En période de crise économique, un dirigeant aura tendance à considérer la sécurité informatique comme un poste de dépense plutôt qu’un investissement. Il cherchera logiquement à rationaliser, voire supprimer complètement cette ligne de son budget.
Si vous êtes à la tête d’une TPE/PME dont l’informatique n’est pas le cœur de métier, prenez le temps de considérer les risques qui peuvent impacter votre entreprise mais également votre personne.
Comme le rappelle l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) dans son Panorama 2024, les PME sont aujourd’hui une cible privilégiée des cybercriminels. En France, les structures de 20 à 250 salariés sont devenues la cible n°1 des attaques par ransomware. En cas de cyberattaque contre votre société, votre responsabilité juridique personnelle est susceptible d’être engagée.
Plusieurs textes de loi appuient la volonté des autorités, qui envoient un signal fort : désormais, la cybersécurité est un devoir du dirigeant, dont la négligence sera sanctionnée, civilement et pénalement, dans les cas les plus graves.
Quels sont les risques et peines encourus par un dirigeant en cas de cyberattaque ?
Quelles mesures déployer pour respecter vos obligations légales et éviter les sanctions ?
Dans cet article, les experts de Gaia Informatique vous proposent une synthèse des droits et obligations qui vous incombent en matière de cybersécurité.
La cybercriminalité : un risque majeur pour l’activité des TPE/PME
Bien que victimes d’une cyberattaque, l’entreprise et le dirigeant ne sont pas dégagés de leur responsabilité aux yeux de la loi.
Une attaque par ransomware, ou même un simple phishing (clic sur un lien malveillant), engendre généralement des pertes d’exploitation, de productivité et des frais de réponse à incident (remplacement de matériel, intervention d’expert).
En cas de sous-investissement chronique dans la sécurité de votre parc informatique, ou de manquement avéré dans la protection des données personnelles en votre possession, vous pourriez être personnellement passible de sanctions. Pour les cas les plus extrêmes, ces sanctions peuvent comprendre des peines de prison.
Evaluez simplement les risques auxquels vous êtes exposés
Tandis que les TPE et PME considèrent l’achat de solutions de cybersécurité comme une contrainte, les dirigeants des grandes entreprises appliquent de leur côté un raisonnement pragmatique. Une question guide leurs dépenses :
Quel montant mon entreprise pourrait-elle perdre si elle se voyait légalement sanctionnée ?
Si le coût d’achat d’une solution de cybersécurité est inférieur à au montant de l’amende, l’investissement est considéré comme pertinent.
C’est pour cela qu’il est essentiel de comprendre les risques auxquels votre entreprise est exposée. Les sanctions réglementaires concernent toutes les sociétés, quelle que soit leur taille ou leur secteur d’activité.
Dans le cadre du RGPD, rien qu’en France, près de 600 millions d’euros d’amendes depuis son application en 2018.
Le non-respect du règlement expose donc votre entreprise à des sanctions financières pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel.
Cyberattaque des PME : qui est juridiquement responsable ?
Dans la continuité du durcissement progressif des contraintes réglementaires, les instances françaises et européennes n’hésitent plus à imposer de lourdes amendes aux personnes morales et physiques coupables, à leurs yeux, de négligence en matière de cybersécurité.
Lorsqu’une cyberattaque aux conséquences graves touche une PME, qui doit répondre devant la loi ? L’entreprise, son dirigeant ou ses collaborateurs ?
L’entreprise : victime mais responsable.
Première victime d’une cyberattaque, l’entreprise peut malheureusement en porter la responsabilité face à un juge. Le RGPD nous rappelle l’obligation de garantir un niveau de sécurité adapté aux données récoltées et traitées.
Pour les entreprises, il ne s’agit pas d’une obligation de résultat, mais de moyens. L’entreprise aura l’obligation de prouver que des mesures techniques et organisationnelles, proportionnées à la taille et aux activités menées, ont bien été déployées.
Le dirigeant : responsable en cas de négligence avérée.
Suite à une cyberattaque jugée grave, la responsabilité des dommages causés à l’entreprise ainsi qu’aux parties tierces, peut reposer sur les épaules du dirigeant.
Dans quel cas ? En l’absence de preuves du suivi, du déploiement d’outils de protection contre les cybermenaces (EDR, pare-feux, 2FA…) et de l’application des bonnes pratiques liées à la cybersécurité.
Ignorer les recommandations formulées par un prestataire informatique peut, par exemple, être considéré comme une négligence.
Prenons le cas d’une PME industrielle :
● Son prestataire informatique émet plusieurs alertes, signalant le fait que le serveur de messagerie n’est pas sécurisé et qu’aucune authentification à deux facteurs n’a été activée.
● Le dirigeant repousse les mises à jour nécessaires car l’entreprise « n’a pas de budget pour cela ».
● Un an plus tard, un attaquant récupère les identifiants d’un collaborateur sur le dark web. La messagerie de l’entreprise et son contenu sont exposés, y compris des contrats, factures et coordonnées bancaires….
Quels sont les risques pour l’entreprise ? Dans cette situation, la société sera probablement sanctionnée par la CNIL pour manquement au RGPD.
Quels sont les risques pour le dirigeant ? Le cadre légal actuel permettrait d’engager sa responsabilité pour faute de gestion, surtout en cas de réclamations financières de la part des parties lésées (clients, partenaires, employés).
Concrètement, le chef d’entreprise encourt des sanctions civiles (versement de dommages et intérêts) ou pénales dans les cas les plus graves (mise en danger la sécurité d’autrui.)
Le salarié : aucune responsabilité, sauf en cas d’abus de fonction
L’article 1242 du Code civil dispose ainsi :
« On est responsable non seulement du dommage que l’on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre […]».
En droit français, ce texte est le fondement de la règle dite de « la responsabilité du commettant du fait de ses préposés. » et encadre les relations entre employeur et salarié.
En cas de cyberattaque contre votre entreprise, ces derniers ne pourront être juridiquement responsables… À moins qu’ils n’aient agi de manière fautive, malveillante, ou en dehors du cadre de leurs attributions. (Cour de Cassation – 25 février 2000, n° 97-17.378 )
Dans le cas où un employé, par praticité, publie des données clients sur un espace en ligne non sécurisé.
Si cette action est en contradiction avec la charte informatique signée par le salarié (usage d’outils non-validés par l’entreprise) ou son contrat de travail (violation des clauses de non-divulgation – NDA, de loyauté, non-respect du règlement intérieur ou des procédures internes), sa responsabilité personnelle pourra éventuellement être engagée.
Responsabilité juridique du dirigeant : que dit la loi ?
Suite à une cyberattaque, la responsabilité du dirigeant peut être engagée à différents niveaux. De la faute de gestion à la mise en danger d’autrui, les sanctions varient selon la gravité des manquements constatés.
Faute de gestion et négligence : la responsabilité civile. L’article 1240 du Code Civil dispose que « toute faute ayant causé un dommage à autrui oblige son auteur à réparer le préjudice ». Les tiers impactés par une cyberattaque (clients, partenaires, salariés) peuvent réclamer des compensations, principalement financières.
Mise en danger d’autrui : la responsabilité pénale. Si, par un effet tragique de ricochet, une cyberattaque contre votre entreprise compromet la sécurité d’une personne, l’article 223-1 du Code pénal, (mise en danger délibérée d’autrui) prévoit des sanctions allant d’amendes à d’éventuelles peines de prison dans des cas extrêmes.
Défaut de protection des données : NIS 2 responsabilise les dirigeants. La directive NIS2, qui devrait s’appliquer en France en 2025, impose des mesures de cybersécurité renforcées, pour 18 secteurs d’activité et entités considérées comme « essentielles » ou « importantes ».
Avec NIS 2, le législateur affiche une volonté de responsabiliser le dirigeant face aux risques de cybersécurité. En cas de manquements, la directive permet des sanctions financières (jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires) mais aussi l’interdiction temporaire d’exercer des fonctions de direction.
Dirigeants de PME, comment faire pour éviter les sanctions ?
Les sanctions ne sont pas une fatalité. En cas d’investigation, l’essentiel est de démontrer que les mesures mises en place sont adaptées aux risques cyber identifiés pour votre entreprise. Le suivi des principes de base de la sécurité informatique en entreprise, accompagné d’un suivi rigoureux, sont une première protection efficace pour l’entreprise et son dirigeant.
Mettre en place une charte informatique et appliquer les bonnes pratiques en matière de cybersécurité. La charte informatique, signée par chaque salarié, engage sa responsabilité au même titre que le règlement intérieur. Ce document permet d’encadrer les usages autorisés et nonautorisés de l’outil informatique en entreprise.
L’application des bonnes pratiques présente un double avantage : d’une part, cela renforce significativement la posture de cybersécurité de votre entreprise, réduisant le risque de cyberattaques. D’autre part, les guides et référentiels de sécurité informatique servent de base au texte de loi, comme la directive NIS 2 ou le RGPD. Les respecter réduit donc le risque de sanctions judiciaires et administratives pour vous et votre entreprise.
Assurer la gouvernance et le pilotage de votre cybersécurité. Quelle que soit sa taille, le chef d’une entreprise doit s’impliquer activement dans la gestion de sa cybersécurité. Il s’agit d’un risque concret, qui ne saurait être géré sans la supervision du dirigeant.
Gaia Informatique renforce la cybersécurité des TPE/PME normandes
Les dirigeants de PME portent déjà beaucoup sur leurs épaules : la gestion de l’entreprise, des équipes, des clients, des partenaires… Il n’est pas question pour eux de devenir des experts en cybersécurité, ni de se ruiner avec des solutions hors de prix et inadaptées à leurs structures.
En revanche, pour limiter les risques juridiques, il est indispensable de mettre en place les protections de base (pare-feux, antivirus nouvelle génération/EDR, double authentification, sécurisation des boîtes mails…) et de suivre régulièrement leur efficacité.
Un audit de cybersécurité, des tests de vulnérabilité et des rapports simples de suivi suffisent déjà à démontrer votre sérieux dans la gestion de votre cybersécurité et votre bonne foi en cas de cyberattaque ou d’incident majeur.
Gaia Informatique accompagne les dirigeants dans la gestion de leur cybersécurité, en proposant des solutions adaptées aux besoins des TPE, PME et ETI normandes.
N’attendez pas qu’une cyberattaque mette en péril votre organisation : contactez-nous dès aujourd’hui pour trouver des solutions pragmatiques et adaptées à votre budget.
