dimanche 1 septembre 2013

Les chartes de bonne pratique, une réglementation alternative ?

La difficulté principale de toute réglementation réside dans l’équilibre entre l’acceptation et l’application des règles par les destinataires de la réglementation et les sanctions en cas de violation des règles.
Une bonne réglementation est une réglementation qui est effectivement appliquée et qui sanctionne réellement son non-respect. L’absence de sanction n’incite pas à l’application car rien n’y contraint tandis que l’existence de sanctions peut être rendue inefficace par crainte justement de la sanction.

Quelles solutions peuvent-elles être envisagées ?

Un code de bonnes pratiques relatif à l’utilisation des caméras de surveillance par les autorités locales et les forces de police vient d’être mis en œuvre en Angleterre et au Pays de Galles le 12 août dernier [1]. Ce code de bonnes pratiques met l’accent sur le fait que les caméras doivent être uniquement utilisées dans la poursuite d’un but légitime et en cas de besoin urgent. Cette précision apparaît explicitement afin de rassurer les citoyens que ce dispositif est uniquement installé pour leur sécurité et non pour les espionner.
Ce code a été introduit suite à la publication du «  Protection of Freedoms Act 2012 » qui a également créé le poste de commissaire des caméras de surveillance et restreint l’accès aux informations et la rétention des informations.
Il est intéressant de noter que cette initiative vient renforcer un premier acte normatif contraignant pour rassurer les individus même si aucune sanction n’est prévue en cas de violation de ce code de bonnes pratiques.
Cette initiative fait doublement écho à la réglementation française. D’une part, cette dernière a également autorisé les systèmes de vidéosurveillance tant publics que privés avec la loi Informatique et Libertés de 1978 [2]. Depuis la loi LOPPSI 2 [3], ils sont regroupés sous l'expression de vidéo-protection. L’installation de caméras de vidéo-protection doit faire l'objet d'une autorisation préalable et est limitée par un cadre juridique [4] qui garantit notamment un droit d'information, d'accès et de recours aux particuliers.
D’autre part, une charte relative aux conditions de mise en œuvre des dispositifs de vidéo-protection a, également été signée le 5 avril 2013 entre la CNIL et la SNCF concernant les dispositifs déployés dans les gares, les boutiques SNCF et les trains de la vie quotidienne (TER, RER et tramways) [5]. Afin de vérifier le respect des engagements de la charte, la SNCF va systématiser la réalisation d'audits réguliers dont les résultats et les préconisations seront communiqués à la CNIL à l'occasion d'un rendez-vous annuel.
Le constat est donc similaire de part et d’autre de la Manche, la législation contraignante se voit accompagnée de chartes de bonnes pratiques dans le but de tranquilliser les concitoyens mais sans pour autant assurer l’efficacité de tels documents. 

De la « marteauthérapie » à la « calinothérapie » ?

Les chartes ont pour objectif de rajouter une couche réglementaire à des sujets déjà réglementés mais dont la dimension contraignante n’est pas satisfaisante.
Les chartes sont initialement associées à l’énoncé de grands principes de bonne conduite. Cet instrument de gouvernance régissant principa
lement la vie de l’entreprise s’est développé parallèlement au règlement intérieur[6] (obligatoire dans les entreprises de plus de 20 salariés[7]) dont le champ est légalement limité aux engagements et obligations de l’employeur et des salariés (autrement dit : la discipline, l’hygiène et la sécurité du travail, l’interdiction du harcèlement moral et sexuel).
La charte, souvent rattachée au règlement intérieur est donc apparue comme un nouvel instrument du pouvoir disciplinaire complémentaire régissant des nouvelles matières telle la sécurité informatique. L’aspect disciplinaire est donc renforcé par la charte.
La réglementation de l’AVEC[8]en est l’exemple illustratif par excellence. En effet, l’apparition de ce nouveau comportement du salarié au travail a posé de nombreuses questions juridiques quant à son encadrement. Aucune disposition légale n’existant à ce sujet en droit positif et la jurisprudence étant encore balbutiante[9], la solution choisie pour l’instant est l’encadrement de l’AVEC par la charte informatique qui, rattachée au règlement intérieur, acquiert une valeur contraignante.
Enfin, ce principe de réglementation par une charte de bonnes pratiques a été sacralisé par le guide de l’hygiène informatique publié par l’ANSSI en janvier 2013[10] qui établit un socle de mesures recommandées incontournables et élémentaires en matière de SSI. Ici, il s’agit bien d’enfoncer le clou sans contraindre mais surtout face à la réticence des organismes et à leurs réactions épidermiques d’éventuelles sanctions concrètes en matière de sécurité informatique, de réglementer par « calinothérapie ».

Au final, l’utilité des chartes s’exprime par le fait qu’elles sont des instruments juridiques souples et à disposition de tous permettant de réglementer de nouvelles matières rapidement. Les chartes sont donc plutôt l’expression du tâtonnement juridique face à des problématiques complètement inconnues jusqu’alors. Pour ne pas rester désarmé face au vide juridique et pour être plus rapide que l’adoption de tout un nouvel corpus juridique, le droit doit s’adapter et essayer d’évoluer à la même vitesse que les nouvelles technologies. Les chartes sont donc une des caractéristiques de l’émergence d’un droit 2.0 qui se doit d’être rapidement consolidé afin de ne plus se contenter de tels palliatifs juridiques.


[1] http://www.bbc.co.uk/news/uk-23636462

[2] Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

[3] Loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure

[4] Ce cadre juridique est principalement le titre V « Vidéoprotection » du code de la sécurité intérieure

[5] http://www.cnil.fr/les-themes/videosurveillance/fiche-pratique/article/sncf-et-la-cnil-signent-une-charte-sur-la-video/

[6] Les dispositions relatives au contenu et aux conditions de validité sont présentées aux articles L1321-1 à L1321-6 du code du travail.

[7] Article L1311-2 du code du travail

[8] AVEC ou Apportez votre équipement personnel de communication est la traduction française du BYOD (Bring your own device).

[9] L’arrêt du 12février 2013 qui décide qu’ « une clé USB, dès lors qu’elle est connectée à un outil informatique mis à la disposition du salarié par l’employeur pour l’exécution du contrat de travail, est présumée utilisée à des fins professionnelles »est un des rares arrêts à faire référence implicitement à l’AVEC (Cass. soc., 12 février 2013, pourvoi n° 11-28649).


[10] http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/l-anssi-publie-la-version-finalisee-du-guide-d-hygiene-informatique.html

Aucun commentaire:

Enregistrer un commentaire