L'augmentation du nombre des contentieux, la multiplicité des réglementations, le déploiement massif des ressources informatiques au sein de l'entreprise, le développement des réseaux et l'omniprésence des technologies de l'information, tant dans la vie quotidienne que dans toutes les activités professionnelles, font que le nombre des situations où la responsabilité du DSI peut être mise en cause est démultiplié et que ce dernier est de plus en plus exposé sur le plan juridique. La pression monte. A l'allure où vont les choses, au-delà des multiples compétences qu'on exige de lui : technicien, manager, stratège, communicant... le DSI doit devenir aussi un praticien des questions juridiques. Cela fait beaucoup pour une seule et même personne. Cette mission, n'est-elle pas la mission de trop ? Ne risque-t-elle pas d'être la goutte qui fera déborder le vase ? Au-delà du DSI et de la direction informatique, n'est-ce pas l'entreprise toute entière qui risque la sclérose, du fait de cette dérive juridique ?

L'informatique est devenue une discipline transversale dans l'entreprise. Touchant tout à la fois au droit du travail, au droit commercial, au droit de la consommation, au droit de la propriété intellectuelle, au droit pénal... elle place la direction informatique à l'un des principaux carrefours des problèmes juridiques de l'entreprise. Ce sont par des propos de cette teneur que Le Monde Informatique introduisait, il y a deux ans, un dossier sur la responsabilité juridique des DSI (1). Aujourd'hui, la situation a encore gagné en complexité et les risques pesant sur les DSI se sont accrus.

Une enquête menée par l'observatoire JuriTIC fait apparaître que le nombre des contentieux dans le domaine du droit de l'informatique et des TIC a sensiblement augmenté sur l'année 2004 (+ 20 % par rapport à 2003) en France. Le nombre de décisions rendues en matière de droit des TIC a lui aussi progressé de 20 %. A l'origine de ces litiges : la propriété intellectuelle, le respect des libertés, les salariés et l'informatique, les contrats, la sécurité. Si l'atteinte à la propriété intellectuelle atteint 60 % des cas de mise en cause devant les tribunaux, il faut noter que c'est le domaine des contentieux sociaux ou concernant les relations avec les salariés qui a le plus progressé. Ainsi, deux évolutions majeures devraient accentuer le phénomène : la loi dite CNIL II, modifiant la loi informatique et libertés, et la promulgation de la loi sur la confiance dans l'économie numérique (LCEN) (2).

Les textes abondent et ils sont souvent considérés par les professionnels de l'informatique comme "une jungle peu lisible, porteuse de contraintes diffuses et mal identifiées" (3).

Les nouvelles réglementations affluent en permanence, venant, d'une part, durcir le dispositif existant et rendant, d'autre part, la mise en conformité des systèmes d'information à ces textes une préoccupation continue pour les responsables informatiques.

Ainsi, par exemple dans le domaine financier, l'évolution des bourses et leurs excès ont été à l'origine de la loi Sarbanes-Oxley aux Etats-Unis, de la loi Thurnbull au Royaume-Uni, de la révision des accords de Bâle en Europe et des nouvelles normes comptables IAS, créant de nouvelles obligations pour les dirigeants d'entreprise, et par la même occasion pour les DSI qui deviennent responsables, non du résultat de l'entreprise, mais de l'exactitude de celui-ci. En matière de respect de la vie privée, on assiste aussi à un renforcement des directives et des législations (4).

Chaque nouveau texte vient ajouter à la complexité du dispositif juridique existant et, sans nul doute, les textes continueront à proliférer dans les années à venir.

Les domaines où la responsabilité du DSI peut être engagée se multiplient et le déploiement massif des ressources informatiques au sein de l'entreprise n'y est pas étranger. Parmi les nombreux domaines sensibles, pouvant être source d'infractions et mener le DSI devant les tribunaux, on peut citer (1, 5, 13) :

- les données nominatives (respect des obligations et des formalités de la loi informatique et libertés)

- la cybersurveillance des salariés (les moyens de surveillance doivent être proportionnés au enjeux et une information préalable du personnel et du comité d'entreprise est obligatoire)

- la propriété intellectuelle (contrôler la conformité des licences logicielles et vérifier le respect des droits de propriété intellectuelle pour le contenu des sites web de l'entreprise)

- la création et l'exploitation de sites web (enregistrement des noms de domaine, vérification de la régularité des contrats, de la conformité à la législation sur la protection des consommateurs)

- la mise en place d'outils de sécurité (une autorisation est nécessaire pour le recours à la cryptologie)

- l'archivage et la preuve électronique (concernant notamment les documents informatiques satisfaisant aux exigences légales relatives à la tenue de la comptabilité)

- les contrats d'achat de prestations ou de logiciels (avec leurs chausse-trapes comme le délit de marchandage, le prêt illicite de main d'œuvre, le non respect de l'article L122-12, le délit de contrefaçon en cas d'utilisation de logiciels sans licence)

- l'ordre illégal ou aux conséquences illégales, émanant de la hiérarchie

- la mise en conformité du système d'information aux législations existantes.

La diversité des types de connexion réseau, la multiplication des sites d'entreprise géographiquement distants, le recours à des personnels tiers et, d'une manière générale, les évolutions techniques actuelles sont autant de facteurs qui renforcent l'exposition juridique de la direction des systèmes d'information. Ils accroissent les responsabilités de l'entreprise et de la direction informatique devant la justice et font peser sur elles un risque encore plus grand (6). Et devant tous ces risques, les repères des directions informatiques restent encore plutôt flous. Par ailleurs, le développement de la pratique de la délégation pénale à l'égard des cadres, et notamment des DSI et RSSI, n'est pas fait pour les rassurer.

La délégation pénale est définie dans une fiche pratique de la revue CIO de mai 2005 (7) comme "le procédé-mécanisme par lequel un chef d'entreprise (le délégant) transfère à l'un de ses salariés (le délégataire) une partie de ses fonctions. Ce transfert de compétence s'accompagne du transfert de la responsabilité pénale liée à celles-ci, sauf clause contraire. Cette pratique est une création jurisprudentielle, elle ne trouve pas d'écho dans les textes législatifs".

Les conditions permettant à un chef d'entreprise de se décharger de sa responsabilité pénale sont définies par différents arrêts de la Cour de Cassation en date du 11 mars 1993 : "Sauf dans les cas où la loi en décide autrement, le chef d'entreprise, qui n'a pas personnellement pris part à la réalisation de l'infraction, peut s'exonérer de sa responsabilité pénale s'il rapporte la preuve qu'il a délégué ses pouvoirs à une personne pourvue de la compétence, de l'autorité et des moyens nécessaires".

Cette délégation doit en outre être nécessaire et précise, et réalisée au profit d'une personne dont le poste est permanent dans l'entreprise (7, 8).

Ce principe est applicable aux DSI. Ceux-ci peuvent voir ainsi leur responsabilité engagée en cas d'atteinte du système d'information de l'entreprise, de non respect des obligations de sécurité des systèmes de traitement automatisé de données, ou encore lorsqu'un salarié, en utilisant le système d'information de l'entreprise porte atteinte aux droits de tiers.

Pour résumer, à la condition expresse de respecter les exigences de forme et de fonds posées par la jurisprudence, un employeur peut, sauf exception légale, s'exonérer de sa responsabilité pénale par le biais d'une délégation de pouvoir. Dans ce cas, sa responsabilité pénale n'est plus engagée pour les faits commis par ses employés (9). Le délégataire (en l'occurrence le DSI) se retrouve alors placé en première ligne.

Cependant, la délégation pénale, du fait de ses conditions d'applications qui encadrent bien cette pratique, est-elle, comme certains le pensent, un moyen de limiter la responsabilité du DSI ou du RSSI (responsable de la sécurité du système d'information) ou au contraire fait-elle peser sur eux un risque encore plus lourd ? En fait-elle plus que jamais des fusibles en cas de problème ?

En transférant une part de la responsabilité pénale du chef d'entreprise à un délégataire, la délégation de pouvoir fait assurément courir des risques certains aux DSI et RSSI. "Les DSI encourent alors un réel risque pénal", affirme Isabelle Renard, avocate associée chez August & Debouzy (14).

Cependant, comme l'explique assez clairement Bruno Grégoire Sainte Marie, avocat associé au cabinet Salans, les conditions de mise en œuvre d'une délégation de pouvoir créent des garde-fous : "Cette délégation de pouvoir possède, en théorie l'avantage de permettre au chef d'entreprise d'échapper à sa responsabilité pénale. Mais, attention, dans les faits, la jurisprudence se montre relativement claire : la délégation formelle ne suffit pas. Il faut que celui à qui on délègue un pouvoir en entreprise en ait les compétences, l'autorité et les moyens pour que la délégation de pouvoir soit valable. Autrement dit, le chef d'entreprise ne peut se défausser de son autorité et de sa responsabilité sur un subalterne qui n'a aucun moyen." (11).

En revanche, pour Paul-Olivier Gibert, directeur de la déontologie chez AG2R, "la notion de délégation peut protéger le RSSI en théorie, mais, en réalité, dès qu'une personne possède un certain niveau de responsabilité avec les compétences et le budget associé, sa mise en cause civile ou pénale peut être recherchée, avec ou sans délégation formelle de pouvoir." (11).

Ce que confirme Olivier Iteanu du cabinet d'avocats Iteanu & Associés : "Les DSI ont un vrai problème car leur responsabilité pénale peut être engagée facilement sur la base de nombreux textes". Et cela risque de s'accentuer à l'avenir (12).

Ainsi que le fait ressortir la revue CSO dans son édition de juillet 2005, la responsabilité est une arme à double tranchant. "La délégation de pouvoir protège en principe celui qui ne la reçoit pas, mais, dans les faits, elle n'a pas besoin d'exister pour impliquer éventuellement un RSSI" (11).

Ce qui amène à se poser la question des risques encourus par les DSI et les RSSI.

La responsabilité du DSI peut être de nature civile, pénale ou encore professionnelle. Il peut être condamné en tant qu'auteur ou complice d'une infraction.

Responsabilité civile et responsabilité pénale sont deux choses distinctes.

La responsabilité civile oblige à réparer un dommage causé à une personne et, en général (mais pas dans tous les cas), seule l'entreprise est responsable civilement (article 1384 du code civil : "on est responsable non seulement du dommage que l'on cause par son propre fait, mais encore de celui qui est causé par le fait de personnes dont on doit répondre, ou des choses que l'on a sous sa garde"). Le délégataire peut toutefois être sanctionné par son employeur (les sanctions disciplinaires pouvant aller jusqu'au licenciement pour insuffisance professionnelle ou pour faute).

De son côté, "la responsabilité pénale s'applique à toute personne (physique ou morale) qui a commis une faute pour laquelle la société a prévu une sanction pénale (amende ou prison)" explique Bruno Grégoire Sainte Marie, avocat associé au cabinet Salans (11).

Un article de CSO d'avril 2004 (15) propose un résumé succinct des risques encourus :

- Si le DSI (ou le RSSI) n'a pas accepté de délégation de pouvoir et que l'infraction commise, dans le cadre de ses fonctions, est non intentionnelle, il n'est responsable ni sur le plan civil, ni sur le plan pénal, mais il risque le licenciement.

- En revanche, "s'il a commis une infraction intentionnelle, ou s'il est bénéficiaire d'une délégation de pouvoir valide, ou si le fait dommageable est sans relation aucune avec l'exécution de son contrat de travail, il pourra être déclaré personnellement pénalement et/ou civilement responsable et encourt également une sanction disciplinaire pouvant aller jusqu'au licenciement."

Mais, dans la réalité, les choses sont loin d'être aussi claires et il existe des cas beaucoup plus subtils où, avec ou sans délégation de pouvoir, la responsabilité des DSI et des RSSI est engagée.

Très souvent, le DSI avance en terrain miné, en voici quelques exemples.

Lorsque des salariés d'une entreprise commettent des infractions (en matière de diffamation ou de contrefaçon par exemple), le DSI, bénéficiaire d'une délégation, peut être rendu pénalement responsable à la place de son employeur, et comme le précise bien l'avocate Isabelle Renard : "Même si ceux-ci ont agi seuls, en l'absence de toute instruction d'un supérieur hiérarchique ou en infraction avec les règles en vigueur dans la société. Dans ce cas, c'est la fourniture de moyens permettant la réalisation de l'infraction qui peut conduire à la mise en cause du DSI" (16).

Dans le cadre des réglementations financières et de la mise en conformité aux textes en vigueur (SOX, LSF, IAS...), le DSI a pour responsabilité d'assurer la prestation de services, l'expertise en système d'information, l'assistance à la maîtrise d'ouvrage et à la maîtrise d'œuvre pour mettre en place les solutions informatiques nécessaires. En cas de manquement, la sanction reste le licenciement. Toutefois, peut-on lire dans 01 DSI (14), même en l'absence d'une délégation de pouvoir, si le DSI n'avertit pas à temps sa hiérarchie des lacunes du SI en matière de sécurité financière, ou s'il ne met pas en place les mesures garantissant la fiabilité du circuit de l'information financière, il commet alors une faute professionnelle, éventuellement condamnable au pénal.

De plus, concernant les réglementations financières, "il y a un vide juridique sur les moyens technologiques devant assurer le contrôle interne du système d'information financier", souligne Isabelle Renard (14). Or, selon la jurisprudence, un chef d'entreprise s'exonère de sa responsabilité pénale s'il prouve qu'il a délégué ses pouvoirs en bonne et due forme (le DSI n'est cependant pas responsable du contenu financier et comptable des informations).

Enfin, cerise sur le gâteau : "même si, en dernier lieu, le mandataire social de l'entreprise est responsable au pénal comme au civil, les poursuites contre un PDG peuvent déboucher sur une condamnation du DSI !" (12). Un PDG poursuivi et condamné peut demander des comptes à son DSI. Ce type de situation peut être attribué au manque de compréhension des enjeux des nouvelles technologies par les juges. "On constate une absence de cohérence dans les décisions rendues", accuse Olivier Iteanu du cabinet d'avocats Iteanu & Associés (12).

Face à une situation aussi complexe et aussi peu rassurante, quelle marge de manœuvre reste-t-il aux DSI ? Quelle conduite adopter pour mieux maîtriser ces risques juridiques grandissants ?

Le DSI doit agir malgré les paradoxes de la loi.

La cybersurveillance des salariés est un domaine ou l'incohérence du droit est particulièrement manifeste. Le principe du droit à un espace de vie privée du salarié sur son lieu de travail devient un élément de jurisprudence. Cependant les responsables de sécurité doivent veiller à ce que les salariés ne dévoient pas l'utilisation de l'outil informatique.

Ainsi, par exemple, la boîte à lettres électronique du salarié ne peut être consultée par son employeur ; en revanche, si l'employé communique par courriel des propos condamnables, l'entreprise serait responsable (12).

Autre exemple évoqué par Raphaël Marchand, RSSI d'Axa Banque : "L'entreprise est considérée par les tribunaux français comme un fournisseur d'accès Internet juridiquement responsable du contenu. Les traces sont indispensables, car il faut montrer des preuves. Cela pose de nouvelles conditions en matière de cybersurveillance et d'archivage légal." (17).

Il devient bien difficile pour les responsables de sécurité de délimiter la frontière entre le droit légitime de l'employeur et le respect de la vie privée des salariés sur le lieu de travail. Et comme le fait remarquer Bruno Grégoire Sainte Marie, "cette frontière s'avère relativement poreuse" (11).

A cela viennent s'ajouter des obligations et des contraintes paradoxales pour l'entreprise et des décisions de jurisprudence rendues de façons parfois contradictoires.

Les délégations portent sur tout ce qui a trait au fonctionnement opérationnel de l'entreprise, à la sécurité, au contrôle et à l'usage des moyens techniques. Un vaste champ d'intervention potentiel, semé d'embûches. Les problèmes auxquels sont confrontés les DSI et les RSSI renvoient souvent à des problématiques très générales : politiques suivies, déontologie, métier ou droit (18).

Ainsi, l'avancée du juridique et du réglementaire amène les DSI à intégrer des données de moins en moins techniques et à quitter l'environnement technologique pour se tourner vers les conséquences des choix et des usages (19).

En effet, le DSI n'est pas seulement garant du système d'information de l'entreprise et de son bon fonctionnement, il peut être également responsable de l'usage des moyens informatiques. A ce titre il doit prendre toutes les mesures nécessaires pour éviter que les utilisateurs ne sortent du cadre de la loi (1). Ainsi, il doit prendre les devants en sensibilisant le personnel et en mettant en place la politique et les dispositifs nécessaires (élaborer une charte de sécurité, y intégrer certains points dans le règlement intérieur ou dans les contrats de travail...) (12).

Une autre mission de plus pour le DSI ?

Alors qu'on demande déjà au DSI d'être à la fois un stratège proche de la direction générale, un technicien en prise avec le terrain, un chef charismatique et communicant... il lui faut désormais ajouter une corde à son arc, la maîtrise des subtilités juridiques.

Il s'agit donc d'une charge de plus à assumer qui vient s'additionner aux multiples missions dont il doit déjà s'acquitter, charge à laquelle il n'est pas particulièrement bien préparé. Car, même si les DSI se montrent très préoccupés par les problématiques juridiques, force est de constater que leurs connaissances initiales en la matière se montrent assez limitées. En effet, la plupart des formations à l'informatique n'intègrent pas la dimension juridique (16). De surcroît, les formations au droit de l'informatique sont souvent réservées à des spécialistes (avec pour certaines une maîtrise en droit comme minimum requis). S'il est aujourd'hui utile, voire indispensable, au DSI de disposer d'un bagage minimum de connaissances juridiques, la formation continue s'avère une solution bien insatisfaisante.

Il reste que pour prendre en compte cette nouvelle dimension juridique dans ses activités, le DSI devra être doté de moyens supplémentaires. Il devra s'entourer de personnes sensibilisées aux questions juridiques et acquérir les bons réflexes.

Devant l'imbroglio juridique ambiant et une situation générale assez complexe, le recours à une assistance juridique interne ou externe devient de plus en plus fréquent dans les directions informatiques. "DSI, ne sortez plus sans votre avocat", titre sous forme de boutade un article de 01 DSI de mai 2005 (18). Mais là aussi il faut mettre un bémol. En faisant appel à des juristes, on ne détient pas là l'arme absolue : aucun, il faut bien l'admettre, n'est expert sur la totalité des risques auxquels sont exposés les informaticiens. Et comme le fait remarquer Hélène Truffaut dans Le Monde Informatique : "Reste à savoir si les juristes sont capables d'intégrer toutes les subtilités - et les limites - de l'informatique..." (1).

Néanmoins, dans le monde de l'informatique, les questions juridiques sont de plus en plus considérées comme une affaire d'experts. En effet, les évolutions actuelles du domaine, et en particulier l'ouverture croissante du système d'information vers l'extérieur, rendent infiniment plus complexes les aspects juridiques et les nouvelles technologies, qui ne manqueront pas de se développer à l'avenir, viendront encore amplifier le problème. Marie-Laure Laffaire, avocate au cabinet Lexvia en a bien conscience : "Si la responsabilité est une notion classique en droit, les nouvelles technologies impliquent de l'étoffer. L'informatique, les technologies, l'information envahissent l'entreprise à un point tel que le plus simple des sujets devient une question complexe, une question d'experts." (18). Mais le bon sens reste sans doute la vertu majeure pour faire le tri entre les alertes des avocats et des consultants et les risques réels et graves.

Mais cette évolution peut laisser craindre quelques dérives possibles. Devant un problème, que ce soient des juges, des politiques... la tendance est de nommer un expert. L'avis de l'expert est censé éclairer la décision. Mais, dans la réalité, c'est l'avis de l'expert qui fait prendre la décision. Or, comme celui-ci ne veut pas prendre de risques, la solution qui résulte n'est pas forcément la meilleure, loin de là. En matière de risque, il est bien plus confortable de faire endosser la responsabilité par quelqu'un d'autre ! Plutôt qu'un expert, ce qu'il faudrait aux côtés du DSI c'est quelqu'un avec un esprit d'entrepreneur qui sache éclairer la décision, mais ne refuse pas de prendre certains risques.

D'autres dérives sont possibles du fait d'une réglementation accrue pour les directions informatiques. La prise de décision en matière de gestion des risques pourrait tendre à échapper au DSI, et peut-être en même temps la responsabilité de l'informatique tout court (20).

Si l'on s'embourbe sur le terrain juridique, le danger est grand de ne plus innover dans l'entreprise. On risque la bureaucratisation, la sclérose, on est à l'antithèse de l'informatique agile. Si l'on examine ce qui passe aux Etats-Unis, on peut constater que les obligations légales imposées par différentes instances gouvernementales (transports, justice, défense, santé...) pèsent lourdement sur les agendas technologiques des entreprises concernées et inquiètent de nombreux observateurs qui y voient là un frein possible à l'innovation (21). Sur le blog de CSO on line, on peut lire également : "Les experts disent que les entreprises se montrent plus préoccupées par les risques légaux que par les risques induits par les hackers. Les récents scandales concernant l'exposition de données à caractère personnel poussent les législateurs à prendre les choses en main et à agir si les entreprises ne le font pas. Ceux qui critiquent ce mouvement disent que les réglementations pourraient tuer l'innovation et, de plus, devenir rapidement obsolètes" (22).

De son côté, 01 DSI du 19 novembre 2004 soulignait, à propos de l'application de loi Sarbanes-Oxley aux Etats-Unis et des dispositions législatives adoptées par le Parlement au titre de la sécurité financière, que celles-ci "allaient dans le sens d'une plus grande responsabilité individuelle de tous les acteurs de la chaîne de décision. Il est donc urgent de rappeler que l'informatisation totale de la vie des affaires ne peut ni ne doit se traduire par une incrimination totale et systématique des cadres et des employés travaillant à l'optimisation du système d'information. Sinon, les utilisateurs devront se débrouiller seuls pour faire tourner la boutique" (10).

A quand la goutte qui fera déborder le vase ?

- 22 juillet 2005 – Tous droits réservés - © documental -

Références bibliographiques des citations et éventuels liens Internet :

1. Le DSI, responsable réel et coupable potentiel /Bertrand Lemaire. - Le Monde Informatique, 18.04.03, p.23. (Réf. documental : 24844).
2. Les directeurs de systèmes d'information sous pression juridique /Carole Mazodier. - La Tribune, 30.05.05, p.32. (Réf. documental : 25131).
3. RSSI et DSI encourent-ils des risques pénaux ? /Isabelle Renard.- Le Journal du Net, 03.03.04. A lire sur le lien validé le 21.07.05 : http://solutions.journaldunet.com/printer/040303_juridique.shtml
4. Nouveaux risques : l'état d'alerte doit être généralisé /Jean-Marc Lejeune. - L'Informatique professionnelle, janvier 2004, p.8. (Réf. documental : 23277).
5. DSI, maîtrisez les risques juridiques /Bertrand Lemaire. - Le Monde Informatique, 27.02.04, p.17. (Réf. documental : 23175).
6. La responsabilité pénale du DSI /Yann Bréban. - L'Informatique professionnelle, août/septembre 1999, p.38. (Réf. documental : 13947).
7. La délégation pénale du DSI. – CIO, édition française, mai 2005, p.47.
8. Les DSI et les RSSI sont-ils responsables pénalement? /Isabelle Renard. - Le Journal du Net, 02.02.05. A lire sur le lien validé le 21.07.05 : http://solutions.journaldunet.com/imprimer/0502/050202_juridique.shtml
9. Dossier spécial DSI : responsables et coupables /Alain Bensoussan, Isabelle Pottier. - L'Informatique Professionnelle, janvier 2002, p.40. (Réf. documental : 19183).
10. Les DSI iront-ils en prison ?. - 01 DSI, 19.11.04, p.12. A lire sur le lien validé le 21.07.05 :
    http://www.01net.com/article/262614.html
11. La responsabilité juridique, un sujet à haut risque /S. Luckx. - CSO, juillet 2005, p.44.
12. Sécurité : ne passez pas par la case prison /Christophe Dupont. - 01 DSI, 27.02.04, p.48. (Réf. documental : 23182). A lire sur le lien validé le 21.07.05 : http://www.01net.com/Pdf/DSI200402270005048.pdf
13. Respectez vos obligations juridiques / Christiane Féral-Schuhl. - CIO, édition française, juin 2002, p.27. (Réf. documental : 20582).
14. Evolutions réglementaires : quel impact pour les DSI ? /Pascal Caillerez. - 01 DSI, 04.03.05, p.38. (Réf. documental : 24796). A lire sur le lien validé le 21.07.05 :
    http://www.01net.com/article/273413.html
15. RSSI : quelles responsabilités ? /Christiane Féral-Schuhl, Bruno Grégoire Sainte Marie. - CSO, avril 2004, p.34. (Réf. documental : 23470).
16. DSI, maîtrisez les risques juridiques (Le DSI placé sous contrainte réglementaire) /Sophie Huet, Reynald Fléchaux. - Le Monde Informatique, 11.02.05, p.15. (Réf. documental : 24655).
17. Vers une certification des responsables désignés /Jean-Philippe Bichard. - 01 DSI, 06.05.05, p.43. A lire sur le lien validé le 21.07.05 : http://www.01net.com/article/279361.html
18. DSI, ne sortez plus sans votre avocat /Jean-Philippe Bichard. - 01 DSI, 06.05.05, p.38. A lire sur le lien validé le 21.07.05 : http://www.01net.com/article/279359.html
19. DSI et RSSI : deux managers pour une politique /Jean-Philippe Bichard. - 01 DSI, 06.05.05, p.28. A lire sur le lien validé le 21.07.05 : http://www.01net.com/Pdf/DSI200505060015028.pdf
20. The 21st century CIO and the new IT leadership agenda /Mark Polansky. - Computerworld, 15.11.04. A lire sur le lien validé le 21.07.05 : http://www.computerworld.com/printthis/2004/0,4814,97425,00.html
21. Uncle Sam guiding hand /Larry Greenmeier. - InformationWeek, 13.12.04. A lire sur le lien validé le 21.07.05 :
    http://www.informationweek.com/shared
22. Business inaction could lead to cybersecurity laws. - Blog de CSO on line, 02.05.05. A lire sur le lien validé le 21.07.05 : http://www2.csoonline.com/blog_view.html?CID=5374