La violation de données à caractère personnel, définie comme une atteinte à la sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée de telles données, constitue un risque majeur pour les entreprises, aux conséquences financières et réputationnelles potentiellement dévastatrices. Si les cyberattaques externes sont souvent médiatisées, les menaces internes, souvent sous-estimées, représentent une part significative des incidents de sécurité. Selon le rapport Verizon DBIR [1], 34% des incidents de sécurité impliquent des acteurs internes, qu’il s’agisse de collaborateurs, de prestataires ou de dirigeants.
Le présent article vise à examiner de manière approfondie les différentes configurations de responsabilité (employeur, employé, prestataire) en cas de fuite de données, piratage ou usurpation d’identité d’origine interne, et à explorer les voies de recours contentieuses, en tenant compte des évolutions jurisprudentielles et des recommandations de la CNIL [2]. Il s’adresse aux professionnels du droit, aux DPO [3], aux RSSI [4], ainsi qu’aux entreprises de tous secteurs, confrontées à la complexité de la gestion des risques liés à la sécurité des données.

I. Fondements de la responsabilité.

A. Responsabilité de l’entreprise et de son dirigeant.

En cas d’incident de sécurité, la responsabilité civile de l’entreprise peut être engagée sur le fondement de l’article 1240 du Code civil, qui consacre le principe de la responsabilité pour faute. La responsabilité pénale de l’entreprise peut également être engagée, notamment en cas de manquement aux obligations de sécurité prévues par le RGPD [5] ou le Code pénal. Le dirigeant, en tant que représentant légal, peut voir sa responsabilité personnelle mise en cause, notamment en cas de faute de gestion ou de manquement à ses obligations de surveillance et de sécurité. Par exemple, la jurisprudence a déjà retenu la responsabilité pénale d’un dirigeant pour défaut de mise en place de mesures de sécurité adéquates [6].

B. Responsabilité du collaborateur.

L’article 82 du RGPD consacre le droit à réparation de toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement. Le responsable de traitement (l’employeur) peut s’exonérer de sa responsabilité s’il prouve son absence de faute, ce qui implique de démontrer qu’il a mis en œuvre les mesures de sécurité appropriées et qu’il n’a pas commis de négligence. Toutefois, la jurisprudence de la CJUE [7] a clarifié que l’employeur ne peut s’exonérer de sa responsabilité du seul fait de la faute de son salarié [8].

II. Analyse des cas de responsabilité.

A. Responsabilité de l’employeur.

La CJUE a établi que l’employeur ne peut s’exonérer de sa responsabilité du seul fait de la faute de son salarié [9]. L’employeur, en tant que responsable de traitement, est tenu de mettre en œuvre les mesures techniques et organisationnelles appropriées [10]. L’adéquation de ces mesures s’apprécie au regard des risques liés au traitement [11]. Cela implique une analyse au cas par cas, en tenant compte de la nature des données traitées, des risques encourus et des moyens disponibles. Par exemple, une entreprise traitant des données de santé sensibles devra mettre en œuvre des mesures de sécurité plus robustes qu’une entreprise traitant des données non sensibles.

B. Responsabilité du collaborateur fautif.

1. Faute lourde : en cas de détournement intentionnel de données, le collaborateur peut être sanctionné disciplinairement (licenciement pour faute lourde) et voir sa responsabilité civile engagée. La qualification de faute lourde, requérant une intention de nuire, incombe à l’employeur. Il doit apporter la preuve de cette intention, ce qui peut s’avérer complexe. Par exemple, la jurisprudence a déjà retenu la qualification de faute lourde dans le cas d’un salarié ayant volontairement supprimé des données essentielles à l’activité de l’entreprise [12].

2. Responsabilité pénale : le collaborateur peut être poursuivi pour abus de confiance [13], complicité d’escroquerie [14] ou atteinte à un système de traitement automatisé de données [15]. Ces infractions supposent la preuve d’un élément matériel (l’acte de détournement, de complicité ou d’atteinte) et d’un élément intentionnel (la volonté de commettre l’infraction). Par exemple, un salarié qui revend des données clients à un concurrent peut être poursuivi pour abus de confiance et atteinte à un système de traitement automatisé de données.

C. Responsabilité du prestataire (sous-traitant).

Le prestataire, en tant que sous-traitant au sens de l’article 4 du RGPD, est soumis aux obligations de l’article 28 du RGPD. Sa responsabilité dépend des stipulations du contrat de sous-traitance. Il est tenu de notifier les violations de données à la CNIL dans les 72 heures [16]. En cas de manquement à ses obligations, il peut être tenu responsable conjointement avec le responsable de traitement. Par exemple, un prestataire hébergeant des données de santé qui ne met pas en œuvre les mesures de sécurité requises peut être tenu responsable en cas de fuite de données.

III. Sanctions et recours.

A. Sanctions administratives et pécuniaires.

Le non-respect du RGPD expose le responsable de traitement et le sous-traitant à des sanctions administratives (jusqu’à 20 millions d’euros) et pécuniaires (jusqu’à 4 % du chiffre d’affaires). La CNIL peut également prononcer des sanctions complémentaires, telles que l’injonction de mettre en conformité les traitements ou la limitation temporaire ou définitive du droit de traiter des données.

B. Recours contentieux.

1. Employeur : action en responsabilité civile devant le tribunal judiciaire, action pénale pour abus de confiance, complicité d’escroquerie ou atteinte à un système de traitement automatisé de données.
2. Prestataire : les recours dépendent du contrat de sous-traitance. Il peut agir contre le responsable de traitement en cas de manquement à ses obligations, ou être mis en cause par les personnes concernées en cas de violation de données.

IV. Mesures préventives et recommandations.

• Mise en place d’une politique de sécurité robuste : cela implique la définition de procédures claires en matière de gestion des accès, de chiffrement des données, de sauvegarde et de restauration, ainsi que la mise en œuvre de dispositifs de détection et de prévention des intrusions.
• Formation et sensibilisation des collaborateurs : il est essentiel de former les collaborateurs aux enjeux de la protection des données et aux bonnes pratiques en matière de sécurité informatique.
• Évaluation régulière des risques et des mesures de sécurité : les risques évoluent constamment, il est donc nécessaire de procéder à des audits réguliers pour identifier les vulnérabilités et adapter les mesures de sécurité en conséquence.
• Rédaction d’une charte informatique : la charte informatique permet de définir les règles d’utilisation des outils informatiques de l’entreprise et de rappeler les obligations des collaborateurs en matière de protection des données.
• Mise en place d’un dispositif de signalement interne : permettre aux collaborateurs de signaler les incidents de sécurité de manière confidentielle

Aurélie Duron Harmand, Avocat au barreau de Paris et Mehdi Mankouri, Elève-Avocat

L'auteur déclare ne pas avoir utilisé l'IA générative pour la rédaction de cet article.

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion, plus d'infos dans nos mentions légales ( https://www.village-justice.com/articles/Mentions-legales,16300.html#droits ).