En
2011, le coût de la perte des données par les entreprises en France a été
estimé à 2,5 millions d’euros [1].
Ces pertes de données sont issues des attaques informatiques dont le
facteur humain est le plus souvent la
principale cause.
Salariés
négligents, salariés malveillants, quelle est la réponse du droit du travail
face à ce problème économique majeur ? Le droit suit-il les principes
élémentaires de la sécurité informatique ?
La
vie privée du salarié au travail est protégée d’une part par le code civil [2]
et plus spécifiquement par le droit social [3].
Cette protection s’est adaptée à l’utilisation massive de l’informatique au
travail mais a-t-elle également intégré les principes élémentaires d’hygiène
informatique?
Un
rapide rappel de la jurisprudence sociale et de la CNIL met en exergue une
tendance significative à intégrer la vie privée numérique du salarié au
travail. Toutefois, une vigilance particulière, autant du côté du salarié que de l'employeur, doit accompagnée cette intégration afin qu'elle reste raisonnable.
Dès
2004, la CNIL a, en effet, estimé qu’une interdiction générale et absolue de
toute utilisation d’Internet à des fins autres que professionnelles ne
paraissait pas réaliste et semblait même disproportionnée. Ainsi, l’utilisation
d’Internet à des fins autres que professionnelles doit être tolérée si l’usage
est raisonnable et n’affecte pas la sécurité des réseaux ou la productivité de
l’organisme.
De
même, pour la CNIL, l’utilisation de keyloggers [4]
ne peut être envisagée dans un contexte professionnel qu’en présence
d’impératifs forts de sécurité et après avoir fait l’objet d’une information
spécifique des salariés. Ce traitement doit également faire l’objet des
formalités préalables obligatoires auprès de la CNIL.
Enfin,
par un arrêt du 12 février 2013 [5],
la Cour de cassation a énoncé qu’un support de stockage connecté au poste de
travail professionnel d’un salarié est présumé professionnel permettant ainsi à
l’employeur d’accéder à son contenu en l’absence du salarié, sauf si les
dossiers sont identifiés comme personnels.
Le meilleur moyen de concilier les droits et devoirs du salariés et de l'employeur est de réglementer l'usage des nouvelles technologies de l'information dans la sphère professionnelle par la charte informatique de l'organisme qui doit également intégrer des principes de sécurité informatique.
Concernant
l’accès des postes de travail à Internet, celui-ci doit être parfaitement
maîtrisé et limité autant que possible, nul besoin que chaque salarié ait un
accès personnel à Internet. Un poste dédié et maîtrisé pour l’ensemble d’un
service suffit [6].
Ceci limite de facto l’usage abusif
d’Internet par les salariés, limite les accès de l’extérieur sur le réseau de
l’entreprise et cela empêche tout échange de données non maîtrisé.
L'objectif
des keyloggers est d'enregistrer et
de restituer tout le travail qui a été réalisé par un utilisateur. L’employeur
peut avoir accès aux touches enregistrées permettant effectivement de retracer
le travail courant du salarié. Mais ce logiciel peut être aisément piraté
facilitant la récupération de, notamment, tous les identifiants et mots de
passe utilisés sur le poste de travail.
Finalement,
l’organisme doit mesurer les risques d’installer de tels dispositifs car, d’une
part, la surveillance abusive des salariés est sanctionnée légalement [7]
mais, d’autre part, un pirate peut facilement s’en servir pour espionner le
travail produit par le salarié.
En outre, la
connexion d’un support amovible personnel non sécurisé sur le poste de travail
professionnel représente une faille de sécurité majeure [8] .
Dès
lors, il est recommandé que l’organisme interdise strictement l’usage de
supports amovibles personnels sur les postes contenant des informations considérées
comme sensibles par l’organisme et mette à disposition de ses salariés des
supports de stockage dédiés au strict usage professionnel. Une sensibilisation
du personnel sur les risques de fuite d’informations sensibles, autant pour
l’organisme que pour le salarié susceptible d’être licencié [9],
doit accompagner ces règles de sécurité.
La
protection de la vie privée reste un droit inaliénable de l’individu qui
s’exerce et doit continuer à s’exercer, en partie et raisonnablement, dans le
monde professionnel afin de préserver la sphère privée et l’identité même de
chaque individu. Toutefois, face aux intérêts économiques et stratégiques des
entreprises, le droit se doit également de protéger le patrimoine
informationnel de chaque entité morale et d’intégrer des obligations de
sécurité informatique.
Face à la perte d'informations de l'organisme, la responsabilité peut-elle être partagée entre le salarié négligeant et l’employeur n’ayant pas assez sécurisé ses postes de travail?
[1] Rapport de Symantec : 2011Cost of
Data Breach Study : France
[2] L’article 9 du code civil
dispose que « Chacun a droit au respect de sa vie privée ».
[3]L’article
L1121-1 du code du travail dispose que « Nul ne peut apporter aux droits
des personnes et aux libertés individuelles et collectives de restrictions qui
ne seraient pas justifiées par la nature de la tâche à accomplir ni
proportionnées au but recherché ».
[4] Les keyloggers sont des dispositifs logiciels de surveillance,
parfois téléchargeables gratuitement sur le web, qui se lancent automatiquement
à chaque démarrage de la session de l’utilisateur, à son insu.
[5] Cass., ch.soc.12 février 2013,
Mme X. c.PBS
[6] Règle 4 du
guide d’hygiène informatique publié par l’ANSSI : « Limiter le nombre
d’accès Internet de l’entreprise au strict nécessaire : Il convient de connaître précisément
les points d’accès à Internet (box ADSL, etc.) et les interconnexions avec des
réseaux partenaires et de les limiter au strict nécessaire de manière à pouvoir
plus facilement centraliser et rendre homogène la surveillance des
échanges ».
[7] La loi d’orientation et de
programmation pour la performance de la sécurité intérieure du 14 mars 2011
punit de 5ans d’emprisonnement et de 300000 euros d’amende l’utilisation, mais
aussi la vente, de certains dispositifs de captation de données informatiques à
l’insu des personnes concernées.
[8] Règle 5 du
guide d’hygiène informatique publié par l’ANSSI : « Interdire la connexion d’équipements
personnels au système d’information de l’organisme ».
Aucun commentaire:
Enregistrer un commentaire