Gouvernance
Face à la loi, les DSI ne manquent pas de volonté… mais d’alliés
Par François Jeanne, publié le 16 juillet 2025
Face aux menaces, les DSI sont bons élèves et cherchent à se protéger des rigueurs de la loi. Mais ce n’est pas si simple. Le droit est une matière plutôt molle par rapport à leurs certitudes scientifiques. Et les alliés logiques que pourraient être des directions juridiques ou des avocats spécialisés, ne sont pas toujours disponibles. Il n’y a pourtant pas d’autres solutions que la mise en commun des expertises pour diminuer les risques.
« La prise de conscience a eu lieu ». Autant commencer par le positif, et la pierre angulaire de toute bonne organisation, à savoir la perception qu’il y a une nouvelle problématique à traiter. Marc-Antoine Ledieu, avocat, RSSI et auteur de BD (!), a constaté le changement, lui qui travaille sur cette thématique du droit dans le numérique, et notamment la cybersécurité, depuis plus de dix ans. Il enseigne même cette matière dans des écoles d’ingénieurs, et note un gain d’intérêt chez ses étudiants. Il faut dire que le sujet s’invite de plus en plus dans les DSI : « On a vu apparaître des clauses spécifiques dans les contrats passés par les banques avec leurs fournisseurs à partir de 2017 », se souvient-il. À la clé, une inflation de la taille des documents, qui a pu parfois être multipliée par huit.
Son rôle dans ce contexte ? Certainement pas de plaider au tribunal ! « Cela m’arrive une fois tous les douze ans », plaisante-t-il. Sa valeur ajoutée se situe plutôt en amont, lors de la signature des contrats. « On me les envoie, je les lis et ce n’est pas rien. Puis je les commente. Et je fais des suggestions d’amélioration. »
Eric Barbry
Avocat associé du cabinet Racine
Il y a encore trop de situations où la DSI sait par exemple qu’elle est soumise à DORA, mais pas ce que cela signifie. »
L’avocat spécialiste appelé en renfort, cela peut apparaître comme une évidence, surtout quand il n’y a pas de direction juridique au sein de l’entreprise. Mais quand elle existe également. Son confrère Eric Barbry, avocat associé du cabinet Racine et spécialiste du numérique depuis plus de 25 ans, l’explique ainsi : « les juristes internes, même spécialisés en IT, ne font pas ou peu de contentieux. Quant au reste de leur activité, elle est une succession d’urgences venues de toutes parts… » L’informatique dans tout cela ? « C’est un peu le parent pauvre aussi bien des directions juridiques ou des directions informatiques qui sont le plus souvent considérées comme des services supports et des centres de coûts. Pourtant, sans eux rien ne marcherait », ajoute l’avocat.
Encore peu de professionnels du droit impliqués dans le numérique
Pas facile en effet, d’autant que selon Marc-Antoine Ledieu, il n’y a pas pléthore de professionnels du droit spécialistes du numérique qui sortent des facultés, ni pour aller travailler en cabinet, ni pour aller travailler en entreprise. Il faut donc concentrer les efforts pour en maximiser les résultats. Pour cela, il ne fait guère de doute que les problématiques de cybersécurité constituent une piste d’entraînement idéale : beaucoup de réglementations à appliquer, des guides opérationnels plutôt clairs, des régulateurs qui accompagnent avant de sanctionner. Et un discours de mobilisation plus facile à tenir auprès des Comex, généralement rétifs à des dépenses de protection juridique tant qu’ils n’ont pas subi les conséquences de leurs sous-investissements…. Sauf quand les amendes annoncées, à hauteur de plusieurs centièmes du chiffre d’affaires, ont de quoi les faire réfléchir avant.
La logique veut aussi que les différentes parties prenantes dans l’entreprise, à savoir la DSI, la direction juridique et, très souvent, celle des achats, collaborent en priorisant les sujets (voir témoignage de Valentine Ferréol ci-dessous). « Clairement, le risque cyber fait partie des priorités. Il y en a d’autres comme la propriété intellectuelle, les données personnelles ou non et les projets IT structurants », continue Eric Barbry. Avec des nuances dans la façon d’aborder les contentieux. « L’IA et l’open source sont des vecteurs de conflits autour de la propriété intellectuelle. En revanche, concernant les prestations de services informatiques, nous intervenons plus souvent en conseil et pré-contentieux, un peu moins en contentieux. Nous privilégions les négociations voir les médiations. Le contentieux est souvent synonyme d’échec pour tout le monde, même pour les avocats. » Ajoutons que, les sujets liés aux data et à leur protection vont rarement au contentieux avec les régulateurs. Reste l’obligation de porter plainte en cas de vols, pour pouvoir faire valoir les droits de l’entreprise si elle dispose d’un contrat de cyber-assurance.
Le contentieux fait perdre du temps, autant l’éviter
De toutes façons, l’objectif de l’entreprise et de la DSI est de limiter ces contentieux, synonymes de perte de temps et d’incertitudes quant à leur issue. On retrouverait presque ici la logique du chef de projet qui préfère passer du temps à réfléchir en amont, pour ne pas avoir à corriger en aval ! Sauf qu’ici, il ne peut s’appuyer sur sa seule maîtrise des technologies pour s’en sortir. C’est bien la direction juridique qui comprend les risques légaux. Quant à la direction des achats, elle a la main sur la négociation des clauses avec les fournisseurs.
Les compétences de la DSI sont tout de même incontournables pour comprendre la qualité technique des réponses apportées à une exigence légale. « Par exemple, sur des questions comme la réversibilité et les réponses apportées par les API, elle seule peut savoir et rassurer le juriste qui s’inquièterait des effets éventuels d’une interdiction de travailler avec tel ou tel acteur », explique Eric Brétéché, product marketing manager chez Guidewire, un fournisseur de solutions métiers en SaaS pour le secteur IARD. Par ailleurs, le passage du on-premise au cloud augmente les exigences de gestion du risque car les providers deviennent des partenaires stratégiques. « La DSI navigue dans cette complexité, avec l’aide ou pas des RSSI, des DPO, de la direction juridique et les guidelines des régulateurs », constate-t-il.
Marc-Antoine Ledieu
Avocat, RSSI et auteur de BD
Les contrats, on me les envoie, je les lis et ce n’est pas rien. Puis je les commente. Et je fais des suggestions d’amélioration. »
Eric Barbry travaille aussi avec toutes ces parties, et parfois avec la direction générale également. « Notre rôle est d’accompagner la mise en place d’une gouvernance, qui pourra se traduire par l’élaboration de chartes pour les collaborateurs, de programmes de formation et de sensibilisation. » Le plus important est selon lui de bien définir le cadre réglementaire qui s’applique à l’entreprise, autrement dit son référentiel légal. « Parmi les questions à se poser, il y a celles qui concernent les niveaux de sécurité requis pour le SI et les data. Notamment lorsque la loi les rend responsables par rapport à leurs clients. Il y a encore trop de situations où la DSI sait par exemple qu’elle est soumise à DORA, mais ne sait pas en pratique ce que cela signifie ou comment y parvenir. »
Une mise en conformité juridique de l’IT trop souvent traitée au coup par coup
On ne sous-estimera évidemment pas l’intérêt que peuvent avoir des avocats à forcer le trait pour susciter l’intérêt des entreprises pour leurs prestations. Il reste que la mise en conformité juridique de l’IT est encore trop souvent traitée au coup par coup, à chaque nouvelle réglementation qui tombe ou lorsqu’un problème cyber survient. Et cela ne résout pas la question de l’existant : « La dette juridique de l’IT est à comparer à sa dette technique. Et elle la partage avec la direction juridique qui n’a pas les moyens de la traiter globalement. Du coup, celle-ci intervient le plus souvent pour éteindre des incendies déjà déclarés. C’est épuisant », constate Grégoire Miot, business enablement & product management chez Wolters Kluwer et président de la European Legal Tech Association (ELTA). Pour éviter de nouveaux départs de feux, ces deux-là seraient donc condamnés à s’entendre ? Ils ont au moins intérêt à collaborer pour mieux comprendre les problématiques qu’ils partagent, en commençant par une nécessaire anticipation des réglementations à venir et de leurs conséquences. Cela leur permettra de hiérarchiser les risques avant de les traiter si nécessaire. Mais pour aller au-delà du vœu pieu, qui ne suffit plus aujourd’hui, les approches « artisanales » vont devoir évoluer. Sans doute faudra-t-il un jour que les directions juridiques embauchent des professionnels de l’IT, et l’inverse aussi. Après tout, les DSI accueillent déjà des pros de la com, des achats ou des RH. Pourquoi pas demain des avocats ?
TÉMOIN – Valentine Ferréol, DSI groupe Linxens
Quatre bonnes pratiques pour la DSI
Les questions juridiques doivent être traitées par un triptyque composé de la DSI, des achats et des juristes : pour l’ancienne acheteuse, qui a également officié plusieurs années comme DSI de transition, la complémentarité des trois fonctions ne fait aucun doute au moment de négocier un contrat, de comprendre les risques juridiques et bien sûr les qualités techniques de la solution.
Les contrats cadres facilitent la vie de ce triptyque : «Mais il faut bien sûr les travailler avec précision et ensemble en amont, surtout entre les achats et le juridique, mais avec une écoute attentive des besoins de la DSI. »
Rigidité ou flexibilité par rapport aux contrats et aux exigences ? « Les besoins du business sont les paramètres de cet ajustement, dans un sens comme dans l’autre. Mais clairement, la conformité juridique est un levier pour le business. »
Bien s’entourer, comment ? « En tant que DSI, j’ai l’habitude de questionner des experts techniques sur le sujets les plus pointus. Il faut évidemment faire pareil pour le juridique et donc aller chercher les meilleurs, en interne ou pas. Le DSI n’a pas à devenir un spécialiste du droit, mais en revanche, il doit maîtriser le recours à ses spécialistes. C’est une acculturation à réaliser. »
TÉMOIN – Gabor Pop, Chief marketing officer chez Olfeo
« Il n’y a pas de délai légal pour se montrer réactif face à une vulnérabilité »
Créée il y a 20 ans, Olfeo a longtemps vendu des solutions de filtrage de proxy à des PME. La société se spécialise aujourd’hui dans l’interdiction des accès aux sites malicieux. Son CMO Gabor Pop résume ainsi les différentes situations rencontrées : « Il y a des sites que la loi de l’entreprise interdit, par exemple ceux pour le e-commerce que les collaborateurs ne sont pas censés consulter pendant le travail. Il y a ensuite des sites dangereux pour la cybersécurité : ici, on peut parler de la loi du RSSI. Et puis enfin, les sites que la loi générale interdit au civil, par exemple ceux qui font l’apologie du terrorisme, de la vente d’armes, etc. »
Les protections juridiques passent souvent par les chartes : « S’il y en a une, celui qui l’a signée avant de l’enfreindre est responsable. Sinon, l’entreprise devra démontrer qu’elle a pris les mesures techniques adéquates pour éviter les incidents. C’est le juge qui va apprécier la situation, parfois en nous demandant de produire un historique des logs. »
L’absence d’experts à la barre du tribunal est cependant la norme. C’est du coup à l’entreprise et à sa DSI de démontrer qu’elles ont fait preuve de vigilance face aux vulnérabilités qui sont apparues sur le SI. « Ce devoir de réactivité est difficile à évaluer. À partir de quand vous tient-on responsable de ne pas avoir mis en œuvre un patch disponible ? Il n’y a pas de texte qui le précise, sauf pour les fournisseurs dans le cadre de contrats explicites. » Encore un flou dont les DSI se passeraient bien.
À LIRE AUSSI :
