Jeudi 7 juin 2018
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

MANAGEMENT

Administrateurs réseau : quels sont vos droits en matière de cybersurveillance ?

Imprimer Envoyer à un ami Contacter la rédaction
Par Anne-Sophie Poggi le 29/01/2003 - indexel.net
 

Quelle est la marge de manoeuvre d´un administrateur réseau lorsqu´il détecte des fichiers non professionnels au sein de l´entreprise ? Quels sont ses droits ? Quelles sont ses responsabilités ? Le point avec Anne-Sophie Poggi, avocate associée au sein du cabinet Derriennic et Associés.

 

Si les réseaux sont des instruments formidables d´échanges de données au sein de l´entreprise comme à l´extérieur, ils en sont également le talon d´achille. L´explosion d´internet et sa propagation fulgurante nécessitent que l´entreprise se protège et protège ses données de toute intrusion interne comme externe. Dans ce contexte, l´administrateur réseau est devenu un acteur incontournable de la sécurité de l´entreprise, et parfois même son garant. Mais son rôle est difficile. Il est au centre d´intérêts divergents et parfois contradictoires. D´un côté il doit obéir aux directives de sa direction générale, de l´autre il doit respecter la législation protectrice des salariés et des libertés individuelles applicable au sein de l´entreprise.

Aussi doit-on légitimement se poser la question de sa marge de manoeuvre lorsqu´il détecte la présence de fichiers et de programmes non professionnels (de type sniffers ou autres) indésirables sur le(s) serveur(s) de l´entreprise ou les postes de travail du personnel.

I - un texte fondamental

En préalable à toute tentative de réponse, rappelons l´existence d´un article fondamental du code du travail qui dispose que "nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives, de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché " (L120-2 du code du travail).

II - des juridictions soucieuses de la protection des libertés fondamentales

Le principe retenu par la Cour d´Appel de Paris, dans une décision régulièrement citée, est que le soupçon d´un risque informatique ne saurait prévaloir contre un attribut de la vie privée dont la protection est garantie par la loi. Aussi la Cour condamne-t-elle les administrateurs du site pour s´être introduit dans la boîte électronique d´un étudiant contre lequel ils entretenaient de forts soupçons d´indélicatesse (CA Paris, 11ème ch., sect. A, 17 décembre 2001). Toutefois le même arrêt énonce que l´accès au contenu est de droit pour les administrateurs de réseaux... sans pouvoir le divulguer.

Cette décision est dans la logique de l´arrêt Nikon (ou Onof) de la Chambre Sociale de la Cour de Cassation du 2 octobre 2001 conférant aux courriers électroniques le statut de correspondance privée. Plus généralement à la question de savoir si l´employeur peut accéder à quelque chose de personnel appartenant à son salarié, la réponse de la Chambre Sociale est "en principe non " (Cf. Ch. Sociale de la Cour de Cassation avril 2001).

C´est dire toute l´ambiguïté de la position de l´administrateur réseaux qui est la "main ouvrière " de sa direction mais qui peut voir sa responsabilité personnelle mise en cause en s´introduisant dans des espaces privatifs.

III - les solutions

Les solutions semblent venir du dernier rapport publié par la CNIL le 5 février 2002 intitulé "La cybersurveillance sur les lieux de travail " précisant les prérogatives de l´administrateur de réseau.

Ainsi la CNIL lui reconnaît le droit de contribuer à adapter la politique de sécurité de l´entreprise afin qu´elle soit aussi active que possible face à l´évolution des risques et à sélectionner parmi les solutions existantes celles les plus efficaces.
Dans le cadre de ses fonctions il peut accéder à des informations concernant les utilisateurs : volume et tailles des messages échangés, format de pièces jointes... fichiers enregistrés sur le disque dur.

Toutefois son contrôle doit rester global et porter sur des flux d´informations.

Un contrôle individualisé reste possible (sous réserve du respect du double principe de proportionnalité et d´information préalable) mais la mise en place d´un tel dispositif est subordonné à l´aval de la CNIL car il s´agit alors d´un traitement automatisé d´informations nominatives.

Par ailleurs, la CNIL rappelle que les modalités d´un tel contrôle individualisé doit faire l´objet d´une consultation du Comité d´entreprise conformément à l´article L432-2 du code du travail.

En tout état de cause, l´administrateur de réseaux est soumis au "secret professionnel " et ne peut divulguer des informations dont il aurait connaissance dès lors qu´elle ne mettent pas en cause l´intérêt de l´entreprise, son bon fonctionnement ou sa sécurité.

En conclusion...

L´administrateur réseaux ne peut pas être le fer de lance de sa direction. Une négociation et une concertation de tous les acteurs est indispensable (direction, représentant du personnel et informaticiens). Cette démarche s´inscrit dans la logique de la mise en place d´une "charte informatique " au sein de l´entreprise (lire notre article "Une charte pour la mobilité"). Les solutions retenues devront y figurer en bonne place afin que chacun soit informé et adhère aux moyens préventifs et répressifs mis en place pour protéger les intérêts de l´entreprise.

L´entreprise peut également réfléchir à l´intérêt de se doter d´un "délégué à la protection des données et à l´usage des nouvelles technologies ", fonction créée par la CNIL. Il est une sorte de facilitateur ou d´arbitre pour la résolution des conflits pouvant naître entre l´employeur et l´employé sur la préservation des droits fondamentaux.

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages