Responsabilité pénale des dirigeants : délégation de pouvoirs, nouvelles obligations et gouvernance probatoire
Résumé exécutif. La délégation de pouvoirs ne constitue plus un rempart automatique contre la responsabilité pénale du dirigeant. La jurisprudence récente, les affaires emblématiques (notamment Lafarge) et les nouveaux textes en matière de cybersécurité, d’environnement et de gouvernance renforcent l’exigence de preuve d’une délégation effective, dotée de moyens réels et intégrée dans un dispositif de contrôle documenté. Pour les directions juridiques et les Chief Legal Officers, l’enjeu est de passer d’une logique de délégation formelle à un pilotage probant de la chaîne de responsabilité, articulant droit pénal du travail, droit pénal des affaires, cybersécurité et conformité environnementale.
1. De la délégation de pouvoir au risque pénal systémique du dirigeant
La délégation de pouvoir a longtemps été perçue comme un bouclier naturel pour le dirigeant face à la responsabilité pénale. Les mises en cause récentes montrent pourtant que la délégation de pouvoirs classique ne suffit plus à contenir le risque pénal du chef d’entreprise, surtout lorsque les décisions stratégiques sont prises au sommet et documentées de façon lacunaire. La chaîne délégant‑délégataire doit désormais être pensée comme un système de gouvernance dynamique, et non comme un simple transfert de responsabilité figé dans un organigramme.
Dans le schéma traditionnel, le dirigeant de la société signait une délégation de pouvoirs en matière de santé‑sécurité ou d’hygiène au travail, puis considérait que la responsabilité pénale était transférée vers le délégataire compétent. La jurisprudence de la chambre criminelle de la Cour de cassation, notamment en droit pénal du travail, rappelle pourtant que l’existence de la délégation ne suffit pas si les moyens effectifs, la compétence et l’autorité ne sont pas démontrés de façon précise. Dans un arrêt du 11 mars 1993 (Crim., 11 mars 1993, n° 91‑85.655, ECLI:FR:CCASS:1993:CR00813), la Cour a ainsi exigé la preuve d’un pouvoir réel de décision et de moyens adaptés, et non la seule production d’un document signé par le dirigeant.
Pour un Chief Legal Officer, la question n’est plus de savoir si une délégation de pouvoirs existe, mais si elle est opposable en cas d’infraction pénale liée à la sécurité ou à la santé‑sécurité des salariés. Le droit pénal de l’entreprise impose désormais de démontrer que le délégataire disposait de moyens humains, financiers et techniques adaptés à ses fonctions, et que la personne morale avait organisé un contrôle raisonnable de l’exécution de ces pouvoirs. La responsabilité civile et la responsabilité pénale du dirigeant se jouent alors sur la capacité à prouver une gouvernance opérationnelle crédible, et non sur la seule invocation d’un transfert de responsabilité théorique.
- Points de vigilance pratiques :
- Vérifier que chaque délégation identifie clairement le périmètre, les moyens et l’autorité conférés au délégataire.
- Conserver, dans un dossier centralisé, les éléments prouvant l’exercice effectif des pouvoirs délégués (décisions, budgets, instructions).
- Mettre à jour régulièrement la cartographie des délégations pour refléter l’organisation réelle et les risques pénaux majeurs.
Affaire Lafarge et décisions stratégiques : la limite frontale de la délégation
L’affaire Lafarge a marqué un tournant dans la perception de la responsabilité pénale du dirigeant au sommet de l’entreprise. Lorsque les décisions incriminées relèvent du cœur de la stratégie de la société, la délégation de pouvoirs ne peut pas servir de paravent, car le pouvoir de décision reste concentré au niveau de la direction générale. Dans l’arrêt du 7 septembre 2021 (Crim., 7 sept. 2021, n° 19‑87.367, ECLI:FR:CCASS:2021:CR01040), la chambre criminelle a validé la mise en examen de la société pour complicité de crimes contre l’humanité, en soulignant le rôle central des organes dirigeants dans les choix stratégiques contestés.
Cette affaire illustre de manière concrète les limites de la délégation de pouvoirs dans les groupes internationaux exposés à des risques de droit pénal des affaires. La chambre criminelle a rappelé que la compétence, l’autorité et les moyens du délégataire ne peuvent couvrir des décisions stratégiques prises par le siège, même si des fonctions locales ont reçu une délégation formelle. Le dirigeant reste alors au centre de la responsabilité pénale, car l’infraction reprochée découle directement de son pouvoir de direction et de son contrôle sur la politique globale de la société.
Pour la direction juridique, cette évolution impose de cartographier précisément les domaines où la délégation de pouvoirs est pertinente, et ceux où la responsabilité pénale du dirigeant demeure structurellement non délégable. Les décisions relatives aux implantations sensibles, aux flux financiers à risque ou aux relations avec certains intermédiaires ne peuvent plus être couvertes par de simples délégations de pouvoirs descendantes. La gouvernance doit intégrer une traçabilité des arbitrages stratégiques, afin de démontrer a posteriori que le dirigeant a exercé son pouvoir de manière diligente et conforme au droit pénal applicable.
- À retenir pour les décisions stratégiques :
- Identifier les décisions qui relèvent du « noyau dur » de la stratégie et les traiter comme non délégables en pratique.
- Documenter systématiquement les arbitrages sensibles (notes internes, comptes rendus, validations hiérarchiques).
- Prévoir un circuit de remontée d’alerte vers la direction générale pour tout risque pénal majeur lié à ces décisions.
2. Conditions de validité revisitées : compétence, autorité, moyens et traçabilité
Les conditions classiques de validité de la délégation de pouvoirs restent officiellement inchangées en droit pénal, mais leur interprétation est devenue nettement plus exigeante. La Cour de cassation vérifie de plus en plus finement la compétence, l’autorité et les moyens du délégataire, en particulier dans les dossiers de droit pénal du travail et de sécurité au travail. Dans un arrêt du 26 juin 2012 (Crim., 26 juin 2012, n° 11‑83.770, ECLI:FR:CCASS:2012:CR03319), elle a ainsi censuré une cour d’appel qui n’avait pas caractérisé les moyens concrets mis à la disposition du délégataire pour prévenir les risques professionnels.
Sur le terrain, cela signifie que la direction juridique doit documenter la compétence professionnelle du délégataire, la clarté de ses fonctions et la cohérence entre son périmètre de travail et les risques pénaux encourus. Les décisions récentes en matière de santé‑sécurité au travail montrent que l’absence de moyens suffisants ou de marges de manœuvre budgétaires peut conduire à écarter la délégation de pouvoirs, réactivant ainsi la responsabilité pénale du chef d’entreprise. La responsabilité civile de la société et la responsabilité pénale du dirigeant se trouvent alors simultanément engagées, avec un impact réputationnel majeur pour l’entreprise.
La subdélégation ajoute une couche supplémentaire de complexité, car le couple délégant‑délégataire se démultiplie et fragilise la lisibilité de la chaîne de responsabilité. Chaque subdélégation doit respecter les mêmes exigences de compétence, d’autorité et de moyens, sous peine de voir le transfert de responsabilité pénale contesté en cas d’infraction. Pour sécuriser ces montages, le Chief Legal Officer doit mettre en place une procédure de validation centralisée des délégations de pouvoirs et des subdélégations, avec une preuve de la délégation conservée dans un référentiel unique et opposable.
- Checklist de validité d’une délégation :
- Compétence : CV, formations, expérience et position hiérarchique du délégataire documentés.
- Autorité : lettre de mission, pouvoir disciplinaire, capacité à donner des instructions et à arbitrer.
- Moyens : budgets, effectifs, accès aux outils et aux informations nécessaires, formalisés et traçables.
De la délégation formelle à la gouvernance probatoire
Le mouvement de fond est clair : la protection pénale du dirigeant ne repose plus sur la seule existence d’un acte de délégation, mais sur la capacité à en démontrer l’effectivité. Les juges recherchent désormais des éléments concrets montrant que le délégataire a exercé ses pouvoirs, qu’il a reçu des moyens adaptés et qu’il a été en mesure de prévenir l’infraction pénale. La gouvernance probatoire devient ainsi un axe central de la stratégie de défense pénale de la personne morale et de ses dirigeants.
Dans cette perspective, la documentation des arbitrages en matière de sécurité, de santé‑sécurité et de prévention des risques professionnels prend une importance décisive. Les comptes rendus de comités, les alertes internes, les décisions budgétaires et les échanges entre le dirigeant et le délégataire constituent autant de pièces qui permettront de démontrer la réalité du transfert de responsabilité. Le droit pénal du travail, très nourri par la jurisprudence de la chambre criminelle, fournit un terrain d’observation privilégié de cette montée en puissance de la preuve de la délégation.
Pour les directions juridiques, l’enjeu est de transformer ces exigences en processus opérationnels intégrés, plutôt qu’en check‑lists ponctuelles lors des crises. La mise en place d’un registre numérique des délégations de pouvoirs, couplé à un suivi des incidents de sécurité et des décisions correctrices, permet de structurer cette gouvernance probatoire. Dans le même mouvement, la maîtrise des élections partielles du CSE, analysée sous l’angle des enjeux stratégiques pour le Chief Legal Officer, contribue à sécuriser le dialogue social et à réduire le risque d’infraction pénale liée au droit du travail.
- Documents probatoires à constituer :
- Registre centralisé des délégations et subdélégations, avec dates, signatures et périmètres.
- Procès‑verbaux de comités HSE, rapports d’audit interne, plans d’action et suivis d’incidents.
- Traçabilité des arbitrages budgétaires liés à la prévention des risques professionnels.
3. Nouvelles obligations non délégables : cybersécurité, environnement et gouvernance
Les textes récents en matière de cybersécurité et d’environnement redessinent la carte des responsabilités au sein de l’entreprise. La directive (UE) 2022/2555 dite NIS2 impose aux organes de direction une implication directe dans la gestion des risques de cybersécurité, avec une responsabilité pénale potentielle en cas de manquement grave selon les droits nationaux. Dans le même temps, la directive (UE) 2024/1203 sur les atteintes graves à l’environnement renforce la responsabilité pénale du dirigeant lorsque la stratégie de la société expose délibérément l’écosystème à des dommages majeurs.
Dans ces domaines, la délégation de pouvoirs ne permet plus un transfert de responsabilité intégral, car le législateur vise explicitement les organes de direction et la personne morale. Le dirigeant reste tenu d’un devoir de vigilance renforcé, qui ne peut être délégué qu’en partie à un délégataire spécialisé, même doté de larges pouvoirs et de moyens conséquents. Les limites de la délégation apparaissent ici de façon nette, car la compétence‑autorité ultime demeure au niveau du conseil d’administration et de la direction générale.
Pour un Chief Legal Officer, la réponse ne peut pas se limiter à multiplier les délégations de pouvoirs vers les responsables cybersécurité ou environnement. Il faut organiser une gouvernance documentée, avec des comités dédiés, des indicateurs de risque et une traçabilité des arbitrages entre performance économique et conformité pénale. La parité des conseils d’administration, analysée dans l’échéancier présenté sur la parité des conseils d’administration, illustre d’ailleurs cette tendance à responsabiliser directement les organes de gouvernance sur des objectifs structurants.
- Organisation minimale à prévoir :
- Comité cybersécurité et comité environnement rattachés au conseil ou à la direction générale.
- Indicateurs de risque consolidés et revus périodiquement par les organes de direction.
- Procédure formalisée de remontée des incidents majeurs vers les dirigeants et le conseil.
Responsabilité pénale et responsabilité civile : un continuum stratégique
La montée des risques de cybersécurité et environnementaux crée un continuum entre responsabilité civile et responsabilité pénale du dirigeant. Une même défaillance de gouvernance peut déclencher à la fois une action en responsabilité civile contre la société et une poursuite pénale contre le dirigeant, voire contre plusieurs membres de la direction. La personne morale ne joue plus un rôle de filtre protecteur, mais devient un co‑prévenu aux côtés de ses dirigeants dans les dossiers les plus sensibles.
Dans ce contexte, la délégation de pouvoirs doit être articulée avec les mécanismes d’assurance, de gestion de crise et de communication financière, afin de préserver la continuité de l’entreprise. Le droit pénal des affaires ne se contente plus de sanctionner des infractions isolées, il interroge la robustesse globale de la gouvernance et la sincérité des dispositifs de conformité. La responsabilité pénale du dirigeant se nourrit alors de tout ce qui a été écrit, présenté aux investisseurs ou communiqué aux autorités de régulation.
Les directions juridiques ont donc intérêt à intégrer les limites de la délégation dans une cartographie globale des risques, incluant les enjeux de gouvernance, de cybersécurité et d’environnement. La documentation des décisions stratégiques, la cohérence entre les discours externes et les pratiques internes, ainsi que la capacité à démontrer un contrôle effectif deviennent des actifs juridiques à part entière. Dans cette approche, la délégation n’est plus un simple outil de transfert de responsabilité, mais un maillon d’une chaîne de décision traçable et assumée.
- Intégrer la délégation dans la gestion de crise :
- Aligner les clauses d’assurance (D&O, cyber, environnement) sur la cartographie des délégations.
- Prévoir des scénarios de crise où les rôles des dirigeants et des délégataires sont clairement définis.
- Contrôler la cohérence entre les engagements de conformité communiqués et les dispositifs réellement en place.
4. Repenser la chaîne de responsabilité : de la délégation au pilotage probant
Repenser la chaîne de responsabilité suppose d’accepter que la délégation de pouvoirs ne protège plus comme avant le dirigeant face au risque pénal. Le temps où un chef d’entreprise pouvait se contenter d’un schéma statique de délégations de pouvoirs pour écarter sa responsabilité pénale est révolu, notamment sous l’effet des décisions de la chambre criminelle. La stratégie doit désormais articuler délégation, contrôle, traçabilité et pilotage des risques, dans une logique de gouvernance vivante et révisable.
Concrètement, cela implique de revoir la cartographie des fonctions clés, en identifiant les zones où le transfert de responsabilité est juridiquement possible et celles où il reste structurellement limité. Les domaines touchant au cœur de la stratégie, aux arbitrages financiers majeurs ou aux engagements publics de la société relèvent souvent d’une responsabilité pénale du dirigeant difficilement délégable, même en présence d’un délégataire expérimenté. Le droit pénal, tel qu’interprété par la Cour de cassation, privilégie alors l’analyse du pouvoir réel de décision plutôt que la seule existence de la délégation.
Dans cette perspective, la direction juridique peut structurer un référentiel interne de délégation de pouvoirs, adossé à des procédures de revue périodique et à un reporting consolidé vers la direction générale. Chaque délégation doit préciser les moyens accordés, les objectifs de sécurité ou de conformité, ainsi que les modalités de contrôle et de remontée d’information vers le délégant. La preuve de la délégation et la démonstration d’un contrôle raisonnable deviennent ainsi des éléments centraux de la défense en cas d’infraction pénale ou de contentieux en responsabilité civile.
- Architecture cible de la chaîne de responsabilité :
- Référentiel unique des délégations, relié aux fonctions risques, conformité et audit interne.
- Processus de revue annuelle des délégations, avec validation par la direction générale.
- Reporting régulier des incidents significatifs et des plans d’action au niveau des organes de direction.
Vers une gouvernance documentée et opposable
La nouvelle frontière se situe dans la capacité de l’entreprise à produire une gouvernance documentée, lisible et opposable devant le juge pénal. Les dirigeants doivent concevoir des processus où chaque niveau hiérarchique assume une part clairement définie de la responsabilité, avec des pouvoirs consentis adaptés et des moyens vérifiables. La compétence‑autorité du délégataire doit être démontrée par des faits, des décisions et des résultats, plutôt que par des organigrammes théoriques.
Pour les directions juridiques, cela signifie investir dans des outils de gestion des délégations de pouvoirs, de suivi des incidents et de documentation des arbitrages, en lien avec les équipes de conformité et de contrôle interne. La mise en place d’un dispositif de gouvernance robuste rejoint les réflexions plus larges sur le contrôle des investissements étrangers, telles qu’analysées dans l’étude sur le durcissement du contrôle des investissements étrangers en France, où la traçabilité des décisions stratégiques devient également déterminante. Dans tous ces domaines, la personne morale et ses dirigeants sont jugés sur la cohérence entre leurs engagements affichés et la réalité de leurs pratiques internes.
La montée en puissance du droit pénal des affaires, du droit pénal du travail et des infractions environnementales impose enfin de renforcer le dialogue entre la direction juridique, la direction des risques et la direction générale. Le chef d’entreprise ne peut plus considérer la délégation comme un parapluie automatique, mais comme un outil parmi d’autres dans une architecture globale de maîtrise du risque pénal. En repensant la chaîne de responsabilité autour de la preuve, de la traçabilité et du pilotage, le dirigeant redevient acteur de sa propre protection, plutôt que simple bénéficiaire d’un transfert de responsabilité incertain.
- Derniers leviers opérationnels :
- Associer systématiquement la direction juridique aux décisions structurantes à fort enjeu pénal.
- Former les dirigeants et délégataires aux exigences probatoires en matière de délégation de pouvoirs.
- Tester régulièrement, via des exercices de crise, la solidité de la chaîne de responsabilité et de la gouvernance probatoire.
Chiffres clés sur la responsabilité pénale des dirigeants
- Les statistiques annuelles de la criminalité et de la délinquance enregistrées publiées par le ministère de la Justice (Série « Criminalité et délinquance enregistrées », édition 2023) confirment la persistance d’un volume significatif de condamnations pour des infractions liées au droit pénal du travail, illustrant la fréquence des mises en cause de la responsabilité des dirigeants et des personnes morales.
- Le rapport annuel 2022 de la Cour de cassation (chambre criminelle) met en évidence un contentieux nourri relatif à la délégation de pouvoirs, une part notable des pourvois portant sur la contestation de la compétence, de l’autorité ou des moyens du délégataire, ce qui confirme le recentrage du contrôle sur la réalité du transfert de responsabilité.
- Les rapports de la Commission européenne sur la mise en œuvre de la directive (UE) 2016/1148 (NIS) et de la directive (UE) 2022/2555 (NIS2), pour la période 2018‑2022, signalent une progression continue des incidents de cybersécurité déclarés par les entreprises, ce qui accroît mécaniquement l’exposition des organes de direction à un risque de responsabilité en cas de manquement grave aux obligations de sécurité.
Références
- Ministère de la Justice, « Criminalité et délinquance enregistrées en 2022 », Statistiques annuelles de la criminalité et de la délinquance enregistrées, édition 2023.
- Cour de cassation, chambre criminelle, base publique des arrêts en matière de droit pénal du travail et de délégation de pouvoirs : Crim., 11 mars 1993, n° 91‑85.655, ECLI:FR:CCASS:1993:CR00813 ; Crim., 26 juin 2012, n° 11‑83.770, ECLI:FR:CCASS:2012:CR03319 ; Crim., 7 sept. 2021, n° 19‑87.367, ECLI:FR:CCASS:2021:CR01040.
- Commission européenne, rapports sur la mise en œuvre de la directive (UE) 2016/1148 (NIS) et de la directive (UE) 2022/2555 (NIS2), période 2018‑2022.
FAQ – NIS2, transposition et responsabilité pénale des dirigeants
- NIS2 crée‑t‑elle une responsabilité pénale automatique des dirigeants ?
Non. La directive NIS2 impose aux États membres de prévoir des sanctions effectives, proportionnées et dissuasives, qui peuvent inclure des sanctions pénales. La responsabilité pénale des dirigeants dépend toutefois des choix de transposition nationaux et des infractions définies par chaque législateur. - La simple non‑conformité à NIS2 suffit‑elle à engager la responsabilité pénale du dirigeant ?
Pas en tant que telle. La non‑conformité peut constituer un indice de manquement aux obligations de sécurité et de gouvernance, mais la responsabilité pénale suppose la réunion des éléments constitutifs de l’infraction prévus par le droit interne (élément légal, matériel et moral). - Que doivent faire les organes de direction pour limiter leur exposition pénale au titre de NIS2 ?
Ils doivent s’assurer de la mise en place d’une gestion structurée des risques de cybersécurité (analyse de risques, mesures techniques et organisationnelles, plans de réponse aux incidents), documenter leurs décisions et démontrer qu’ils ont exercé une vigilance active et raisonnable au regard des exigences de la directive transposée.