On vous demande de faire quelque chose d’illégal au travail ? Voici comment ces ingénieurs logiciels ont réagi

 (blog.pragmaticengineer.com)
1 points par GN⁺ 2025-10-04 | 1 commentaires | Partager sur WhatsApp
  • Présentation de trois cas réels vécus par des ingénieurs logiciels confrontés à des demandes illégales
  • Chez FTX, un ingénieur resté dans l’entreprise après avoir pris conscience de la fraude a fini par engager sa responsabilité juridique
  • Dans l’affaire Frank, un ingénieur à qui l’on a demandé de manipuler des données réelles a refusé, évitant ainsi toute responsabilité
  • Chez Pollen, un ingénieur a procédé à une double facturation de clients à la demande du CEO, avant de se retrouver ensuite confronté à des problèmes
  • Ces trois cas soulignent que refuser clairement une demande illégale est la meilleure réponse

Introduction : la réalité des demandes illégales pour les ingénieurs logiciels

  • Plusieurs affaires récentes ont mis en lumière l’expérience d’ingénieurs logiciels qui ont failli être impliqués dans des actes illégaux commis par leur entreprise
  • Lorsqu’on demande à un ingénieur de contribuer à un acte illégal, les choix qu’il fait peuvent conduire à des conséquences très différentes
  • À partir de faits réels, l’objectif est de transmettre des enseignements sur la bonne manière de réagir face à une demande illégale

FTX : un directeur de l’ingénierie resté dans l’entreprise alors qu’il connaissait l’illégalité

  • Dans l’affaire FTX, l’ingénieur Nishad Singh a appris vers septembre 2022 qu’Alameda Research détournait massivement des fonds de clients
  • Une fois ce fait établi, Singh pouvait choisir de quitter l’entreprise, de lancer une alerte interne, devenir lanceur d’alerte ou demander un avis juridique
  • Il est pourtant resté dans l’entreprise en essayant de « résoudre le problème » et a ensuite contracté un prêt de 3 700 000 dollars, allant jusqu’à acheter une maison
  • Au final, Singh s’est exposé à jusqu’à 75 ans de prison pour participation à la fraude, mais le jugement de 2025 a reconnu que sa responsabilité était limitée, ce qui lui a valu une mise en liberté surveillée de 3 ans sans peine de prison ferme
  • La leçon de cette affaire est qu’il faut quitter l’entreprise dès qu’on découvre un acte illégal, ou bien lancer l’alerte et demander un conseil juridique

Frank : un ingénieur logiciel qui a refusé une demande de manipulation de données

  • Frank est une startup de prêts étudiants fondée en 2016, rachetée en 2021 par JP Morgan pour 175 millions de dollars
  • Lors de l’acquisition, l’entreprise, qui ne possédait en réalité que les données de 293 000 clients, a demandé à un ingénieur de générer de fausses données représentant 4,2 millions de personnes
  • Le CEO Charlie Javice et la direction ont tenté de justifier cela en affirmant qu’« il n’y aurait aucune raison d’aller en prison », mais l’ingénieur a refusé et n’a remis que les données réelles
  • En conséquence, l’ingénieur, n’ayant pas participé à l’acte illégal, a pu éviter toute responsabilité juridique
  • Par la suite, la CEO Javice a été condamnée à 7 ans de prison pour une fraude de 175 millions de dollars

Pollen : un ingénieur qui a exécuté une double facturation de clients à la demande du CEO

  • Pollen est une startup de l’event tech qui, après avoir levé 200 millions de dollars, a expliqué avoir pris par erreur 3 200 000 dollars aux clients
  • D’après une enquête du documentaire de la BBC, la double facturation a été réalisée via une modification de code par un ingénieur à la demande directe du CEO
  • Dans des messages internes, l’ingénieur reconnaît ses regrets et sa mauvaise décision, en déclarant : « J’ai exécuté le mauvais script à la demande du CEO »
  • L’issue judiciaire de cette affaire n’est pas encore connue, mais la situation présente un risque élevé d’illégalité
  • La leçon à retenir est que même lorsqu’une demande illégale vient d’un CEO ou d’un autre dirigeant, le plus sûr juridiquement est d’en garder une trace et de refuser

Conclusion et enseignements

  • Dans les trois cas, le choix fait par l’ingénieur confronté à une demande illégale a eu un impact décisif sur sa responsabilité juridique et éthique future
  • Le seul cas véritablement sûr a été celui de Frank, où l’ingénieur a refusé immédiatement et sans ambiguïté
  • Dans les affaires FTX et Pollen, le fait de se plier passivement aux demandes de l’entreprise a conduit à de lourdes conséquences
  • En fin de compte, la leçon essentielle est que tout le monde peut toujours dire « non » à une demande illégale

À lire aussi

1 commentaires

 
GN⁺ 2025-10-04
Avis Hacker News

  • J’ai appris qu’en 2010, WellPoint utilisait du code pour annuler automatiquement les contrats d’assurance de patientes atteintes d’un cancer du sein ; la PDG de l’époque était Angela Braly, aujourd’hui chez ExxonMobile ; WellPoint était alors le deuxième plus grand assureur des États-Unis ; mettre en place ce système a nécessité un important travail d’analyse métier et de développement logiciel, et il y avait forcément en interne des personnes qui comprenaient à quoi servait ce code ; on peut supposer que certains ont touché des bonus grâce à ces « économies »

    • À minima, je pense que les noms des personnes impliquées devraient rester attachés à cette atrocité pour toujours ; ce n’est pas une décision prise par une entité anonyme appelée « l’entreprise », il y a eu de vraies personnes qui ont décidé de cibler des patientes atteintes d’un cancer du sein ; la DSI de l’époque, Lori A. Beer, est aujourd’hui chez JP Morgan
    • J’ai vécu quelque chose de similaire dans les années 2010, sans que ce soit illégal ; je travaillais chez un grand distributeur pharmaceutique, autour de la période de l’épidémie d’opioïdes ; à l’époque, il n’existait pas d’obligation légale de signaler à la DEA les commandes suspectes, et sans mandat de perquisition, aucune donnée n’était fournie ; pour maximiser les profits, nous identifiions les principaux clients opioïdes et mettions à jour le système d’inventaire pour leur envoyer des remises et des alertes afin qu’ils achètent plus vite et en plus grande quantité ; l’équipe commerciale avait aussi une correspondance entre commerciaux et fournisseurs pour calculer facilement les bonus ; nous étions des ingénieurs logiciel, mais ceux qui ont le plus gagné de ces programmes étaient les commerciaux, rémunérés en proportion des achats

  • Je travaillais sur un gros projet public, et dès le départ j’avais insisté sur le fait qu’on ne pouvait pas faire de fausse facturation de fin d’année juste pour consommer le budget, car c’était illégal et risqué ; j’ai ensuite découvert qu’un collègue saisissait de fausses heures sur la feuille de temps en mon nom ; après avoir consulté un avocat, qui m’a recommandé un signalement au GAO, j’ai finalement choisi de ne prévenir que le professeur responsable et de quitter mon poste ; c’était extrêmement stressant, car si je n’avais pas signalé les faits à l’avance, la responsabilité aurait pu retomber sur moi ; au final, il semble que le professeur chargé du dossier ait simplement enterré l’affaire

    • Si vous avez une trace de vos échanges avec l’avocat, il suffit de signaler le problème au responsable puis de continuer à travailler normalement ; tant que vous n’avez pas vous-même touché l’argent supplémentaire, un audit ou une enquête n’y accordera généralement pas beaucoup d’attention

  • D’après mon expérience, les grandes entreprises sont très douées pour dissimuler les preuves de leurs mauvaises actions et déploient toute leur énergie à protéger les hauts dirigeants ; au bout du compte, c’est le cours de l’action qui compte, et quand l’affaire éclate, les dirigeants partent simplement vers de « meilleures opportunités » ; seuls les ingénieurs honnêtes gardent le stress, tandis que les cadres s’envolent vers l’étape suivante ; avec le recul, les procédures internes de signalement ou les échanges avec les juristes internes ne servent à rien ; soit ils sont incompétents, soit ils sont compétents mais entièrement focalisés sur la protection de l’entreprise ; mieux vaut soumettre directement un rapport détaillé au régulateur

    • Cela dépend du pays ; en Hongrie, il est impossible de faire tourner une grande entreprise sans verser de l’argent à la famille du Premier ministre ; en tant que simple développeur dans une multinationale, j’ai moi aussi signé des documents servant à détourner des fonds européens ; j’étais trop naïf pour comprendre que ce n’était pas un vrai projet ; ce n’est que plus tard que j’ai compris pourquoi mes collègues s’y opposaient

  • La leçon du type « on peut toujours refuser » ignore de manière peu réaliste la possibilité de représailles de la direction contre la personne qui refuse ; avec le temps, on comprend que le risque de finir en prison est plus grand que celui des représailles, mais sur le moment, il n’est pas facile de trouver le courage de dire « non »

    • On peut toujours, absolument toujours, dire « non » ; leurs carottes (l’argent) vont et viennent, et leurs bâtons (l’argent aussi) ne sont pas de nature à inquiéter tant que ça
    • À mon avis, si un supérieur demande quelque chose d’illégal, il existe une responsabilité éthique et morale, même si cela signifie perdre son emploi ; la loi est la loi, sans exception ; le supérieur est responsable, mais si l’on participe soi-même à l’illégalité, on l’est aussi ; bien sûr, sous la menace pour sa vie, le chantage ou d’autres formes de contrainte, c’est différent ; c’est une situation difficile, et je comprends qu’il soit compliqué de maintenir une éthique parfaite, mais en tant que citoyen, ne pas enfreindre la loi est une obligation de base
    • Le licenciement, le harcèlement, la mutation punitive vers un service sans avenir, tout cela peut sembler terrifiant pour un jeune ingénieur, mais rationnellement ce n’est pas si puissant que ça (même si beaucoup de dirigeants ne sont jamais rationnels) ; licencier coûte cher à l’entreprise, et après un licenciement la personne concernée a davantage de chances de tout signaler aux autorités ; en interne, les équipes juridiques ou comptables trouvent souvent aussi des alternatives légales ; dans la pratique, c’est moins la représaille réelle que l’idée qu’« ils pourraient se venger » qui agit le plus fortement (évidemment, cela suppose un pays où les représailles sont illégales et peuvent être poursuivies)
    • Ces représailles constituent elles-mêmes une autre infraction
    • C’est pourquoi je pense que les lois de protection des lanceurs d’alerte doivent être bien plus fortes (par exemple : représailles = prison automatique, même si l’alerte s’avère erronée), et que les compensations devraient aussi être plus élevées

  • On m’a demandé d’approuver une demande de crédit d’impôt R&D de mon équipe, et après examen je l’ai refusée ; lors d’une réunion avec le comptable, j’ai découvert que cela reposait sur ce qu’avait dit le PDG, puis nous avons revu les détails ensemble et il a été d’accord avec la plupart de mes remarques ; ce que j’ai appris alors, c’est que même si ce crédit d’impôt est étiqueté « R&D », sa définition juridique ne couvre pas automatiquement le travail de développement ordinaire ; il n’y avait pas d’intention illégale au départ, mais en l’état cela aurait pu être considéré comme de la fraude fiscale ; dans ce genre de situation, la règle est toujours de demander à l’entreprise de vous mettre directement en relation avec un expert afin que vous comme l’entreprise soyez juridiquement protégés ; tant qu’on dit la vérité, il n’y a pas de problème

  • Je pense que les développeurs logiciel devraient, comme dans d’autres professions, signer un code de déontologie et pouvoir refuser des demandes non éthiques en s’y appuyant ; c’est utile aussi pour les décisions qui ne sont pas illégales mais immorales ou répugnantes (par exemple définir par défaut les paramètres de confidentialité sur public/public) ; citer un code officiel comme ceux de l’IEEE ou de l’ACM aide aussi à décourager les représailles

    • On a déjà du mal à respecter ne serait-ce qu’un seul Agile Manifesto
    • Comme le serment d’Hippocrate chez les médecins, même sans caractère obligatoire cela peut suffire à jouer un rôle ; je pense donc que l’ACM ou l’IEEE pourraient créer un serment pour les développeurs
    • Par exemple, je me demande si cela veut dire A) que les développeurs devraient être libres de signer un code de déontologie, B) qu’on devrait exiger cette signature et empêcher l’emploi de ceux qui refusent, ou C) autre chose encore
    • L’ACM a déjà un code of ethics, mais il semble y avoir très peu de mise en application face aux entreprises qui le violent de manière répétée
    • Ce genre de code déclaratif ne suffit pas ; il faut impérativement des mécanismes d’application et une protection des lanceurs d’alerte

  • Après coup, tout semble évident, mais sur le moment il n’est pas facile de juger quelle est la bonne conduite ; le sentiment d’en faire trop, les explications qui rationalisent la situation, la menace de perdre son emploi, tout cela rend le courage difficile ; s’il s’agissait de crimes clairement noirs ou blancs, il serait facile de refuser, mais dans la réalité, on est souvent dans une vaste zone grise ; l’ignorance n’exonère pas non plus de sa responsabilité, donc chacun doit répondre de ses actes ; malgré tout, j’espère que personne n’aura à se retrouver dans une telle situation

    • J’ai du mal à être d’accord avec l’idée qu’« il n’existe pas de questions nettement tranchées » ; les trois exemples donnés relèvent très clairement du noir et blanc
    • Quand on fait vivre sa famille, ou qu’on dépend de l’entreprise pour son assurance ou son visa, il est difficile de refuser des demandes illégales ou non éthiques dans une situation précaire ; c’est précisément pour cela que les entreprises disposent de tant de moyens de contrôle et d’exploitation sur leurs employés

  • En 20 ans comme développeur, le plus souvent en contrats annuels courts dans différentes entreprises, on ne m’a jamais demandé de commettre un acte illégal ; autrement dit, ce genre d’expérience est très rare ; si quelqu’un reçoit une telle demande, il devrait quitter l’entreprise immédiatement ; une société comme celle-là est anormale et en situation de détresse, et il est probable que cela ne fasse qu’empirer ; ce n’est absolument pas normal ; il faut partir le plus vite possible

    • Les comportements non éthiques ou moralement ambigus, les attitudes de mauvais goût, non professionnelles, les contournements, on en trouve partout, et on peut ne les reconnaître qu’après coup ; mais quand c’est vraiment illégal, cela donne une sensation différente sur le moment ; même sans connaissances juridiques poussées, quelque chose paraît anormal, et on le perçoit intuitivement à travers l’ambiance, le comportement des collègues, l’inquiétude générale, etc.

  • J’ai travaillé quatre mois chez NS8 en 2020, puis l’entreprise s’est effondrée et le PDG a été arrêté pour une fraude à l’investissement de 123 millions de dollars ; j’ai récemment reçu une petite compensation dans le cadre du procès lié aux licenciements de l’entreprise, mais perdre son emploi en pleine pandémie de Covid a été une source de stress extrême

  • Je suis fermement attaché à l’idée de « ne jamais faire de saloperie / ne jamais faire quelque chose d’illégal » ; mais il y a deux aspects dont on parle peu ; d’abord, même sans aller jusqu’au véritable lancement d’alerte, le coût individuel peut être très élevé ; même dans le meilleur des cas, cela se traduit souvent par la pression de devoir retrouver un emploi, alors que tout le monde n’a pas d’option de repli ni de filet de sécurité financier ; l’épuisement mental peut aussi être sévère ; j’ai moi-même failli faire un burn-out en essayant une fois de corriger ce type de situation, avant de finir par regarder de loin le projet partir en vrille ; j’ai aussi vu des proches être profondément blessés pour avoir mis au jour des problèmes internes sans avoir commis de faute particulière ; souvent, les managers ne sont même pas directement impliqués, mais pris dans un système qui les ligote et dans lequel ils n’ont pas réellement le pouvoir d’agir ; ensuite, à moins de tout sacrifier et d’entrer totalement dans le combat, le mieux qu’on puisse souvent faire est de se protéger soi-même ; on peut au moins dormir en sachant qu’on est resté fidèle à ses principes, mais il reste toujours un regret de ne pas avoir pu rétablir soi-même la justice

    • Comme tout le monde n’a pas de solution facile, je recommande de constituer suffisamment d’épargne de précaution pour pouvoir démissionner à tout moment ; le conseil est de privilégier le cash plutôt que les actions, et d’éviter que son contrat ne devienne des menottes dorées ; c’est utile non seulement pour préserver son éthique, mais aussi dans toutes sortes de négociations ; le concept de négociation de BATNA (meilleure solution de rechange) peut aider : lien de ressource