samedi 1 juin 2013

Protection de la vie privée et sécurité informatique : la difficile conciliation

En 2011, le coût de la perte des données par les entreprises en France a été estimé à 2,5 millions d’euros [1]. Ces pertes de données sont issues des attaques informatiques dont le facteur  humain est le plus souvent la principale cause.
Salariés négligents, salariés malveillants, quelle est la réponse du droit du travail face à ce problème économique majeur ? Le droit suit-il les principes élémentaires de la sécurité informatique ?
La vie privée du salarié au travail est protégée d’une part par le code civil [2] et plus spécifiquement par le droit social [3]. Cette protection s’est adaptée à l’utilisation massive de l’informatique au travail mais a-t-elle également intégré les principes élémentaires d’hygiène informatique?

Un rapide rappel de la jurisprudence sociale et de la CNIL met en exergue une tendance significative à intégrer la vie privée numérique du salarié au travail. Toutefois, une vigilance particulière, autant du côté du salarié que de l'employeur, doit accompagnée cette intégration afin qu'elle reste raisonnable.
Dès 2004, la CNIL a, en effet, estimé qu’une interdiction générale et absolue de toute utilisation d’Internet à des fins autres que professionnelles ne paraissait pas réaliste et semblait même disproportionnée. Ainsi, l’utilisation d’Internet à des fins autres que professionnelles doit être tolérée si l’usage est raisonnable et n’affecte pas la sécurité des réseaux ou la productivité de l’organisme.
De même, pour la CNIL, l’utilisation de keyloggers [4] ne peut être envisagée dans un contexte professionnel qu’en présence d’impératifs forts de sécurité et après avoir fait l’objet d’une information spécifique des salariés. Ce traitement doit également faire l’objet des formalités préalables obligatoires auprès de la CNIL.
Enfin, par un arrêt du 12 février 2013 [5], la Cour de cassation a énoncé qu’un support de stockage connecté au poste de travail professionnel d’un salarié est présumé professionnel permettant ainsi à l’employeur d’accéder à son contenu en l’absence du salarié, sauf si les dossiers sont identifiés comme personnels. 

Le meilleur moyen de concilier les droits et devoirs du salariés et de l'employeur est de réglementer l'usage des nouvelles technologies de l'information dans la sphère professionnelle par la charte informatique de l'organisme qui doit également intégrer des principes de sécurité informatique.

Concernant l’accès des postes de travail à Internet, celui-ci doit être parfaitement maîtrisé et limité autant que possible, nul besoin que chaque salarié ait un accès personnel à Internet. Un poste dédié et maîtrisé pour l’ensemble d’un service suffit [6]. Ceci limite de facto l’usage abusif d’Internet par les salariés, limite les accès de l’extérieur sur le réseau de l’entreprise et cela empêche tout échange de données non maîtrisé.
L'objectif des keyloggers est d'enregistrer et de restituer tout le travail qui a été réalisé par un utilisateur. L’employeur peut avoir accès aux touches enregistrées permettant effectivement de retracer le travail courant du salarié. Mais ce logiciel peut être aisément piraté facilitant la récupération de, notamment, tous les identifiants et mots de passe utilisés sur le poste de travail.
Finalement, l’organisme doit mesurer les risques d’installer de tels dispositifs car, d’une part, la surveillance abusive des salariés est sanctionnée légalement [7] mais, d’autre part, un pirate peut facilement s’en servir pour espionner le travail produit par le salarié.
En outre, la connexion d’un support amovible personnel non sécurisé sur le poste de travail professionnel représente une faille de sécurité majeure [8] .
Dès lors, il est recommandé que l’organisme interdise strictement l’usage de supports amovibles personnels sur les postes contenant des informations considérées comme sensibles par l’organisme et mette à disposition de ses salariés des supports de stockage dédiés au strict usage professionnel. Une sensibilisation du personnel sur les risques de fuite d’informations sensibles, autant pour l’organisme que pour le salarié susceptible d’être licencié [9], doit accompagner ces règles de sécurité.

La protection de la vie privée reste un droit inaliénable de l’individu qui s’exerce et doit continuer à s’exercer, en partie et raisonnablement, dans le monde professionnel afin de préserver la sphère privée et l’identité même de chaque individu. Toutefois, face aux intérêts économiques et stratégiques des entreprises, le droit se doit également de protéger le patrimoine informationnel de chaque entité morale et d’intégrer des obligations de sécurité informatique.

Face à la perte d'informations de l'organisme, la responsabilité peut-elle être partagée entre le salarié négligeant et l’employeur n’ayant pas assez sécurisé ses postes de travail? 




[1] Rapport de Symantec : 2011Cost of Data Breach Study : France

[2] L’article 9 du code civil dispose que « Chacun a droit au respect de sa vie privée ».

[3]L’article L1121-1 du code du travail dispose que «  Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

[4] Les keyloggers  sont des dispositifs logiciels de surveillance, parfois téléchargeables gratuitement sur le web, qui se lancent automatiquement à chaque démarrage de la session de l’utilisateur, à son insu.

[5] Cass., ch.soc.12 février 2013, Mme X. c.PBS

[6] Règle 4 du guide d’hygiène informatique publié par l’ANSSI : « Limiter le nombre d’accès Internet de l’entreprise au strict nécessaire : Il convient de connaître précisément les points d’accès à Internet (box ADSL, etc.) et les interconnexions avec des réseaux partenaires et de les limiter au strict nécessaire de manière à pouvoir plus facilement centraliser et rendre homogène la surveillance des échanges ».

[7] La loi d’orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 punit de 5ans d’emprisonnement et de 300000 euros d’amende l’utilisation, mais aussi la vente, de certains dispositifs de captation de données informatiques à l’insu des personnes concernées.

[8] Règle 5 du guide d’hygiène informatique publié par l’ANSSI : « Interdire la connexion d’équipements personnels au système d’information de l’organisme ».


[9] Cass., ch.soc.12 février 2013, Mme X. c.PBS

Aucun commentaire:

Enregistrer un commentaire