La
difficulté principale de toute réglementation réside dans l’équilibre entre
l’acceptation et l’application des règles par les destinataires de la
réglementation et les sanctions en cas de violation des règles.
Une bonne
réglementation est une réglementation qui est effectivement appliquée et qui
sanctionne réellement son non-respect. L’absence de sanction n’incite pas à
l’application car rien n’y contraint tandis que l’existence de sanctions peut
être rendue inefficace par crainte justement de la sanction.
Quelles
solutions peuvent-elles être envisagées ?
Un code de
bonnes pratiques relatif à l’utilisation des caméras de surveillance par les
autorités locales et les forces de police vient d’être mis en œuvre en
Angleterre et au Pays de Galles le 12 août dernier [1].
Ce code de bonnes pratiques met l’accent sur le fait que les caméras doivent
être uniquement utilisées dans la poursuite d’un but légitime et en cas de besoin
urgent. Cette précision apparaît explicitement afin de rassurer les citoyens
que ce dispositif est uniquement installé pour leur sécurité et non pour les
espionner.
Ce code a
été introduit suite à la publication du « Protection of
Freedoms Act 2012 » qui a
également créé le poste de commissaire
des caméras de surveillance et restreint l’accès aux informations et la rétention des
informations.
Il est
intéressant de noter que cette initiative vient renforcer un premier acte
normatif contraignant pour rassurer les individus même si aucune sanction n’est
prévue en cas de violation de ce code de bonnes pratiques.
Cette
initiative fait doublement écho à la réglementation française. D’une part,
cette dernière a également autorisé les
systèmes de vidéosurveillance
tant publics que privés avec la loi Informatique et Libertés de 1978 [2].
Depuis la loi LOPPSI 2 [3], ils sont regroupés sous
l'expression de vidéo-protection. L’installation
de caméras de vidéo-protection doit faire l'objet d'une autorisation préalable
et est limitée par un cadre juridique [4]
qui garantit notamment un droit d'information, d'accès et de recours aux
particuliers.
D’autre
part, une charte relative aux conditions de mise en œuvre des dispositifs de
vidéo-protection a, également été signée le 5 avril 2013 entre la CNIL et la
SNCF concernant les dispositifs déployés dans les gares, les boutiques SNCF et
les trains de la vie quotidienne (TER, RER et tramways) [5].
Afin de vérifier le respect des engagements de la charte, la SNCF va systématiser
la réalisation d'audits réguliers dont les résultats et les préconisations
seront communiqués à la CNIL à l'occasion d'un rendez-vous annuel.
Le constat
est donc similaire de part et d’autre de la Manche, la législation
contraignante se voit accompagnée de chartes de bonnes pratiques dans le but de
tranquilliser les concitoyens mais sans pour autant assurer l’efficacité de
tels documents.
De la « marteauthérapie »
à la « calinothérapie » ?
Les chartes ont
pour objectif de rajouter une couche réglementaire à des sujets déjà
réglementés mais dont la dimension contraignante n’est pas satisfaisante.
Les chartes sont initialement associées à l’énoncé de grands principes de bonne
conduite. Cet instrument de gouvernance régissant principa
lement la vie de
l’entreprise s’est développé parallèlement au règlement intérieur[6]
(obligatoire dans les entreprises de plus de 20 salariés[7])
dont le champ est légalement limité aux engagements et obligations de
l’employeur et des salariés (autrement dit : la discipline, l’hygiène et
la sécurité du travail, l’interdiction du harcèlement moral et sexuel).
La charte, souvent rattachée au règlement intérieur est donc apparue comme
un nouvel instrument du pouvoir disciplinaire complémentaire régissant des
nouvelles matières telle la sécurité informatique. L’aspect disciplinaire est
donc renforcé par la charte.
La réglementation de l’AVEC[8]en
est l’exemple illustratif par excellence. En effet, l’apparition de ce nouveau
comportement du salarié au travail a posé de nombreuses questions juridiques
quant à son encadrement. Aucune disposition légale n’existant à ce sujet en
droit positif et la jurisprudence étant encore balbutiante[9],
la solution choisie pour l’instant est l’encadrement de l’AVEC par la charte
informatique qui, rattachée au règlement intérieur, acquiert une valeur
contraignante.
Enfin, ce principe de réglementation par une charte de bonnes pratiques a
été sacralisé par le guide de l’hygiène informatique publié par l’ANSSI en
janvier 2013[10] qui
établit un socle de mesures recommandées incontournables et élémentaires en
matière de SSI. Ici, il s’agit bien d’enfoncer le clou sans contraindre mais
surtout face à la réticence des organismes et à leurs réactions épidermiques
d’éventuelles sanctions concrètes en matière de sécurité informatique, de
réglementer par « calinothérapie ».
Au
final, l’utilité des chartes s’exprime par le fait qu’elles sont des
instruments juridiques souples et à disposition de tous permettant de
réglementer de nouvelles matières rapidement. Les chartes sont donc plutôt l’expression
du tâtonnement juridique face à des problématiques complètement inconnues
jusqu’alors. Pour ne pas rester désarmé face au vide juridique et pour être plus
rapide que l’adoption de tout un nouvel corpus juridique, le droit doit
s’adapter et essayer d’évoluer à la même vitesse que les nouvelles
technologies. Les chartes sont donc une des caractéristiques de l’émergence d’un
droit 2.0 qui se doit d’être rapidement consolidé afin de ne plus se contenter
de tels palliatifs juridiques.
[1]
http://www.bbc.co.uk/news/uk-23636462
[2]
Loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés
[3]
Loi
n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la
performance de la sécurité intérieure
[4] Ce cadre juridique est
principalement le titre V « Vidéoprotection » du code de la sécurité
intérieure
[5] http://www.cnil.fr/les-themes/videosurveillance/fiche-pratique/article/sncf-et-la-cnil-signent-une-charte-sur-la-video/
[6] Les dispositions relatives au
contenu et aux conditions de validité sont présentées aux articles L1321-1 à
L1321-6 du code du travail.
[7] Article L1311-2 du code du
travail
[8] AVEC ou Apportez votre
équipement personnel de communication est la traduction française du BYOD (Bring your own device).
[9] L’arrêt du 12février 2013 qui
décide qu’ « une clé USB, dès lors qu’elle est connectée à un outil informatique mis à
la disposition du salarié par l’employeur pour l’exécution du contrat de
travail, est présumée utilisée à des fins professionnelles »est un des
rares arrêts à faire référence implicitement à l’AVEC (Cass. soc., 12 février
2013, pourvoi n° 11-28649).
[10]
http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/l-anssi-publie-la-version-finalisee-du-guide-d-hygiene-informatique.html
Aucun commentaire:
Enregistrer un commentaire