La
surveillance par les administrateurs système de
l'activité des salariés sur le réseau
ne date pas d'hier. Dans la plupart des sociétés
de conseil ou de technologie, l'utilisation du réseau
internet s'est rapidement et très naturellement
étendue à une grande majorité du
personnel. La surveillance du trafic entrant et sortant
ainsi que des sites visités par les salariés
s'effectuait de façon passablement confidentielle
dans le secret des salles informatiques, et les délinquants
étaient individuellement rappelés à
l'ordre en cas de comportement anormal.
Cela
n'était guère compatible avec le respect
de la vie privée des salariés. Peu à
peu se sont dégagés des principes visant
à encadrer l'exercice de cette surveillance,
issus tant des règles générales
du droit du travail que des décisions des tribunaux
et, bien sûr, des prises de position de la CNIL.
I - Les principes en
matière d'accès des salariés à
internet à des fins personnelles
> De différents
textes du droit du travail émanent trois grands
principes :
1. Le PRINCIPE DE TRANSPARENCE
(Art L121-8 du Code du Travail prévoit l'information
préalable des salariés sur tout dispositif
et collecte de données les concernant personnellement)
;
2. Le PRINCIPE DE DISCUSSION COLLECTIVE (Art L432-2
du Code du Travail prévoit la consultation du
Comité d'Entreprise lors de l'introduction de
nouvelles technologies) ;
3. Le PRINCIPE DE PROPORTIONNALITE (Art L120-2 : "Nul
ne peut apporter aux droits des personnes et aux libertés
individuelles et collectives de restrictions qui ne
seraient pas (
) proportionnées au but recherché").
> La CNIL a quant à
elle, dans son rapport du 5 février 2002, posé
un certain nombre de critères, dont nous rappelons
les principaux :
1. L'interdiction générale
d'utilisation d'Internet à des fins non professionnelles
n'est pas réaliste, mais rien n'interdit à
l'employeur d'en fixer les conditions et les limites
;
2. Les administrateurs réseaux ne peuvent
divulguer des informations relevant de la vie privée
des utilisateurs si celles-ci ne mettent en cause
ni le bon fonctionnement de l'entreprise, ni sa sécurité,
ni les intérêts de l'entreprise.
> Un premier arrêt
dit " Nikon ", rendu par la Cour de Cassation
le 2 octobre 2001 fut interprété par certains
comme empêchant les entreprises de brider l'utilisation
par les salariés de ses moyens informatiques.
Là n'était pas le propos de cet arrêt,
qui certes condamnait les interdictions pures et simples
d'utiliser internet à des fins personnelles sur
le lieu de travail, mais n'entendait en aucun cas bannir
tout encadrement par l'employeur.
Plus intéressant
pour notre sujet est l'arrêt rendu par la Cour
d'Appel de Paris le 17 décembre 2001, qui déclare
que "la préoccupation du réseau justifie
que les administrateurs systèmes fassent usage
de leur position et des possibilités techniques
dont ils disposent pour mener des investigations
et prendre les mesures que cette sécurité
impose. Par contre, la divulgation du contenu des
messages ne relève pas de ces objectifs".
Il ressort de ces différentes
sources un principe fort clair : il n'est pas réaliste
d'interdire purement et simplement l'utilisation d'internet
à des fins personnelles sur le lieu de travail,
et c'est à l'administrateur système de
se porter garant de ce que cet usage ne nuit pas à
l'entreprise.
II - L'obligation des
entreprises de veiller à la sécurité
des actifs stockés dans leur Système d'Information
Les entreprises ont récemment
pris conscience de ce qu'une grande partie de leurs
actifs résidaient dorénavant dans leur
système d'information : secrets commerciaux,
informations stratégiques confidentielles, bases
de données client, savoir faire, brevets
L'ouverture du système d'information sur le réseau
internet rend celui ci très vulnérable
aux attaques tant externes qu'internes. Il ne faut pas
oublier en effet que la grande majorité de la
fraude informatique émane de l'intérieur
de l'entreprise, et non des hackers.
Si des informations confidentielles
ou sensibles sont dévoilées via le réseau
internet par, ou avec la complicité d'un employé
indélicat, l'entreprise pourra voir sa responsabilité
engagée du fait du préjudice causé
aux actionnaires ou à des tiers du fait de cette
" fuite ". Les magistrats sont attentifs à
l'importance croissante des actifs " immatériels
", qui résident non plus dans des coffres
fort mais sur des serveurs informatiques parfois ouverts
à tous vents. Ils commencent à dégager
une notion de "bon père de famille"
en matière de sécurité informatique
: rien ne sert d'aller se plaindre en justice de ce
que son système a été piraté
et sa liste de clients dérobée avec leurs
numéros de carte bleue. Si votre système
n'avait pas fait l'objet d'une protection adéquate
compte tenu de l'état de l'art, c'est plutôt
à vous que les magistrats seraient tentés
de s'en prendre. N'oublions pas que le non respect de
l'obligation de sécurité prévue
par la législation protectrice des données
personnelles est sanctionnée pénalement,
et que pour obtenir en justice réparation à
l'encontre de celui qui a volé votre fichier
client, encore faut-il que la porte n'ait pas été
grande ouverte
Il en résulte, on
l'aura compris, que la surveillance de l'activité
des salariés sur le réseau internet est
non seulement un droit mais une véritable obligation
de l'employeur, qui s'infère de la nécessité
pour l'entreprise de veiller activement à la
sécurité de ses actifs immatériels.
III - Comment définir
le statut de l'administrateur système ?
L'administrateur système
se trouve dès lors dans une position délicate
: il doit au titre de ses obligations professionnelles
surveiller l'activité des salariés sur
Internet, ce qui peut l'amener à prendre connaissance
de messages de nature strictement privée. Mais
dès lors, il risque de commettre une infraction
au regard du principe de secret des correspondances
Certains, dont la CNIL,
ont préconisé que le message soit considéré
comme privé, donc inviolable, dès lors
qu'il porterait la mention "personnel". Sauf
le respect que nous portons à cette vénérable
institution, c'est totalement irréaliste : il
suffirait qu'un salarié appose la mention "personnel"
sur un e-mail pour sortir d'un simple clic tous les
fichiers clients de l'entreprise au nez et à
la barbe des administrateurs systèmes sans que
ceux-ci, l'eussent-ils vu, puissent rien y redire !
Il faut regarder les choses
en face : un administrateur système doit pouvoir
accéder à tous les messages échangés,
et ce indépendamment de leur qualification apparente.
Le vrai problème est : quel usage peut-il en
faire ? peut-il divulguer à sa hiérarchie
tous les e-mails d'un salarié, y compris ceux
qui sont manifestement privés et sans rapport
avec son activité professionnelle ? et quelles
sanctions disciplinaires encoure-t-il si, en son âme
et conscience, il refuse de diffuser de tels messages,
qui dévoileraient par exemple l'état de
santé ou les murs d'un salarié ?
IV - De la charte internet
à la protection légale
C'est la difficulté
à laquelle se trouvent confrontées toutes
les entreprises qui rédigent des chartes internet.
Nous pensons que la meilleure solution consiste à
préciser dans la charte que les administrateurs
systèmes pourront avoir accès à
des données personnelles des salariés,
mais qu'ils sont soumis à une obligation stricte
de confidentialité. En vertu de cette obligation,
ils ne communiqueront à leur hiérarchie
que les messages ayant un rapport avec l'activité
professionnelle du salarié.
C'est loin d'être
parfait : d'abord parce que l'administrateur système
est seul juge de ce qui a - ou non, un rapport avec
l'activité professionnelle. Ensuite parce que,
en l'absence d'un statut légal protecteur, on
peut imaginer qu'un administrateur dévoilera
tout de même les informations demandées
à sa hiérarchie s'il est menacé
de sanctions disciplinaires.
En conclusion, nous approuvons
fortement la suggestion faite par le Sénat dans
la dernière version du projet de loi relatif
à la protection des personnes physiques à
l'égard des traitements de données à
caractère personnel, tel que transmis à
l'assemblée Nationale le 2 avril 2003. Le texte
proposé par le Sénat préconise
la création dans les entreprises d'un "correspondant
à la protection des données à caractère
personnel", qui serait chargé du respect
des dispositions de la législation protectrice
de la vie privée dans l'entité qui l'emploie.
Le projet de loi prévoit que le correspondant
ne pourrait pas faire l'objet de sanctions de la part
de son employeur du fait de l'accomplissement de sa
mission.
C'est encore bien loin
d'être parfait, diront les esprits tatillons,
puisque le correspondant est lui même un salarié
de l'entreprise. Mais la perfection n'est pas de ce
monde, et dans un monde devenu totalement dépendant
de ses systèmes d'information, il est important
de doter les administrateurs systèmes d'un statut
et d'une éthique clairs et cohérents.
|