PME : qui est juridiquement responsable en cas de cyberattaque ?

Une PME qui subit une cyberattaque est-elle « coupable » ou « victime » ? Peut-elle être tenue responsable des dommages que subissent les parties prenantes ? Oui, si l’enquête révèle un manquement à ses obligations en matière de risque cyber. Responsabilité civile, administrative, voire pénale : les conséquences peuvent être lourdes pour l’entreprise… et pour son dirigeant. Voici ce que dit le droit.

Fuite des données : l’entreprise reste responsable, même si elle est victime d’une cyberattaque

Le fait de subir une cyberattaque ne suffit pas à dégager l’entreprise de sa responsabilité. En droit français et européen, l’entreprise est tenue d’assurer la sécurité des données qu’elle traite, notamment contre les attaques externes.

C’est une obligation de moyens (plutôt que de résultat) : elle doit pouvoir démontrer qu’elle a pris toutes les mesures techniques et organisationnelles adaptées à son activité, à ses risques, à ses moyens et à l’état de l’art (article 32 du RGPD).

En cas d’atteinte à des données personnelles, la responsabilité civile de l’entreprise peut être engagée de deux manières :

• Responsabilité contractuelle, si un engagement en matière de cybersécurité figure dans un contrat avec un client, un prestataire ou un partenaire ;
• Responsabilité extracontractuelle, si les dommages concernent des tiers sans contrat, sur le fondement du respect des droits et libertés individuelles.

⚖️ La jurisprudence « Natsionalna agentsia za prihodite »

La jurisprudence européenne, notamment l’arrêt CJUE C-340/21 (2023) relatif à l’autorité bulgare de recouvrement des créances publiques, établit une présomption simple de manquement en cas de violation de données. En clair, l’entreprise doit prouver qu’elle a bien respecté ses obligations de sécurité. À défaut, elle peut être tenue pour responsable du dommage subi par les personnes concernées, quand bien même la fuite serait la conséquence d’une cyberattaque réalisée par un tiers malveillant.

Cette responsabilité peut donner lieu à des sanctions administratives (amendes RGPD pouvant aller jusqu’à 4 % du chiffre d’affaires mondial), des sanctions civiles (dommages et intérêts) et/ou des mesures correctives imposées par la CNIL (mise en demeure, suspension d’un traitement, etc.).

La posture passive n’est donc pas une option, car la charge de la preuve repose sur l’entreprise qui doit documenter et justifier ses choix de sécurité, ses arbitrages et ses protocoles.

Le dirigeant peut être mis en cause à titre personnel en cas de négligence caractérisée

La responsabilité juridique ne s’arrête pas à la personne morale. En cas de cyberattaque, le dirigeant de la PME peut être tenu personnellement responsable s’il a commis une faute grave dans la gestion des risques cyber.

Cette responsabilité peut être engagée sur le plan civil (indemnisation du préjudice subi) ou pénal (en cas de mise en danger, de dissimulation ou de manquement délibéré à ses obligations). Trois situations reviennent régulièrement dans ce type de contentieux :

Type de manquement	Exemples
Préparation insuffisante	Absence de politique de sécurité, aucun plan de continuité d’activité, mots de passe faibles, serveurs non mis à jour, etc.
Manquement à une obligation légale	Non-respect du RGPD ou de la directive NIS2 (gouvernance, documentation, absence de formation à la cybersécurité)
Défaut de notification	Aucune alerte envoyée à la CNIL ni aux personnes concernées, alors que des données ont clairement fuité

Le prestataire informatique peut être tenu responsable en cas de faute, mais l’entreprise reste en première ligne

Dans de nombreuses PME, la sécurité du système d’information est partiellement ou totalement confiée à un prestataire externe. Mais déléguer ne signifie pas se décharger juridiquement : l’entreprise cliente reste responsable en tant que « responsable de traitement » au sens du RGPD, sauf si elle peut démontrer une faute du sous-traitant.

Le RGPD distingue deux statuts :

• Le responsable de traitement : la PME, qui détermine les finalités et les moyens du traitement des données ;
• Le sous-traitant : le prestataire informatique, qui agit pour le compte de l’entreprise.

Pour que la responsabilité du prestataire soit engagée, deux conditions doivent être réunies : le contrat de sous-traitance doit comporter des clausessur la sécurité, les obligations du prestataire et les pénalités en cas de manquement, et il faut pouvoir prouver une faute du prestataire : négligence technique, non-respect du contrat, non-exécution d’une alerte critique, etc.

Dans la pratique, les litiges portent souvent sur des défauts de mise à jour, une mauvaise gestion des droits d’accès ou des sauvegardes inopérantes. Mais sauf faute avérée, le manquement du sous-traitant ne suffit pas à dégager la responsabilité de l’entreprise cliente, qui reste responsable vis-à-vis des personnes concernées.

🔗 Livre blanc : votre PME est-elle vraiment protégée contre le risque cyber ?

✔️ Les 6 cyberattaques les plus fréquentes et leurs impacts. ✔️ Pourquoi les PME sont des cibles privilégiées. ✔️ 10 bonnes pratiques IT pour renforcer votre protection. Téléchargez ce livre blanc gratuitement.

Le salarié RSSI n’est pas personnellement responsable, sauf en cas d’abus de fonction

Le Responsable de la sécurité des systèmes d’information (RSSI) joue un rôle central dans la mise en œuvre des politiques de cybersécurité dans l’entreprise. Mais sa responsabilité personnelle est juridiquement encadrée : en tant que salarié, il agit sous l’autorité de son employeur, qui reste responsable des décisions, des moyens mis à disposition et des arbitrages.

En droit du travail, le salarié ne peut être tenu personnellement responsable des fautes commises dans l’exercice normal de ses fonctions, même en cas de négligence, tant qu’il respecte son contrat et agit dans le cadre de sa mission. La responsabilité civile ou pénale incombe alors à l’entreprise. L’employeur peut le sanctionner en interne, mais c’est l’entreprise qui répondra juridiquement face à la CNIL, aux tribunaux ou aux clients.

Seule exception : l’abus de fonction, c’est-à-dire le cas où le RSSI agit :

• sans autorisation ;
• en dehors de ses attributions ;
• dans un but personnel ou étranger à l’intérêt de l’entreprise.

Exemple : un RSSI installe un outil de sécurité non validé par la direction, en dehors de tout cadre contractuel, et dont la faille provoque une fuite massive de données.

Dirigeants de PME : ne restez pas seuls face au risque cyber

En France, près d’une entreprise sur deux subit une cyberattaque réussie chaque année… et les TPE/PME sont des cibles privilégiées. En effet, les cyberattaquants espèrent toucher des tiers plus lucratifs (clients, fournisseurs…) via des attaques par rebond.

Chaque cyberattaque peut engager la responsabilité juridique de votre PME, voire la vôtre à titre personnel. Vous devez donc être en mesure de prouver que vous avez tout mis en œuvre pour vous protéger.

En France, le coût moyen d’une cyberattaque réussie est de 130 000 €, et 41 % des PME ne récupèrent jamais leurs données après une violation. Pire : 50 % des PME font faillite à la suite d’une cyberattaque.

Faites le choix DFM pour protéger votre activité et prouver votre diligence. Nos experts vous accompagnent pour anticiper le risque cyber, protéger vos données, sécuriser vos systèmes et démontrer, en cas d’incident, que tout a été mis en œuvre, dans les règles de l’art.

N'attendez pas la première attaque pour agir. Discutons de votre exposition au risque cyber ⬇️