses équipes informatiques ?
Quelle responsabilité pour un CISO en France ?
En ce qui concerne la France, la responsabilité pénale est invoquée dans le cas suivant [article 221-3 du code Pénal] « le fait d’exposer directement autrui à un risque immédiat de mort ou de blessures graves de nature à entraîner une mutilation ou une infirmité permanente par la violation manifestement délibérée d’une obligation particulière de prudence ou de sécurité imposée par la loi ou le règlement est puni d’un an d’emprisonnement et de 15000 € d’amende »
A moins d’une faute grave et d’une acceptation de responsabilité, en France, nous ne devrions donc pas être pénalement responsable. Eclaircissons ces deux points :
Conditions de délégation de responsabilité
L’article L-4741-1 du Code du travail pose le principe de la responsabilité de l’employeur pour les infractions entrant dans son champ, commises par les salariés. La cour de Cassation notifie : [Cass 11 Mars 1983 Bull. Crim n°112] : « Hors le cas où la loi en dispose autrement, l’employeur, qui n’a pas personnellement pris part à la réalisation de l’infraction, peut s’exonérer de sa responsabilité pénale s’il rapporte la preuve qu’il a délégué ses pouvoirs à une personne pourvue de la compétence, de l’autorité et des moyens nécessaires »
La délégation de responsabilité entre le « Responsable du traitement » (le directeur de l’entreprise) et l’employé (l’expert Cybersécurité) doit être un document écrit formalisant l’acceptation des moyens (humains et financiers), l’autorité et la compétence pour exercer son rôle. Si tel est le cas, la délégation de responsabilité pénale peut être activée s’il peut être démontré n’a pas su protéger l’entreprise avec les moyens qu’il a reconnus comme suffisants et qu’il a acceptés.
Concernant les Directeurs Sécurité, en charge de la sécurité physique des personnes situées dans le périmètre de l’entreprise, ils sont aussi directement concernés par ce même type de responsabilité telle que décrite dans leur contrat de travail, mais ne sont juridiquement pas responsable devant la loi tant qu’ils n’acceptent pas une délégation de responsabilité dûment notifiée et justifiée (autorité, moyens et compétences).
Cependant, compte tenu de l’intensité des cyber-attaques et des enjeux financiers et de l’impact d’une cyber-attaque sur l’image d’une entreprise, cette situation pourrait évoluer.
En effet, à la lecture de la longue liste de responsabilités décrites dans les contrats de travail et les fiches de postes respectives de notre profession, et sachant le manque récurrent de ressources (humaines et financières) des experts Cybersécurité pour exercer correctement leur travail, la tension monte en défaveur de ces derniers.
Comment éviter d’être assigné devant un tribunal ?
De manière à anticiper les risques qu’un expert ou directeur Cybersécurité ne soit assigné devant un tribunal et pour éviter toute confusion dans les responsabilités, il serait préférable de disposer officiellement d’un droit de « lanceur d’alerte » pour informer la Direction des risques constatés et le manque de moyens et d’actions au sein de l’entreprise pour diminuer l’exposition aux menaces cybers. Cependant, il n’est pas souhaitable d’accepter une délégation de responsabilité qui de plus intégrerait une situation ou le risque serait déjà identifié.
En effet, comme c’est le cas pour les DPO[2], ce droit leur est octroyé par le RGPD. Ils ont la possibilité, voire l’obligation, d’informer leur direction d’un risque de non-conformité et des actions correctives à mettre en place. Un DPO bénéficie d’un statut protégé et ne peut pas être sanctionné dans le cadre ou en lien avec l’exercice de ses fonctions d’alerte. Enfin, le DPO a la possibilité de consulter l’autorité de contrôle (la CNIL en France) sur toute problématique de son choix et rien ne peut donc l’empêcher de remonter des difficultés rencontrées dans la prise en compte de ses alertes ou recommandations.
Bien que la loi française confère à l’employé un droit de « lanceur d’alerte » [Code du travail articles L1142-1 à 1132-4] , il serait souhaitable de définir, pour les experts Cybersécurité, une clause dans le contrat de travail de « lanceur d’alerte [3]» ou de « garde-fou » pour permettre au Directeur Cybersécurité de s’exonérer d’une responsabilité y compris pénale s’il estime qu’il n’a pas les conditions nécessaires et suffisantes pour protéger l’entreprise.
Le formalisme de cet écrit est à définir avec la DRH et son manager et facilitera l’identification du responsable en cas de cyber-attaque.
L’idée n’est pas que le Directeur Cybersécurité puisse cacher son incompétence ou manque de travail qui devrait dans tous les cas pouvoir être sanctionné par une mesure disciplinaire et/ou un licenciement, mais bien d’éviter une deuxième peine sous la forme d’une condamnation pénale.
En corollaire, les Directeurs Sécurité – Safety pourraient aussi appliquer cette recommandation et éviter ainsi d’être assigné devant un tribunal pour le non-respect d’une conformité ou d’un acte mettant en danger la vie des personnes présentes sur le lieu de travail.
[1] Ce qui n’a pas empêché UBER d’avoir une deuxième fuite de données ! https://blog.avast.com/uber-hack
[2] Qui ne peut jamais accepter de délégation de responsabilité : https://www.cnil.fr/sites/default/files/atoms/files/cnil-gdpr_practical_guide_data-protection-officers.pdf
[3] Comme le disait un ancien collègue et ami : « Rendre compte ce n’est pas moucharder, c’est prendre part au combat » !