Juridique

Le DSI a un rôle de plus en plus central en cas d'investigations dans une entreprise

Pour Marta Giner Asins et Christian Dargham, avocats associés chez Norton Rose Fulbright, « le couple-star est constitué du DSI et du directeur juridique ».

En cas d'investigations judiciaires dans une entreprise, le SI sera au coeur de l'enquête. Le DSI doit apprendre à gérer la situation. Un travail préparatoire est indispensable, en collaboration avec la direction juridique, comme l'ont rappelé Marta Giner Asins et Christian Dargham, avocats associés chez Norton Rose Fulbright.

Publicité« L'homme clé lors de la première heure d'une perquisition en entreprise est le DSI » a affirmé Marta Giner Asins, avocat associé chez Norton Rose Fulbright. Elle s'exprimait lors d'une présentation à la presse en compagnie d'un autre avocat associé du même cabinet, Christian Dargham. Si la première est plutôt spécialisée dans les questions relatives à la concurrence (comme l'abus de position dominante, les cartels, etc.), le second s'occupe davantage de la lutte contre la corruption. Sur ces deux types de questions, les grands groupes français peuvent être poursuivis autant aux Etats-Unis qu'en Europe... ou ailleurs.
Face à la croissance de l'importance du numérique dans le quotidien des entreprises, les enquêteurs vont systématiquement s'intéresser au SI. La place des investigations numériques est d'ailleurs croissante dans les procédures judiciaires impliquant des entreprises. Du coup, il est important de bien se préparer en amont d'un éventuel incident. Et d'adopter une gouvernance appropriée.

Dénonciation et auto-dénonciation

Les procédures américaines peuvent toucher des sociétés françaises dès lors qu'elles ont un impact sur le marché américain via des lois ayant un effet extra-territorial évident. Christian Dargham précise : « les entreprises sous le coup d'une enquête décident en général de coopérer, voire s'auto-dénoncent en amont en démontrant qu'un incident est issu d'une faute individuelle isolée. » C'est plus prudent quand on sait que les lanceurs d'alerte peuvent être rémunérés à hauteur de 10 à 30% des sommes recouvrés, c'est à dire plusieurs millions de dollars.
Dès lors, l'entreprise peut signer avec les autorités américaines un DPA (Defered Prosecution Agrement) qui comprend les faits reconnus (mais pas nécessairement une reconnaissance de culpabilité), l'amende négociée et le descriptif des engagements pris pour empêcher la réitération des faits. Ces engagements peuvent être contrôlés par un moniteur (qui peut être une équipe de 50 personnes). Le tout se fait évidemment aux frais de l'entreprise. Surtout, les DPA sont publics. « Dans le Top 10 des DPA, on trouve trois entreprises françaises : Alstom, Total et Technip » relève Christian Dargham. Or les faits étant reconnus et publiés, des poursuites peuvent être alors engagées dans d'autres pays sur la base de ces aveux (y compris en France).
En Europe, les procédures sont différentes mais les conséquences plus ou moins similaires. Les procédures françaises, européennes et américaines peuvent se cumuler sur des faits similaires. Il convient donc de se préparer.

Se préparer à affronter les enquêteurs

La préparation peut devoir se faire très en amont d'une procédure. En effet, elle commence par la politique de conservation et de destruction des données en respectant les réglementations. N'oublions pas que la destruction de preuves (par exemple des e-mails) est en lui-même une faute. Et des e-mails peuvent être saisis cinq ans après avoir été écrits. Puis sortis de leurs contextes. « Sans être paranoïaque, il convient d'apprendre à rédiger des mails qui ne pourraient pas être mal interprétés » juge Christian Dargham. Un ingénieur détaillant un défaut technique dans un e-mail pourrait ainsi être la cause d'une class-action...
Lors de la première heure d'une perquisition, le DSI sera toujours interrogé par les enquêteurs, tous très bien formés sur les technologies numériques. La conversation entre ceux-ci et le DSI débutera en général avant même l'arrivée du directeur juridique ou des avocats de l'entreprise. Et Marta Giner Asins observe : « même quand les avocats sont présents, parfois ils ne comprennent pas les échanges techniques entre les enquêteurs et le DSI. » Or des questions précises peuvent avoir des conséquences considérables : comment sont stockées et sécurisées des données, par exemple.

Publicité« Vous avez le droit de vous taire... »

En France, personne ne lira ses droits au DSI : il est censé les connaître. Mais le DSI est avant tout un professionnel habitué à résoudre des problèmes. Si un enquêteur rencontre un problème pour accéder aux données, le DSI va spontanément chercher à le résoudre. En quelque sorte, il faut donc apprendre au DSI à user de son droit au silence. « La conversation initiale du DSI avec les enquêteurs doit être préparée en amont, avant que le cas ne se présente » insiste Marta Giner Asins.
D'un côté, un avocat qui ne comprend pas forcément ce que veut un enquêteur. De l'autre un DSI qui ne comprend pas les subtilités juridiques. Comment faire ? Pour Marta Giner Asins, c'est simple : « l'avocat ne doit rien faire sans l'avis du DSI, et le DSI ne doit rien faire sans l'avis de l'avocat. »
Cela dit, les deux avocats rappellent qu'aucun avocat n'a le droit (sous peine d'être radié du barreau) de cacher des preuves ou d'inciter son client à le faire. Mais certains cas laissent perplexes. Ils racontent ainsi une anecdote : « une directrice juridique, qui venait d'être nommée et supputant une situation délicate, nous avait commandé un audit. Elle avait expressément demandé qu'on ne lui envoie pas notre rapport (accablant) par e-mail : elle était venue le consulter en version papier au cabinet. Quinze jours plus tard, les e-mails de l'entreprise étaient saisis. » Certes, un rapport d'avocat est protégé par la Loi et ne peut pas être utilisé officiellement lors d'une procédure. Mais son contenu permet de gagner du temps pour l'enquête, notamment en listant des faits.

Des enquêteurs aux méthodes redoutables et éprouvées

Lorsque des enquêteurs débarquent dans une entreprise, ils sont en général dotés de stations de travail mobiles avec une série d'outils pour mener leurs investigations. Par exemple, ils peuvent faire des copies serviles bits à bits de disques durs, avec certification de non-altération de la copie.
Et puis des logiciels comme Nuix permettent d'analyser des messageries (sans les altérer) et de découvrir des échanges. Ou tout simplement des relations entre des individus.