JURIDIQUE 
Administrateurs systèmes et cybersurveillance : entre le marteau et l'enclume
par Me Isabelle Renard
August & Debouzy (10 septembre 2003)
         
  La surveillance par les administrateurs système de l'activité des salariés sur le réseau ne date pas d'hier. Dans la plupart des sociétés de conseil ou de technologie, l'utilisation du réseau internet s'est rapidement et très naturellement étendue à une grande majorité du personnel. La surveillance du trafic entrant et sortant ainsi que des sites visités par les salariés s'effectuait de façon passablement confidentielle dans le secret des salles informatiques, et les délinquants étaient individuellement rappelés à l'ordre en cas de comportement anormal.

Cela n'était guère compatible avec le respect de la vie privée des salariés. Peu à peu se sont dégagés des principes visant à encadrer l'exercice de cette surveillance, issus tant des règles générales du droit du travail que des décisions des tribunaux et, bien sûr, des prises de position de la CNIL.

I - Les principes en matière d'accès des salariés à internet à des fins personnelles

> De différents textes du droit du travail émanent trois grands principes :

1. Le PRINCIPE DE TRANSPARENCE (Art L121-8 du Code du Travail prévoit l'information préalable des salariés sur tout dispositif et collecte de données les concernant personnellement) ;
2. Le PRINCIPE DE DISCUSSION COLLECTIVE (Art L432-2 du Code du Travail prévoit la consultation du Comité d'Entreprise lors de l'introduction de nouvelles technologies) ;
3. Le PRINCIPE DE PROPORTIONNALITE (Art L120-2 : "Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas (…) proportionnées au but recherché").

> La CNIL a quant à elle, dans son rapport du 5 février 2002, posé un certain nombre de critères, dont nous rappelons les principaux :

1. L'interdiction générale d'utilisation d'Internet à des fins non professionnelles n'est pas réaliste, mais rien n'interdit à l'employeur d'en fixer les conditions et les limites ;
2. Les administrateurs réseaux ne peuvent divulguer des informations relevant de la vie privée des utilisateurs si celles-ci ne mettent en cause ni le bon fonctionnement de l'entreprise, ni sa sécurité, ni les intérêts de l'entreprise.

> Un premier arrêt dit " Nikon ", rendu par la Cour de Cassation le 2 octobre 2001 fut interprété par certains comme empêchant les entreprises de brider l'utilisation par les salariés de ses moyens informatiques. Là n'était pas le propos de cet arrêt, qui certes condamnait les interdictions pures et simples d'utiliser internet à des fins personnelles sur le lieu de travail, mais n'entendait en aucun cas bannir tout encadrement par l'employeur.
Plus intéressant pour notre sujet est l'arrêt rendu par la Cour d'Appel de Paris le 17 décembre 2001, qui déclare que "la préoccupation du réseau justifie que les administrateurs systèmes fassent usage de leur position et des possibilités techniques dont ils disposent pour mener des investigations et prendre les mesures que cette sécurité impose. Par contre, la divulgation du contenu des messages ne relève pas de ces objectifs".

Il ressort de ces différentes sources un principe fort clair : il n'est pas réaliste d'interdire purement et simplement l'utilisation d'internet à des fins personnelles sur le lieu de travail, et c'est à l'administrateur système de se porter garant de ce que cet usage ne nuit pas à l'entreprise.

II - L'obligation des entreprises de veiller à la sécurité des actifs stockés dans leur Système d'Information

Les entreprises ont récemment pris conscience de ce qu'une grande partie de leurs actifs résidaient dorénavant dans leur système d'information : secrets commerciaux, informations stratégiques confidentielles, bases de données client, savoir faire, brevets … L'ouverture du système d'information sur le réseau internet rend celui ci très vulnérable aux attaques tant externes qu'internes. Il ne faut pas oublier en effet que la grande majorité de la fraude informatique émane de l'intérieur de l'entreprise, et non des hackers.

Si des informations confidentielles ou sensibles sont dévoilées via le réseau internet par, ou avec la complicité d'un employé indélicat, l'entreprise pourra voir sa responsabilité engagée du fait du préjudice causé aux actionnaires ou à des tiers du fait de cette " fuite ". Les magistrats sont attentifs à l'importance croissante des actifs " immatériels ", qui résident non plus dans des coffres fort mais sur des serveurs informatiques parfois ouverts à tous vents. Ils commencent à dégager une notion de "bon père de famille" en matière de sécurité informatique : rien ne sert d'aller se plaindre en justice de ce que son système a été piraté et sa liste de clients dérobée avec leurs numéros de carte bleue. Si votre système n'avait pas fait l'objet d'une protection adéquate compte tenu de l'état de l'art, c'est plutôt à vous que les magistrats seraient tentés de s'en prendre. N'oublions pas que le non respect de l'obligation de sécurité prévue par la législation protectrice des données personnelles est sanctionnée pénalement, et que pour obtenir en justice réparation à l'encontre de celui qui a volé votre fichier client, encore faut-il que la porte n'ait pas été grande ouverte…

Il en résulte, on l'aura compris, que la surveillance de l'activité des salariés sur le réseau internet est non seulement un droit mais une véritable obligation de l'employeur, qui s'infère de la nécessité pour l'entreprise de veiller activement à la sécurité de ses actifs immatériels.

III - Comment définir le statut de l'administrateur système ?

L'administrateur système se trouve dès lors dans une position délicate : il doit au titre de ses obligations professionnelles surveiller l'activité des salariés sur Internet, ce qui peut l'amener à prendre connaissance de messages de nature strictement privée. Mais dès lors, il risque de commettre une infraction au regard du principe de secret des correspondances…

Certains, dont la CNIL, ont préconisé que le message soit considéré comme privé, donc inviolable, dès lors qu'il porterait la mention "personnel". Sauf le respect que nous portons à cette vénérable institution, c'est totalement irréaliste : il suffirait qu'un salarié appose la mention "personnel" sur un e-mail pour sortir d'un simple clic tous les fichiers clients de l'entreprise au nez et à la barbe des administrateurs systèmes sans que ceux-ci, l'eussent-ils vu, puissent rien y redire !

Il faut regarder les choses en face : un administrateur système doit pouvoir accéder à tous les messages échangés, et ce indépendamment de leur qualification apparente. Le vrai problème est : quel usage peut-il en faire ? peut-il divulguer à sa hiérarchie tous les e-mails d'un salarié, y compris ceux qui sont manifestement privés et sans rapport avec son activité professionnelle ? et quelles sanctions disciplinaires encoure-t-il si, en son âme et conscience, il refuse de diffuser de tels messages, qui dévoileraient par exemple l'état de santé ou les mœurs d'un salarié ?

IV - De la charte internet à la protection légale

C'est la difficulté à laquelle se trouvent confrontées toutes les entreprises qui rédigent des chartes internet. Nous pensons que la meilleure solution consiste à préciser dans la charte que les administrateurs systèmes pourront avoir accès à des données personnelles des salariés, mais qu'ils sont soumis à une obligation stricte de confidentialité. En vertu de cette obligation, ils ne communiqueront à leur hiérarchie que les messages ayant un rapport avec l'activité professionnelle du salarié.

C'est loin d'être parfait : d'abord parce que l'administrateur système est seul juge de ce qui a - ou non, un rapport avec l'activité professionnelle. Ensuite parce que, en l'absence d'un statut légal protecteur, on peut imaginer qu'un administrateur dévoilera tout de même les informations demandées à sa hiérarchie s'il est menacé de sanctions disciplinaires.

En conclusion, nous approuvons fortement la suggestion faite par le Sénat dans la dernière version du projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, tel que transmis à l'assemblée Nationale le 2 avril 2003. Le texte proposé par le Sénat préconise la création dans les entreprises d'un "correspondant à la protection des données à caractère personnel", qui serait chargé du respect des dispositions de la législation protectrice de la vie privée dans l'entité qui l'emploie. Le projet de loi prévoit que le correspondant ne pourrait pas faire l'objet de sanctions de la part de son employeur du fait de l'accomplissement de sa mission.

C'est encore bien loin d'être parfait, diront les esprits tatillons, puisque le correspondant est lui même un salarié de l'entreprise. Mais la perfection n'est pas de ce monde, et dans un monde devenu totalement dépendant de ses systèmes d'information, il est important de doter les administrateurs systèmes d'un statut et d'une éthique clairs et cohérents.

 
 Isabelle Renard
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Chaine Parlementaire Public Sénat | Michael Page Interim | 1000MERCIS | Mediabrands | Michael Page International



Journal du Net
Management
Solutions
Emploi
Développeurs