Risques personnels des DSI, RSSI et DPO : guide de survie en milieu hostile

Quand les cybermenaces se multiplient et que la réglementation ne cesse d’évoluer, vous, DSI, RSSI et DPO, exercez votre métier sur un fil. Vous êtes désormais en première ligne, devenus de véritables « fusibles » que l’on peut faire sauter à la moindre crise, exposés à un licenciement ou à des poursuites judiciaires. Comment éviter d’être le prochain sur la liste ?

En cas de cyberattaque, est-ce que je risque vraiment d’être licencié, alors même qu’on ne m’a pas donné tous les moyens pour faire mon travail ? » Cette question, lancée par un DSI préférant garder l’anonymat, symbolise une inquiétude grandissante au sein de la profession. « Il n’y a pas grand-chose d’écrit dans mon contrat de travail sur les spécificités liées à mon métier », ajoute notre DSI qui pointe également du doigt la délégation de pouvoirs qui peut peser lourd en termes de responsabilités.

Un DSI face à une responsabilité grandissante

Ce témoignage résume bien la situation inquiétante aujourd’hui : le cadre législatif existe bel et bien, mais les conséquences des hiérarchies internes dans l’entreprise, avec la subordination liée au contrat de travail, peuvent être lourdes. Sur un terrain technologique complexe, en tant que DSI, on peut vite devenir la cible – légitime ou non – quand survient un incident.

Pour Jérôme Deroulez, ancien magistrat, avocat spécialisé en protection des données personnelles et en lobbying auprès des institutions françaises et européennes, l’approche européenne, menée par Thierry Breton, a généré une « multiplication des réglementations généralement positives, mais souvent hors sol », c’est-à-dire déconnectées des réalités économiques des entreprises. Il insiste sur la nécessité urgente « d’adapter ces obligations selon les capacités financières et organisationnelles des entreprises ». Un point sur lequel notre DSI masqué abonde : « Je fais une différence majeure entre une grande entreprise et une TPE. Dans une multinationale, j’ai une armada pour mitiger mes risques : pros de la compliance, experts en cyber, délégations claires. Dans une petite entreprise, on n’a rien. Et alors là, en cas d’incident, je deviens le fusible tout désigné. » Christian Des Lauriers, cofondateur et PDG d’Adequacy, appuie le point : « NIS 2 illustre bien cette problématique. Beaucoup de collectivités ou PME manquent cruellement de moyens et de compétences. Pourtant, les conséquences d’une négligence peuvent être dramatiques. »

Le RGPD, en lui-même, ne mentionne pas le DSI. C’est ce que souligne Thibaud Antignac, expert en cybersécurité, en innovation technologique et protection des données et des citoyens au sein de la CNIL : « L’article 5 du RGPD définit des principes comme la licéité, la minimisation, la conservation limitée, la sécurité. Le DPO est clairement défini et protégé. Le DSI, lui, n’apparaît pas, alors qu’il peut engager l’entreprise en décidant d’héberger des données dans tel ou tel datacenter. » Dès lors, le DSI devient une cible potentielle si un incident de sécurité survient, ou si la CNIL constate un manquement grave.

Jérôme Deroulez, précise : « Beaucoup de DSI s’en remettent à la bonne volonté de la direction. En réalité, il faut contractualiser. Les clauses spécifiques d’un contrat de travail peuvent stipuler que le DSI n’est pas responsable en cas de refus de moyens ou de budget. » Sans cela, la direction pourra invoquer la faute professionnelle si, par exemple, un ransomware paralyse le SI : « On dira au DSI : “Tu aurais dû mettre en place des sauvegardes plus solides’’, alors qu’il n’a jamais obtenu le financement pour le faire. »

RSSI, obligation de moyens et délégations en trompe-l’œil

Le RSSI est sans doute encore plus exposé que le DSI, car sa fonction est parfois moins connue et moins protégée au sein de l’organisation. Vincent Lefret, RSSI et administrateur du Cesin, rappelle pourtant que « le RSSI a un devoir de vigilance, mais c’est une obligation de moyens, pas de résultat. On ne peut pas exiger de lui qu’il empêche toute cyberattaque, c’est impossible. Pourtant, dans les faits, on cherchera un coupable. »

Il constate par ailleurs que, concrètement, « avant la catastrophe, on avertit, on préconise, et quand la crise arrive, on se retrouve seul à gérer la situation ». Mais au-delà de cette situation extrême, Vincent Lefret insiste sur la difficulté du quotidien : « Budget serré, arbitrages internes, et l’enjeu d’être force de propositions pour le business sans être perçu comme un frein. »

Sur le plan juridique, l’administrateur du Cesin précise qu’en droit français, la responsabilité pénale reste, en principe, celle du dirigeant, sauf en cas de délégation explicite. Cependant, le RSSI peut tout de même être mis en cause en cas de faute professionnelle caractérisée. C’est pourquoi la rédaction du contrat de travail prend toute son importance. « S’il y a des clauses très précises ou un statut de dirigeant (par exemple si le RSSI siège au Comité de direction), la donne peut changer. »

La situation est similaire pour le DPO : « Le DPO, comme le RSSI, se retrouve dans un rôle de conseil, avec des obligations spécifiques. Mais légalement, cela ne garantit pas toujours une protection en béton. Il y a un flou, et c’est pourquoi il est essentiel de clarifier ces questions de loyauté et de responsabilités. Et j’insiste sur un point : pour se faire entendre, il faut une vraie pédagogie auprès des dirigeants. Tenir un discours trop technique ne suffit pas, il faut parler en termes de risques, de coûts, de business. »

Le DPO, protégé par le RGPD, mais menacé dans les faits

Pourtant, contrairement au DSI ou au RSSI, le DPO a un rôle défini par le RGPD. « La situation est différente. Le RSSI porte la responsabilité de la sécurité des systèmes d’information, mais sans cadre juridique clair. Il y a une grande variété de situations selon les entreprises. Contrairement au DPO, le RSSI peut être opérationnel ou uniquement en conseil, ce qui rend sa responsabilité difficile à définir. Avec la directive NIS 2, les obligations vont s’intensifier pour de nombreuses organisations », résume Patrick Blum, délégué général de l’AFCDP (Association française des correspondants à la protection des données à caractère personnel). Christian Des Lauriers complète : « Le DPO subit régulièrement une forte pression interne lorsqu’il signale des pratiques non conformes. Cela provoque un mal-être professionnel significatif, renforcé par les contradictions entre les missions de conseil du DPO et les exigences commerciales ou opérationnelles de l’entreprise. » Et Patrick Blum, en expert chevronné de préciser : « Rien n’empêche l’entreprise de licencier le DPO pour de soi-disant problèmes de communication, de comportement ou de compétences, si celui-ci dérange trop. »

Il illustre le propos avec un cas concret : « Un DPO avait signalé un traitement irrégulier de données clients. La direction l’a accusé de mettre des bâtons dans les roues du service marketing. Quelques mois après, il était remercié pour insuffisance professionnelle. Officiellement, ça n’avait rien à voir, mais tout le monde a compris la raison réelle. » Pour éviter un tel scénario, Patrick Blum recommande de « préciser l’indépendance du DPO et les limites de son rôle dans le contrat de travail, afin qu’il puisse se défendre si on l’accuse de s’opposer systématiquement aux projets ».

Dernier point délicat : il concerne l’éventualité pour le RSSI ou le DPO de devenir lanceur d’alerte. Vincent Lefret souligne toute la complexité de cette décision : « Au premier chef, le contrat de travail impose avant tout une loyauté envers l’employeur. Concrètement, avant d’en arriver à rendre publique une alerte, je devrais avoir épuisé les recours internes : alerter ma direction à plusieurs reprises, exposer clairement le risque dans des comités, etc. Si, malgré tout, les décisions ne suivent pas et que la situation est vraiment dangereuse, alors on entre dans un cas de conscience personnel. Dans un cas extrême où des vies seraient menacées, je pense que beaucoup de personnes, moi y compris, pourraient franchir le pas et dire  : “Non, là, c’est impossible.” Mais c’est un choix individuel, potentiellement lourd de conséquences professionnelles. »

Et si le RGPD vacille ?

Un autre sujet majeur d’inquiétude a émergé ces dernières semaines : le risque que l’accord d’adéquation entre l’UE et les États-Unis vole en éclats, comme ce fut le cas du Safe Harbor ou du Privacy Shield. Depuis le début de l’année, la politique américaine menée par Donald Trump fait craindre l’invalidation de ce Data Privacy Framework. « Du jour au lendemain, un transfert de données qui était considéré comme légal peut devenir hors-la-loi », s’alarme l’un de nos DSI anonymes. « Il ne faut pas se fier uniquement à la loi. Il faut prévoir un plan B. »

À la CNIL, Thibaud Antignac insiste aussi sur ce point : « Le DSI doit savoir qu’un changement de jurisprudence peut imposer le rapatriement de données ou la mise en place de clauses spécifiques. Là encore, si la direction ne suit pas, c’est au DSI qu’on demandera pourquoi il n’a pas anticipé. » Et Christian Des Lauriers d’abonder dans le même sens : « Si l’accord d’adéquation vole en éclats, la conformité RGPD se retrouve à terre. L’entreprise demandera alors : “DSI, pourquoi n’as-tu pas prévu ?”, alors qu’il n’a aucune prise sur les décisions politiques américaines. »

Une inconscience nécessaire ?

Au vu de ces risques multiples – insuffisance contractuelle, délégation qui peut se retourner contre le DSI ou le RSSI, absence de moyens budgétaires, revirement possible de l’accord transatlantique –, l’ambiance n’est pas à la sérénité.

« J’ai parfois l’impression qu’il faut une bonne dose d’inconscience pour être DSI aujourd’hui », plaisante, un brin amusé, l’un de nos DSI masqués. « On aime ce métier, on aime la techno, mais on sait qu’on peut être sacrifié », rappelle un autre de nos fameux DSI qui, en dépit des risques, conserve l’esprit combatif.

La parade principale réside toujours dans la contractualisation. Jérôme Deroulez conseille « d’inscrire noir sur blanc la répartition des responsabilités, et de prouver par écrit qu’on a demandé des ressources ou signalé un risque ». Patrick Blum insiste sur la place du DPO : « Même s’il est censé être protégé, mieux vaut garantir dans son contrat que son indépendance ne pourra pas être remise en cause s’il alerte légitimement. » Vincent Lefret appelle le RSSI à « ne jamais accepter une délégation non formalisée, et encore moins dépourvue de budget ». Plus qu’un conseil, un impératif de prudence.

In fine, Jérôme Deroulez recommande aux DSI de « renforcer leur formation continue » et de « collaborer étroitement avec les DPO, RSSI et directions de conformité pour assurer une gouvernance efficace ». Et Christian Des Lauriers de conclure avec pragmatisme : « Ne réinventez pas constamment les solutions. Les outils existent, les formations sont disponibles, les réseaux professionnels sont actifs. Les DSI doivent simplement disposer des moyens réels pour agir efficacement. »

---

Les conseils de la CNIL pour des nuits plus sereines

Pour les DSI qui souhaitent dormir sans anxiété, Thibaud Antignac, expert à la CNIL, recommande avant tout d’avoir une vue claire sur les données traitées dans l’entreprise : « Sachez précisément ce que vous collectez, pourquoi vous le faites, et surtout, n’accumulez pas inutilement pendant des années des données devenues inutiles. »

Ses conseils concrets

1. Un registre des traitements clair et mis à jour ;

2. Une politique de cybersécurité solide (RSSI, DPO et DSI main dans la main) ;

3. Une organisation pour gérer les violations de données, de la notification CNIL à l’information des personnes ;

4. Des contrats bétonnés avec les sous-traitants, en particulier hors UE ;

5. Une anticipation des évolutions réglementaires à venir (AI Act, DSA, DMA…).

En cas de cyberattaque,

pas de panique immédiate côté administratif : « Agissez d’abord sur le terrain pour contenir l’incident. »

1. Endiguer : on mobilise l’équipe interne, on isole la zone compromise, on réduit l’ampleur de la brèche ;

2. Communiquer en interne : toute la chaîne de direction doit être alertée, en plus des DPO et RSSI ;

3. Notifier la CNIL dans les 72 heures ; on dépose une première notification (même incomplète), suivie d’une notification complémentaire une fois la situation clarifiée ;

4. Informer les personnes si nécessaire : en cas de fuite de données sensibles, prévenir au plus vite les personnes concernées.

Enfin, bonne nouvelle, Thibaud Antignac rassure : « La transparence est votre meilleure alliée, car la CNIL préfère accompagner que sanctionner. »

---

À LIRE AUSSI :

Secu

Emmanuel Naëgelen (ANSSI) : « On ne peut plus cloisonner la conformité d’un côté et la cybersécurité de l’autre »

Thierry Derouet

6 Fév