Phylapp
Audit, conformité et responsabilité organisationnelle

Les responsabilités liées aux obligations de conformité

Les obligations de conformité réglementaire engagent des responsabilités précises — pour l'organisation, pour ses dirigeants, et pour les fonctions dédiées. La direction doit comprendre cette répartition.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 19 lectures

La responsabilité de conformité : qui répond de quoi

La conformité réglementaire crée des responsabilités distribuées dans l'organisation. Comprendre leur répartition est une condition préalable à leur exercice effectif. Dans de nombreuses organisations, cette répartition est floue — chacun pense que la conformité est « la responsabilité du RSSI » ou « du département juridique », sans que les responsabilités spécifiques de la direction générale, des directions métier, et des fonctions support soient clairement définies et comprises.

Cette flou est dangereux à plusieurs titres. Il crée des zones de responsabilité non assumées — personne n'ayant la responsabilité explicite d'un domaine, personne ne s'en préoccupe suffisamment. Il facilite le transfert de responsabilité vers le bas de la hiérarchie, là où l'autorité pour décider est moindre. Et il expose les dirigeants à une responsabilité personnelle qu'ils pensaient avoir déléguée mais que les régulateurs leur attribuent.

Les évolutions réglementaires récentes — NIS 2, DORA, RGPD avec le principe d'accountability — ont explicitement renforcé la responsabilité des personnes physiques dirigeantes dans la conformité de leur organisation. Cette évolution justifie que la direction générale s'investisse directement dans la compréhension et la distribution des responsabilités de conformité.

Points clés

  • SolarWinds (2023) : La SEC américaine a poursuivi le RSSI de SolarWinds personnellement pour des déclarations trompeuses sur les pratiques de sécurité de l'entreprise — une première qui a établi que la responsabilité personnelle des dirigeants en matière de conformité est pleinement actionnable.
  • Medibank (2022) : Le régulateur australien a explicitement invoqué la responsabilité du conseil d'administration et de la direction générale de Medibank dans les défaillances de gouvernance qui ont permis la violation — posant la question de la responsabilité personnelle des dirigeants dans les pays ayant adopté des cadres similaires.
  • La directive NIS 2 impose aux États membres d'établir que les organes de direction des entités essentielles et importantes peuvent être tenus personnellement responsables des violations.
  • La délégation de la conformité à un RSSI ou à un DPO ne supprime pas la responsabilité de la direction — elle transfère certaines obligations opérationnelles mais maintient la responsabilité ultime.
  • La responsabilité de conformité s'exerce aussi bien en amont (prévention) qu'en aval (réponse aux incidents) — les deux dimensions doivent être gouvernées.

La cartographie des responsabilités de conformité

Une organisation bien gouvernée dispose d'une cartographie des responsabilités de conformité qui définit clairement, pour chaque obligation réglementaire applicable, qui en est responsable à chaque niveau de l'organisation.

Au niveau de la direction générale, les responsabilités incluent : la validation de la politique générale de conformité, l'arbitrage des décisions de tolérance aux risques, la supervision du programme de conformité, et la réponse aux régulateurs pour les incidents et contrôles significatifs. Au niveau des directions métier, les responsabilités incluent : la conformité des processus métier à leur réglementation sectorielle, la traçabilité des traitements de données dans leur périmètre, et la mise en œuvre des recommandations d'audit relevant de leurs activités. Au niveau des fonctions support (DPO, RSSI, Direction juridique), les responsabilités incluent : le conseil sur les obligations réglementaires applicables, la mise en œuvre des contrôles techniques et organisationnels, et la surveillance de la conformité dans leurs domaines de compétence respectifs.

Cette cartographie n'est pas un document administratif — c'est un instrument de gouvernance qui doit être connu de tous les responsables concernés et révisé lorsque les réglementations applicables évoluent.

La responsabilité en cas de manquement

La question de la responsabilité en cas de manquement à la conformité est celle qui mobilise le plus l'attention des directions générales — avec raison, car ses implications pratiques peuvent être très significatives. Mais elle est souvent traitée de façon trop étroite, comme une question uniquement juridique, alors qu'elle a des dimensions organisationnelles et de gouvernance tout aussi importantes.

La responsabilité organisationnelle de l'entité est la plus directement engagée : l'organisation répond des manquements à ses obligations réglementaires, quelles que soient les causes internes. Les amendes, injonctions, et restrictions d'activité sont des sanctions qui pèsent sur l'entité. La responsabilité personnelle des dirigeants a été progressivement renforcée dans plusieurs cadres réglementaires. Le RGPD peut donner lieu à des sanctions administratives incluant des interdictions professionnelles dans certains États membres. NIS 2 impose que les États membres habilitent les autorités compétentes à sanctionner les personnes physiques exerçant des responsabilités de direction. DORA prévoit explicitement des sanctions à l'encontre des membres de la direction des entités financières.

La responsabilité professionnelle des responsables de conformité — DPO, RSSI — crée une dimension supplémentaire : ces professionnels ont des obligations légales dans leurs rôles et peuvent engager leur responsabilité personnelle en cas de manquements dans l'exercice de leurs fonctions.

Cas documenté

T-Mobile (2023) : Dans le cadre du règlement de 350 millions de dollars avec la FCC pour les violations de 2021-2022, T-Mobile a accepté d'obligations spécifiques de gouvernance qui incluent une responsabilisation directe du conseil d'administration et des dirigeants dans la supervision du programme de cybersécurité. Le règlement impose que le Chief Information Security Officer rende compte directement au PDG et au conseil d'administration — une disposition qui reflète l'évolution des régulateurs vers une responsabilisation personnelle des dirigeants dans la conformité de cybersécurité.

Organiser la défense de la responsabilité de conformité

Comprendre les responsabilités de conformité inclut de comprendre comment les défendre en cas de mise en cause. Une organisation bien gouvernée prépare sa défense de la responsabilité de conformité en maintenant la documentation nécessaire pour démontrer que les obligations ont été respectées ou que les manquements résultent de circonstances hors de son contrôle raisonnable.

La documentation de la gouvernance de la conformité est la première ligne de défense : les procès-verbaux des comités de direction, les décisions approuvées, les budgets alloués, les plans de remédiation adoptés — tout ce qui démontre que la direction a exercé ses responsabilités de façon diligente. La traçabilité des décisions de tolérance aux risques est la deuxième ligne : lorsqu'une décision de ne pas mettre en place un contrôle a été prise en connaissance de cause, avec une analyse des risques et une validation par les instances appropriées, elle peut être défendue même en cas d'incident. La documentation des efforts de remédiation constitue la troisième ligne : les organisations qui peuvent démontrer une trajectoire d'amélioration continue bénéficient généralement d'un traitement plus favorable que celles qui n'ont pas d'historique documenté de leurs efforts.

Références sectorielles
Yahoo (acquisition 2017) : La responsabilité de conformité de Yahoo a eu des conséquences financières directes : les violations non divulguées ont conduit Verizon à négocier une réduction de 350 millions de dollars du prix d'acquisition. Les anciens dirigeants de Yahoo ont fait l'objet d'enquêtes de la SEC pour les décisions prises autour de la divulgation des violations — illustrant comment la responsabilité de conformité peut se prolonger bien au-delà du mandat des dirigeants concernés.
SNCF : En tant qu'OIV soumis à la réglementation LPM et à NIS, la SNCF opère dans un cadre où la responsabilité de conformité est explicitement attribuée à son dirigeant mandataire social, qui répond personnellement devant l'ANSSI et le ministère des Transports de la mise en œuvre des obligations de sécurité des systèmes d'information vitaux.
SoftBank : Suite à des incidents de sécurité chez plusieurs de ses participations, SoftBank a mis en place une charte de gouvernance de la conformité qui distribue explicitement les responsabilités entre le groupe et les sociétés de portefeuille. Cette charte précise les obligations personnelles des CEO des participations en matière de conformité cybersécurité, créant une chaîne de responsabilité descendante depuis le groupe jusqu'aux dirigeants des entités.

Articles similaires

L’audit est le révélateur du niveau réel de sécurité d’une organisation

Points clés Un audit de sécurité est d'abord un outil de mesure de la réalité opérationnelle — il révèle l'écart entre les politiques formelles et les pratiques

24 mai 2026 7 min

Les limites des audits ponctuels face aux risques numériques

Points clés Un audit annuel offre une photographie de la sécurité à un instant T — il ne garantit pas la sécurité des 364 jours suivants, période pendant laquel

24 mai 2026 7 min

Les erreurs fréquentes dans la préparation aux audits de sécurité

Points clés La principale erreur de préparation à l'audit est de préparer l'audit plutôt que de préparer la sécurité : corriger ponctuellement les écarts visibl

24 mai 2026 7 min
WhatsApp