Un site e-commerce a été infiltré pendant six mois par des pirates informatiques. Des millions de données bancaires volées plus tard, la cour d'appel de Paris a tranché sur la responsabilité cyber d'un cadre dirigeant, depuis licencié.
La cour d'appel de Paris a rendu son arrêt, consulté par Clubic il y a quelques jours, sur un dossier débuté en janvier 2020, lorsque la police a appris à un groupe français que son site e-commerce était piraté depuis six mois. Des millions de données clients ont été volées, et personne dans l'entreprise n'a réagi. Un directeur général adjoint fut licencié pour faute grave. La justice a dû s'exprimer sur la dure question de la responsabilité, qui ouvre une jurisprudence sur les cadres dirigeants qui détiennent une délégation de pouvoir en matière de cybersécurité.
Six mois de piratage dans l'ombre : retour sur une faille qui a tout déclenché
En janvier 2020, une unité de police spécialisée dans la cybercriminalité, la BEFTI, contacte un groupe français pour lui annoncer la mauvaise nouvelle. Son site de vente en ligne est piraté depuis juillet 2019. Six mois durant lesquels des hackers ont discrètement puisé dans ses bases de données, repartant avec des millions de coordonnées clients, numéros de cartes bancaires compris.
La révélation fait l'effet d'une bombe, et la directrice générale prend immédiatement les rênes. Elle convoque alors une cellule de crise, suspend les paiements par carte sur les trois sites du groupe, et ordonne un audit de l'infrastructure informatique. En mars 2020, la CNIL s'invite pour un contrôle inopiné, avec en jeu une amende pouvant représenter 4% du chiffre d'affaires annuel de l'entreprise. En juillet, les hackers récidivent et exigent une rançon de 20 000 euros.
Au final, le bilan est lourd pour la société, avec six mois de données clients dans les mains de hackers, une fraude aux cartes cadeaux découverte en cours de route, et les banques britanniques qui lui réclament 85 000 euros de sanctions, une somme finalement ramenée à 32 285 euros après négociation. Mais une chose ne se solde pas en justice : savoir qui, dans l'entreprise, aurait dû empêcher tout ça.
Une délégation de pouvoir RGPD, quand signer engage bien plus qu'on ne le croit
Dans cette affaire, le responsable désigné est le directeur général adjoint du groupe en charge des stratégies financières et du business support. Ce dernier avait signé en mai 2018 un document officiel lui confiant une mission précise, à savoir s'assurer que toutes les directions sous son autorité respectent le RGPD, le règlement européen qui encadre la protection des données personnelles. En clair, la sécurité des données clients, c'était contractuellement son périmètre. Il était, à ce titre, titulaire d'une délégation de pouvoir validée par la présidente du groupe.
Son contrat de travail, étudié par les juges, montre qu'il devait piloter la stratégie informatique du groupe dans son ensemble et en garantir le bon fonctionnement. Autrement dit, il lui était impossible de prétendre que le piratage du site marchand ne le regardait pas. Le cadre dirigeant a pourtant essayé, en pointant du doigt sa directrice générale. La cour d'appel de Paris n'a pas été convaincue.
Face à ce qui est l'une des crises les plus graves de l'entreprise, le mis en cause n'a produit qu'un seul mail daté du 20 janvier 2020. Le message est d'ailleurs si flou que la cour elle-même l'a qualifié de « vague et général ». À l'intérieur, il se contente de suggérer à son responsable de la protection des données qu'il serait « important de tirer parti du contexte ». Mais aucun audit n'est déclenché, pas de procédure d'urgence non plus. C'est finalement la directrice générale qui a géré la crise de bout en bout.
DPO et délégation de pouvoir, deux rôles qui ne s'annulent pas
Dans son arrêt du 5 mars 2026, la cour d'appel de Paris a confirmé que le dirigeant avait bien commis des fautes, notamment en ne réagissant pas au piratage et en ayant mal géré un projet de refonte logistique interne baptisé « Rolls ». Mais ces manquements n'étaient pas suffisamment graves pour justifier un licenciement sans indemnités. En droit du travail, c'est une distinction importante : la faute grave prive le salarié de toute compensation, la cause réelle et sérieuse non. L'homme repart donc avec une indemnité d'environ 118 000 euros.
Au-delà du cas évoqué, cette décision va résonner chez tous les cadres dirigeants. Une délégation de pouvoir en matière de cybersécurité ou de conformité RGPD n'est pas une simple formalité administrative. C'est un engagement juridique qui vous rend personnellement responsable en cas de défaillance, et comme le montre cet arrêt, un juge peut s'en saisir pour valider un licenciement.
Pour les entreprises, il est crucial de savoir qu'être responsable de la cybersécurité en interne ne suffit pas, encore faut-il que cette personne mesure pleinement ce que cela implique. La cour rappelle par ailleurs un point souvent mal compris. Nommer un DPO, un délégué à la protection des données, ne transfère pas la responsabilité du dirigeant. Les deux fonctions existent en parallèle, et en cas de problème, chacun peut être tenu de rendre des comptes.
