Les cyberattaques ne sont plus une exception : elles bousculent les organisations, exposent les dirigeants et mettent à l’épreuve la gouvernance interne.

L’arrêt rendu par la cour d’appel de Paris le 5 mars 2026 (CA Paris, 5 mars 2026, n°22/06832) en est une illustration frappante. La juridiction a confirmé la responsabilité d’un cadre dirigeant délégataire en matière de sécurité informatique et de conformité RGPD, à la suite d’un piratage massif du site marchand de son entreprise.

Cet arrêt clarifie, avec une rare précision, ce qu’implique réellement une délégation de pouvoirs en matière de cybersécurité et de protection des données.

 

I. Les faits : Une cyberattaque de longue durée au cœur du licenciement

Le salarié, vice‑président exécutif puis directeur général adjoint, exerçait des fonctions stratégiques incluant l’informatique du groupe et siégeait au comité exécutif. Le 14 janvier 2020, la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI) informe l’entreprise :

  • de la compromission du système d’information,
  • de l’extraction massive des bases clients (incluant des numéros de cartes bancaires),
  • d’un piratage continu depuis juillet 2019, soit près de six mois.

Les conséquences sont immédiates : suspension des paiements par carte, intervention d’experts, contrôle de la CNIL, pertes financières et atteinte réputationnelle. L’entreprise licencie alors le salarié pour faute grave.

Le conseil de prud’hommes requalifie le licenciement pour faute grave en licenciement pour cause réelle et sérieuse et condamne la société au paiement des indemnités de rupture (préavis, congés payés afférents, indemnité conventionnelle), tout en déboutant le salarié du surplus de ses demandes (dommages‑intérêts pour licenciement sans cause réelle et sérieuse, préjudice moral, bonus, heures supplémentaires).

En appel, le salarié demande la reconnaissance d’un licenciement sans cause réelle et sérieuse et des dommages‑intérêts conséquents. L’employeur forme un appel incident pour tenter d’échapper au paiement des indemnités de rupture.

 

II. Une délégation de pouvoir clairement établie

L’intérêt de l’arrêt réside effectivement dans l’examen minutieux du périmètre de responsabilités en matière de systèmes d’information et de conformité RGPD.

Le responsable de traitement « RGPD », souvent le dirigeant de la société, est tenu de « mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que les traitements sont conformes au RGPD » (article 24 du RGPD).

En pratique, ce responsable peut organiser, en interne, une délégation de pouvoirs spécifique “RGPD / cybersécurité” au profit d’un salarié dans le respect du RGPD.

L’arrêt commenté illustre précisément cette hypothèse :

•             le dirigeant légal conserve la qualité de responsable de traitement ;

•             mais il transfère, par délégation de pouvoirs, la responsabilité opérationnelle et décisionnelle de la conformité RGPD et de la sécurité des systèmes d’information à un cadre dirigeant identifié ;

Le contrat de travail   

Pour la cour, les missions du salarié couvraient expressément les systèmes d’information du groupe, incluant le site marchand piraté, même si une équipe autonome existait.

La délégation de pouvoir

Au‑delà du contrat, la présidente lui avait délégué la signature de tous les documents nécessaires à la mise en conformité RGPD pour les directions sous sa responsabilité. Cette délégation restait valable malgré la présence d’un Délégué à la Protection des Données (DPO).

Pour la Cour la nomination d’un data protection officer (DPO), chargé d’assurer la conformité au RGPD, n’a pas remis en cause cette délégation de pouvoirs et n’exonère ni le responsable de traitement ni le délégataire de leurs responsabilités respectives. 

Une position hiérarchique qui renforce l’obligation de contrôle

La Cour insiste enfin sur la place du salarié dans la hiérarchie : membre du Comex, du conseil de surveillance, rémunération dans les niveaux les plus élevés de l’entreprise, responsable de directions clés, dont l’informatique.

Les documents produits ne démontrent pas, selon la cour, que la direction des activités digitales serait placée directement sous l’autorité de la directrice générale, de nature à exonérer le salarié. Là encore, la haute position hiérarchique plaide en faveur du maintien de sa responsabilité, non de son effacement.

 

III. L’analyse de la cour : un manquement caractérisé en cybersécurité

La Cour appréhende d’abord le grief principal, relatif au piratage du site marchand, en soulignant la gravité objective de l’incident : intrusion pendant près de six mois, extraction de plusieurs millions de données personnelles incluant des numéros de cartes bancaires, suspension des paiements par carte, intervention de la BEFTI, contrôle de la CNIL, demande de rançon et sanctions financières imposées par des banques. Cet ensemble de circonstances caractérise un défaut majeur de sécurité du système d’information.

Elle constate que le salarié n’a pris aucune mesure concrète de sécurisation, se contentant d’un simple email généraliste au DPO, sans plan d’action ni remédiation effective.

C’est donc de manière vaine que la délégataire a tenté de déplacer la responsabilité en faisant valoir que la directrice générale avait été alertée d’anomalies, que l’équipe digitale et le prestataire technique étaient en première ligne, et que l’indisponibilité du site serait restée limitée.

Au regard de l’ampleur de l’attaque, de sa durée, de la qualité de cadre dirigeant de l’intéressé et de la délégation dont il était investi en matière de RGPD et de sécurité informatique, la cour confirme le jugement prud’homal et considère, à juste titre, que ce grief est pleinement établi.

Les deux autres griefs appellent une appréciation plus nuancée. S’agissant d’abord de l’absence de flux logistique parallèle dans le cadre du projet « Coquelicot » (filiale italienne), la cour retient que le salarié a pris des initiatives (mandat d’un cabinet, élaboration et présentation de scénarios, validation par la direction) et en déduit que la faute n’est pas caractérisée. En revanche, pour le projet de transition logistique « Rolls », elle relève que M. [L] a piloté le dossier et a été informé de dysfonctionnements répétés du prestataire sans en mesurer ni en signaler suffisamment l’ampleur à sa hiérarchie : les reproches sont dès lors partiellement retenus.

En définitive, la combinaison d’un manquement avéré en matière de cybersécurité et de défaillances dans la gestion du projet « Rolls », rapportée au niveau de responsabilités de M. [L], suffit à fonder une cause réelle et sérieuse de licenciement, sans atteindre toutefois le seuil de la faute grave, qui aurait rendu impossible tout maintien temporaire dans l’entreprise.

La cour confirme donc la requalification du licenciement, laisse au salarié le bénéfice de l’indemnité de préavis, des congés payés afférents et de l’indemnité conventionnelle de licenciement, mais le déboute, à bon droit, de ses demandes de dommages‑intérêts pour licenciement sans cause réelle et sérieuse et pour préjudice moral.

Ainsi, la décision illustre une approche équilibrée : d’un côté, une exigence renforcée à l’égard d’un cadre dirigeant délégataire en matière de sécurité et de RGPD, qui ne peut se retrancher derrière d’autres acteurs lorsqu’un incident majeur survient ; de l’autre, un refus de sur‑sanctionner en faute grave, la Cour réservant cette dernière hypothèse aux situations où la rupture immédiate du lien de travail s’impose véritablement.

En conclusion

La décision de la cour d’appel de Paris du 5 mars 2026 consacre très clairement la responsabilité d’un cadre dirigeant délégataire en matière de sécurité informatique et de conformité RGPD.

La cour d’appel de Paris rappelle alors avec force que :

  • la délégation de pouvoirs régulièrement consentie n’est pas une simple formalité administrative, mais un instrument de transfert de responsabilité pleine et entière ;
  • la désignation d’un Délégué à la Protection des Données ne neutralise ni la responsabilité du responsable de traitement, ni celle du délégataire ;
  • en cas d’incident majeur révélant des failles de sécurité et de gouvernance, le dirigeant délégataire peut être directement sanctionné, y compris sur le terrain du droit du travail.

Cette affaire souligne l’importance, pour les organisations, d’une gouvernance RGPD/cybersécurité cohérente, bien structurée et assumée à tous les niveaux hiérarchiques.

                                                                                  * * * 

Public concerné par cet article : Dirigeants/DRH/DSI/DPO

contact : aoffroy@avocats.deloitte.fr