La multiplication des cyberattaques dans l’environnement numérique constitue désormais une réalité incontestable. En exposant les organismes à des violations parfois massives de données à caractère personnel, ces incidents sont susceptibles d’entraîner des conséquences juridiques, financières et réputationnelles particulièrement lourdes.

De plus en plus sophistiquées, les cyberattaques mettent en lumière les fragilités structurelles des systèmes d’information et interrogent la capacité des organisations à garantir un niveau de sécurité conforme aux exigences du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel (dit « RGPD »).

Face à cette intensification du risque cyber, l’appréhension des enjeux de sécurité des données a profondément évolué : les organismes ne se limitent plus à la mise en œuvre de dispositifs techniques isolés mais développent désormais des politiques globales de prévention, de sensibilisation et de responsabilisation. Ces démarches associent l’ensemble des acteurs impliqués dans la mise en œuvre des traitements – directions informatiques, juridiques et opérationnelles, ainsi que les prestataires externes – dans une logique de gouvernance partagée, destinée à éviter une concentration excessive de la responsabilité sur la seule entité juridique agissant en qualité de responsable de traitement.

Traditionnellement, le RGPD désigne en effet le responsable de traitement comme le principal garant du respect des obligations en matière de protection des données. À ce titre, sa responsabilité peut être engagée en cas de manquement, notamment concernant la sécurité ou la licéité des traitements. Il lui appartient également de s’assurer de la conformité des relations contractuelles avec ses sous-traitants, conformément aux exigences de l’article 28 du RGPD, et de veiller au respect de ces principes par ses salariés.

Toutefois, une évolution notable se dessine tant dans le cadre normatif que dans la pratique contentieuse. La logique d’accountability tend à s’élargir, consacrant une répartition plus étendue des responsabilités. Plusieurs acteurs peuvent ainsi être amenés à répondre conjointement des défaillances constatées, en fonction de leur rôle effectif dans la mise en œuvre des traitements et des mesures de sécurité.

À cet égard, la Commission nationale de l’informatique et des libertés (dit « CNIL ») a marqué une étape importante en sanctionnant, dans une délibération du 27 janvier 2021, un sous-traitant en raison de l’insuffisance des mesures de sécurité mises en œuvre pour prévenir des cyberattaques affectant les données traitées pour le compte d’un responsable de traitement. Cette décision illustre une inflexion significative dans l’application du RGPD : le sous-traitant n’est plus perçu comme un simple exécutant, mais comme un acteur pleinement responsable, tenu de contribuer activement à la sécurité des traitements et au respect de ses obligations propres.

C’est dans ce contexte de diffusion des responsabilités en matière de protection des données que la Cour d’appel de Paris a, par une décision en date du 5 mars 2026 (n° 22/06832), reconnu que la responsabilité d’un cadre dirigeant disposant d’une délégation de pouvoirs peut être engagée, dans le cadre d’un contentieux prud’homal, pour des manquements en matière de cybersécurité et de protection des données à caractère personnel.

En l’espèce, la Cour intègre directement les exigences du RGPD dans l’appréciation du comportement du salarié. Elle relève que celui-ci était expressément investi, par délégation de pouvoirs, de la mission d’assurer la conformité de l’entreprise aux obligations relatives à la protection des données et à la sécurité des systèmes d’information. Or, des défaillances ont été constatées dans la gestion d’un incident de cybersécurité ayant conduit à une violation de données à caractère personnel.

L’apport majeur de l’arrêt réside dans la reconnaissance du RGPD comme un véritable référentiel d’évaluation des obligations professionnelles. Le respect des exigences de sécurité ne se limite plus à une obligation réglementaire abstraite, mais devient un critère concret d’appréciation du comportement du salarié, susceptible de caractériser une faute lorsqu’il entre dans le champ de ses attributions.

La Cour relève en particulier que le salarié n’a pris aucune mesure opérationnelle à la suite de l’incident. Il s’est borné à adresser un courrier électronique au délégué à la protection des données (dit « DPO »), à la tonalité générale et dépourvue de toute action structurée, sans définir de plan de remédiation ni mettre en œuvre de mesures concrètes de sécurisation. Une telle carence traduit une absence de pilotage effectif des enjeux de cybersécurité pourtant placés sous sa responsabilité directe.

Elle constate à ce titre que « M. [L] ne justifie d’aucune action menée dans ce cadre, si ce n’est un mail à la tonalité vague et générale envoyé le 20 janvier 2020 à M. [X], responsable assurance qualité et DPO, dans lequel il lui indique “qu’il lui semble important de tirer parti du contexte actuel pour faire des avancées significatives sur ce qui reste à mettre en place” et “de communiquer auprès des actionnaires lors du prochain Board sur la crise actuelle (le 12/2)” ».

Enfin, la juridiction rejette les tentatives du salarié consistant à déplacer la responsabilité sur d’autres acteurs – la direction générale ou encore le prestataire technique – ou à minimiser la portée de l’incident en raison de la durée limitée de l’indisponibilité du site. Ces arguments sont jugés inopérants, dès lors qu’ils ne permettent pas d’atténuer les manquements constatés dans le périmètre de la délégation qui lui avait été confiée.

Compte tenu de l’ampleur et de la durée de l’attaque, de la qualité de cadre dirigeant de l’intéressé et de l’étendue de la délégation en matière de RGPD et de sécurité informatique, la Cour confirme le jugement prud’homal et considère que le grief est pleinement caractérisé.

En définitive, cette décision illustre une évolution structurante du droit de la protection des données. Elle consacre le passage d’un modèle de responsabilité plus ou moins centré sur le responsable de traitement à une logique de responsabilité distribuée, fondée sur l’implication effective de chaque acteur de la chaîne de traitement. La cybersécurité s’impose ainsi comme un enjeu de gouvernance partagée, dans lequel la conformité au RGPD devient un standard transversal d’appréciation des comportements professionnels et organisationnels.