 |
|
| |
 |
Franklin Brousse
Avocat
Bird&Bird |
|
Franklin Brousse
"Une charte de sécurité doit respecter les grands principes issus du code du travail"
Pour lutter contre la malveillance interne, des solutions existent, à la fois techniques et légales. Les principes d'information, de proportionnalité et de discussion collective sont à respecter.
01/02/2007 |
| |
|
|
JDN
Solutions. Parmi les dossiers que vous êtes amené à traiter, les actes de malveillance par le biais de l'outil informatique sont-ils fréquents en entreprise
?
Franklin Brousse. Ils représentent la grande majorité des dossiers que nous traitons.
De quelle nature sont-ils ?
Ces actes de malveillances sont autant à l'encontre des personnes ou de l'entreprise dans laquelle l'auteur de ces actes travaille, qu'à l'encontre de personnes ou d'entreprises extérieures, pour voler des informations, usurper une identité, ou dénigrer une personne, une marque ou un produit par exemple.
La responsabilité pénale du salarié peut-elle être engagée ? Existe-t-il de récentes décisions de justice en la matière ?
La responsabilité pénale du salarié peut être engagée lorsqu'il est l'auteur ou le complice d'un acte de malveillance susceptible de constituer une des infractions existantes en matière de fraude informatique, telles que l'accès frauduleux à un système informatique, l'entrave au fonctionnement d'un serveur de messagerie ou encore la collecte déloyale de données personnelles.
A cet égard, la Cour de Cassation, dans un arrêt du 14 mars 2006, a rappelé que la mise en œuvre de logiciels d'aspiration d'adresses de messageries électroniques constitue un moyen frauduleux, déloyal ou illicite de collecter des données personnelles, répréhensible aux termes de l'article 226-18 du code pénal et puni d'une peine maximale de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Recommandez-vous l'élaboration d'une charte de sécurité complémentaire destinée aux administrateurs réseaux ?
Des règles particulières liées à l'utilisation des outils informatiques par les administrateurs de réseaux doivent en effet être définies, que ce soit dans le cadre d'un complément à une charte existante ou d'une charte spécifique.
Ces règles doivent définir précisément les droits et les obligations des administrateurs de réseaux dans le cadre de leur activité quotidienne de gestion des réseaux et des systèmes d'information.
Il convient en effet de distinguer clairement leurs droits, inhérents à l'exercice de leur fonction et les obligations qui sont à leur charge, notamment dans la mesure où ils représentent les premières personnes susceptibles d'être impliquées dans un acte de malveillance ou de constater la réalisation d'un tel acte par un salarié ou encore une attaque extérieure.
De manière plus générale, quels principes doivent être respectés lors de la conception ou de la refonte d'une charte de sécurité ou d'utilisation de l'informatique pour être à la fois efficace, applicable et avoir une portée juridique ?
|
|
 La charte est un élément de dissuasion nécessaire mais pas suffisant" |
|
Il convient de respecter les trois grands principes issus du code du travail que sont la transparence - et donc le principe d'information préalable des salariés -, la proportionnalité - et donc la justification des éventuelles restrictions à la liberté de travail résultant des règles définies au sein de la charte -, et enfin la discussion collective - donc l'obligation d'informer / consulter les institutions représentatives du personnel, notamment s'agissant des outils informatiques ayant un impact sur les conditions de travail des salariés et / ou permettant de tracer leur activité sur les réseaux.
Sous réserve du respect de ces principes, une charte pourra être rendue opposable aux salariés, que celle-ci soit annexée au règlement intérieur - et donc directement opposable aux salariés - ou acceptée individuellement par les salariés par écrit ou en ligne sur l'intranet de l'entreprise.
Pour autant, la charte suffit-elle à dissuader les salariés de malveillance ?
La charte est un élément de dissuasion nécessaire mais pas suffisant. Elle doit s'accompagner d'une sensibilisation des salariés, le cas échéant, dans le cadre de formation et de communication interne. Les chartes font d'ailleurs de plus en plus souvent l'objet d'un plan de communication interne lors de leur renouvellement.
Rien ne vaut en effet le discours et l'illustration pratique des responsabilités susceptibles d'être encourues, pour sensibiliser les salariés, alerter les "ignorants" et dissuader les "malveillants potentiels".
Les entreprises ne négligent-elles pas trop souvent de respecter les réglementations en vigueur lors du déploiement de logiciels de surveillance ou de contrôle ?
|
|
DSI et RSSI n'ont pas toujours conscience de l'impact juridique et réglementaire qu'a la mise en uvre de logiciels de surveillance ou de contrôle" |
|
Il est vrai que les entreprises et notamment les DSI et / ou les RSSI n'ont pas toujours conscience de l'impact juridique et réglementaire qu'a généralement la mise en uvre de tels outils.
Il est clair que ces responsables doivent aujourd'hui avoir le réflexe d'évaluer l'impact de ce type d'outils sur les conditions de travail et de contrôle d'activité des salariés.
Les administrateurs dans le cadre de leur mission de sécurité peuvent accéder à des emails ou des données personnelles. Quelle est la barrière à ne pas franchir pour rester dans la légalité ?
Les administrateurs réseaux ne peuvent accéder et lire les e-mails des salariés qui sont par nature des correspondances privées au sens de la loi, à moins que la charte de l'entreprise n'ait défini des règles particulières d'identification permettant de distinguer clairement les e-mails personnels et les e-mails professionnels.
C'est toute la problématique de la définition de la limite entre la sphère professionnelle et la sphère personnelle dans l'environnement de travail.
Il en va de même pour l'accès aux données figurant sur les disques durs des postes de travail des salariés.
Il est beaucoup question du statut du courrier électronique en entreprise. Pensez-vous que son statut de correspondance privée doive être remis en question ? Une telle remise en cause ne risquerait-elle pas de donner trop de latitudes aux employeurs pour la surveillance de leurs salariés, aux risques de voir les dérives se multiplier ?
Il n'est pas question de remettre en cause ce principe, mais d'aménager au cas par cas en fonction de la culture de l'entreprise et des modes d'organisation du travail, des règles permettant de respecter la vie privée des salariés et les intérêts de l'entreprise dans le contexte de l'utilisation d'outils informatiques professionnels.
C'est aujourd'hui clairement l'absence de règles précises qui entraîne des risques de dérives ou peut parfois donner à l'employeur la sensation d'une latitude importante dans le contrôle des e-mails et des données informatiques.
|
| |
Propos recueillis par Christophe AUFFRAY, JDN Solutions |
|
|
PARCOURS
|
|
|
| |
|
Franklin Brousse est avocat pour le compte du cabinet international Bird & Bird.
|
|
|
|
|
|
|
