Réglementations : comment les RSSI doivent-ils faire face ?

Sarban Oaxley, Bâle II, Conservation des données, ISO, LSF, LOLF…, le responsable de la sécurité des systèmes d’information en entreprise doit faire face à de plus en plus de responsabilités. Le métier devient complexe et les enjeux juridiques sont désormais complexes. Comment alors se positionner et se protéger face à ces enjeux ? C’est à cette épineuse question que des spécialistes réunis par le Clusif (Club de la sécurité de l’informatique français) ont tentés de répondre.

Pour Alain Fruchet de NTI, « le RSSI fait face à une combinaison de plusieurs phénomènes. Au niveau de ses fonctions de base, le développement de nouveaux risques provoque l’augmentation des domaines qu’il traite. Mais surtout, il fait désormais face à des textes juridiques disparates (réglementation nationale, internationale, sectorielle) qui pèsent sur ses responsabilités. Dans le même temps, on observe une absence de dispositions juridiques encadrant spécifiquement son rôle ».

Face à ces défis, le spécialiste préconise la« mise en place d’outils pour sensibiliser le management et tous les collaborateurs de l’entreprise sur le risque de non-conformité aux lois et règlements: charte des dirigeants, code de conduite, délégations de pouvoirs et de signature »… D’où la montée en puissance des auditeurs internes, des risks managers, des risks officers, des déontologues…

La conformité aux lois et aux réglements semble être au coeur du débat. Il faut « Etre conforme: Avoir mis en oeuvre les procédures, processus et contrôles opérationnels appropriés. Rester conforme: S’assurer du suivi et du respect de l’évolution réglementaire. Et être capable de fournir à tout instant les preuves du bon respect des procédures », poursuit Alain Fruchet.

Dans la pratique, c’est le RSSI qui seul, doit gérer cette conformité en parallèle de ses tâches de sécurisation du SI… Et c’est là qu’il y a danger car on peut se poser la question de la responsabilité civile ou pénale du RSSI.

Selon Maître Garance Mathias (avocate), dans la plupart des cas, la direction d’une entreprise signe une délégation de pouvoir dont bénéficie le RSSI. « Cette délégation est naturelle et logique, le dirigeant n’a pas la compétence pour s’occuper de ces problèmes. Mais cette délégation doit être encadrée, limitée, clarifiée, car la responsabilité civile incombe au RSSI en cas de problème », souligne-t-elle.

Il est fortement conseillé aux RSSI d’encadrer à l’écrit cette délégation.« Les responsabilités doivent être clairement évoquées, surtout, la délégation doit être limitée dans le temps, il faut régulièrement la mettre à jour en fonction des évolutions réglementaires ou technologiques », avertit l’avocate.

Ce cadre permet dans bien des cas de protéger le RSSI. Maître Mathias ajoute qu’en cas de mise en cause, le RSSI peut également mettre en avant des points reconnus par la jurisprudence. « Le manque de budget, de formation dédiée ou de moyens mis à sa disposition peuvent être mise en avant par un RSSI en cas de mise en cause.Encore faut-il le prouver. D’où la nécessite de tout coucher par écrit régulièrement ».