- Morgan Stanley (2022) : l'amende de 35 millions de dollars infligée par la SEC résultait de serveurs revendus sans effacement adéquat — la direction n'avait pas mis en place les procédures permettant de s'assurer que les données clients étaient effectivement protégées jusqu'à leur destruction. La responsabilité organisationnelle était engagée indépendamment de la délégation technique.
- La responsabilité du responsable de traitement est une responsabilité de résultat, pas seulement de moyens : il ne suffit pas de désigner un DPO et de rédiger une politique de confidentialité pour satisfaire aux exigences réglementaires.
- En cas de violation, les régulateurs examinent la qualité du programme de gouvernance en place avant l'incident — une organisation dotée d'un programme structuré et documenté bénéficie d'une présomption de bonne foi qui peut réduire significativement les sanctions.
- La responsabilité personnelle des dirigeants dans les violations de données est un sujet qui monte en puissance dans plusieurs juridictions — les dirigeants qui n'ont pas pris les mesures nécessaires peuvent être personnellement mis en cause.
- Les sous-traitants ne déchargent pas le responsable de traitement de sa responsabilité — les contrats de traitement doivent imposer des niveaux de conformité équivalents aux sous-traitants.
- La documentation du programme de gouvernance est une preuve de responsabilité active — l'absence de documentation est interprétée par les régulateurs comme un indice de gestion négligente.
La responsabilité organisationnelle en matière de traitement des données personnelles est une responsabilité de la direction générale, pas seulement des équipes techniques ou juridiques. Les réglementations protectrices des données personnelles — le RGPD en Europe, la Loi 18-07 en Algérie et leurs équivalents dans les autres juridictions — établissent des obligations claires pour les organisations en tant que responsables de traitement, obligations dont la direction générale est comptable.
Cette responsabilité organisationnelle prend plusieurs formes : la mise en place d'un programme de gouvernance des données adapté à la taille et aux risques de l'organisation, la désignation des rôles et responsabilités en matière de protection des données, la contractualisation des obligations de conformité avec les sous-traitants, et la documentation des décisions prises. Chacune de ces dimensions engage directement la responsabilité de la direction.
Le cadre de responsabilité du responsable de traitement
Le concept de responsable de traitement est central dans la réglementation des données personnelles. L'organisation qui détermine les finalités et les moyens du traitement des données est le responsable de traitement — et c'est sur elle que pèsent les obligations réglementaires. Cette responsabilité ne se délègue pas : même lorsque le traitement est entièrement sous-traité à un prestataire, c'est l'organisation donneuse d'ordre qui reste le responsable de traitement et qui doit répondre des manquements devant les régulateurs.
La responsabilité du sous-traitant est distincte mais complémentaire. Le sous-traitant répond de ses propres manquements dans l'exécution des instructions du responsable de traitement. Mais si le responsable de traitement ne lui a pas donné des instructions conformes aux réglementations applicables, ou s'il ne s'est pas assuré que le sous-traitant les respectait, c'est le responsable de traitement qui assume la responsabilité principale.
La violation Equifax de 2017 (147 millions de personnes exposées, amende de 700 millions de dollars) a été l'une des premières grandes violations à illustrer clairement la responsabilité organisationnelle au niveau de la direction. L'enquête du Congrès américain et les procédures réglementaires ont établi que la direction générale d'Equifax avait été informée d'une vulnérabilité critique dans Apache Struts mais n'avait pas mis en place les processus permettant de s'assurer que le patch était appliqué. La défaillance n'était pas technique — la vulnérabilité était connue et la correction disponible — elle était organisationnelle : un programme de gestion des vulnérabilités insuffisamment piloté par la direction. Le PDG d'Equifax a démissionné trois semaines après la révélation publique de la violation.
La responsabilité dans la chaîne de sous-traitance
La chaîne de sous-traitance est l'une des zones de responsabilité les plus complexes à gérer. Lorsqu'une organisation confie le traitement de données personnelles à un prestataire, elle doit s'assurer contractuellement que ce prestataire respecte les mêmes obligations réglementaires qu'elle-même. Cela implique des clauses contractuelles précises, mais aussi des mécanismes de vérification : audits périodiques, questionnaires de conformité, revue des incidents de sécurité.
La sous-traitance en cascade — un prestataire qui sous-traite à son tour une partie des traitements — est une zone de risque particulière. Chaque niveau de sous-traitance doit être couvert par les mêmes garanties contractuelles, et l'organisation donneuse d'ordre doit avoir une visibilité sur l'ensemble de la chaîne. Les organisations qui ignorent cette chaîne découvrent, lors d'un incident, qu'elles sont responsables de traitements réalisés par des entités qu'elles ne connaissaient pas.
Le rôle du DPO dans la gouvernance organisationnelle
Le Délégué à la Protection des Données (DPO) est un rôle de conseil et de contrôle, pas de responsabilité directe. La désignation d'un DPO ne décharge pas la direction générale de sa responsabilité — elle lui fournit un expert pour la conseiller et pour vérifier la conformité des pratiques. Le DPO qui signale une non-conformité et dont l'alerte n'est pas traitée n'est pas responsable de la violation qui en résulte : c'est la direction qui a choisi de ne pas agir qui l'est.
La violation Target de 2013 (40 millions de cartes bancaires volées via les credentials d'un prestataire HVAC) est un cas d'école de responsabilité organisationnelle. Target avait accordé à ce prestataire un accès réseau qui n'était pas segmenté des systèmes de paiement. La responsabilité de Target a été établie non pas parce qu'elle avait négligé la sécurité en général, mais parce qu'elle avait accordé des accès à un tiers sans s'assurer que ces accès étaient limités au strict nécessaire et surveillés. Le directeur des systèmes d'information a démissionné. Target a payé 18,5 millions de dollars dans un règlement multi-États et 67 millions de dollars à Visa. La responsabilité organisationnelle dans la gestion des accès tiers a été directement engagée.
L'impact de NotPetya sur Maersk en 2017 — 300 millions de dollars de pertes et un réseau mondial paralysé pendant plusieurs jours — a révélé des lacunes structurelles dans la gouvernance IT d'un groupe opérant dans plus de 130 pays. Maersk a dû reconstruire 45 000 PC, 4 000 serveurs et 2 500 applications en dix jours. L'enquête interne a mis en évidence que la direction générale n'avait pas exigé des standards minimums de sécurité communs à toutes les entités du groupe. La responsabilité organisationnelle au niveau du groupe était engagée : les filiales avaient des niveaux de maturité très hétérogènes, et aucun mécanisme de gouvernance n'avait identifié ni corrigé cet écart avant l'incident.
La cyberattaque contre Sony Pictures en 2014 (100 téraoctets de données internes exfiltrées, emails de dirigeants publiés, films inédits diffusés en ligne) a engagé la responsabilité organisationnelle à plusieurs niveaux. L'enquête a révélé que Sony Pictures avait ignoré des recommandations d'audit sur la sécurité de ses systèmes, que les mots de passe étaient stockés en clair dans des fichiers accessibles, et que la direction avait reçu des avertissements sur la vulnérabilité de son infrastructure sans y donner suite. Le PDG de Sony Pictures a démissionné quelques mois après l'incident. Le coût total de l'incident — remédiation, pertes commerciales, litiges — a été estimé à plus de 100 millions de dollars.