background preloader

Données personnelles

Facebook Twitter

Administrateurs réseau : quels sont vos droits en matière de cybersurveillance ? Si les réseaux sont des instruments formidables d´échanges de données au sein de l´entreprise comme à l´extérieur, ils en sont également le talon d´achille. L´explosion d´internet et sa propagation fulgurante nécessitent que l´entreprise se protège et protège ses données de toute intrusion interne comme externe. Dans ce contexte, l´administrateur réseau est devenu un acteur incontournable de la sécurité de l´entreprise, et parfois même son garant. Mais son rôle est difficile. Il est au centre d´intérêts divergents et parfois contradictoires. D´un côté il doit obéir aux directives de sa direction générale, de l´autre il doit respecter la législation protectrice des salariés et des libertés individuelles applicable au sein de l´entreprise. I - un texte fondamental II - des juridictions soucieuses de la protection des libertés fondamentales III - les solutions Toutefois son contrôle doit rester global et porter sur des flux d´informations.

En conclusion... L’administrateur réseau a le pouvoir de lire les messages personnels. La Cour de Cassation, dans un arrêt du 17 juin 2009 rappelle qu’un administrateur de réseau, qui est tenu par une clause de confidentialité, a la possibilité d’accéder aux messages personnels des salariés dans le cadre de sa mission de sécurité du réseau informatique. La jurisprudence a eu l’occasion de rappeler à plusieurs reprises que la protection de la vie privée des salariés interdit aux employeurs d’ouvrir les messages qualifiés de personnel sauf risque ou événement particulier (Cf. Cass. Soc. 2 oct. 2001, Bull. civ. V, n° 291). Il appartient en effet au salarié d’identifier les messages personnels par une mention explicite car à défaut d’une telle mention, ceux-ci seront présumés professionnels et pourront être librement consultés par l’employeur.

La Haute Cour vient préciser ici une distinction à opérer entre les pouvoirs de l’employeur dans ce domaine et ceux de l’administrateur réseau. S’appuyant sur l’article L.2313-2 du Code du travail qui dispose que : Administrateurs de réseaux : entre sécurité informatique et protection des salariés. L'administrateur de réseaux a en charge la mise en place, la maintenance et la sécurité des systèmes d'information de l'entreprise. Il cherche notamment à éviter les risques d'intrusions ou de virus, à prévenir les fuites de savoir-faire ou de fichiers clients, et à s'assurer d'une utilisation normale par les salariés des systèmes informatiques de l'entreprise. Lorsqu'il ne prend pas les mesures nécessaires à cette mission, il risque de manquer aux obligations définies dans son contrat de travail et d'engager sa responsabilité civile et pénale, tout comme celle de l'entreprise.

Pour assurer cette sécurité, il est tenu de surveiller l'usage que font les salariés de la messagerie et de l'accès à internet mis à disposition par l'entreprise. Or, cette surveillance, autrement appelée "cybersurveillance", peut également dans certains cas engager sa responsabilité. En quelques années, le rôle et la responsabilité de l'administrateur de réseaux ont été largement précisés. Le secret professionnel de l'Administrateur Système. Le secret professionnel de l'Administrateur Système I - Evolution de la mission de l'Administrateur Système La situation de l'Administrateur de Système informatique (A.S.)1 a considérablement évolué depuis qu'il a été admis le 19 mai 2004 par la Cour de Cassation qu'il puisse prendre connaissance de contenus, y compris courriers, stockés sur le réseau dont il a la charge2.

Ne lui incombait auparavant qu'une tâche de surveillance technique du bon fonctionnement et de l'amélioration de ce réseau. Cependant, cette dernière jurisprudence restaure un équilibre entre le respect de la vie privée du salarié sur son lieu de travail, instauré en 2001 par la jurisprudence "Nikon"3, et la notion de détournement d'usage des équipements mis à sa disposition.

Or il s'avère que l'A.S. est concrètement le mieux placé pour avoir connaissance de dysfonctionnements dont un réseau peut devenir non seulement la cible mais aussi l'outil. Toutefois, l' A.S. n'est ni policier, ni juriste. IV - Une charte collective. Les e-mails, une valeur juridique à ne pas négliger. À l’heure où l’envoi et la réception d’e-mails rythment la journée de nombreux salariés, les messages électroniques sont devenus une source intarissable de preuves pour toute action en justice.

Autrefois considérés comme peu fiables, ils sont aujourd’hui utilisés pour la signature de contrats par le biais d’un certificat qui permet de sécuriser les échanges. Pendant longtemps, on a entendu que les e-mails n’avaient pas de valeur juridique et ne pouvaient en aucun cas constituer une preuve dans le cadre d’une procédure judiciaire. Pour autant depuis plusieurs années, “il est très fréquent d’avoir recours aux e-mails comme preuve”, assure Sylvain Champloix, avocat spécialisé dans le droit des affaires, le droit des nouvelles technologies et également correspondant informatique et libertés (CIL).

La preuve par l’e-mailNon seulement il s’agit d’une preuve, mais l’e-mail est également un élément difficile à remettre en cause. La Commission européenne légifère sur la protection des données personnelles. Données personnelles et obligation de sécurité | Internet responsable. Les données personnelles sont des données sensibles par nature. Il appartient donc à celui qui met en œuvre un traitement de données à caractère personnel d’assurer la sécurité de ce traitement et des informations qu’il comporte. Présentation Mais quel que soit le degré de sensibilité de ces données, la loi « Informatique et libertés » impose à toute personne qui met en œuvre un traitement de données à caractère personnel d’assurer un niveau de sécurité « adapté » à ces données.

En matière de sécurité des données, on peut se poser cinq questions. Qu’entend-on par sécurité ? Cette obligation de sécurité est liée à l’article 34 de la loi Informatique et libertés qui précise que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » Illustration. Cybersurveillance - La méconnaissance de la Charte informatique constitue une faute grave (Cass soc 5 juillet 2011 n°10-14.685) Bref rappel : l’employeur a la faculté de mettre en place une Charte d'utilisation du matériel informatique. L’intérêt de rédiger une telle charte est en effet de permettre de fixer des règles d'utilisation de l’outil informatique (opérations interdites, règles de confidentialité etc..), d’informer le salarié concernant la mise en place éventuelle de moyens de surveillance de leur activité professionnelle, de prévenir des pratiques illégales voire illicites etc..

Si le défaut de mise en garde sur l'utilisation répréhensible des outils informatiques dans le Règlement Intérieur ou la Charte informatique n'interdit pas de retenir en cas de licenciement la faute grave (Cass. soc., 16 mai 2007, no 05-43.455, Eve c/ Sté Info Mag), a contrario l’existence d’une telle Charte permet à l’employeur de la caractériser plus aisément. Or l’enjeu est de taille. C’est l’illustration de l’arrêt commenté. L'adresse IP est-elle une donnée personnelle ? 1. – C’est un excellent cas pratique ! Excellent car la question posée est piégée, minée, mystifiée. En droit, on recourt à un adage qui préfixe toute consultation juridique : donnez-moi les faits et je vous dirai le droit. Stigmate de l’impossibilité – ou sinon de extrême difficulté – pour le juriste de dire le droit a priori, sans connaître précisément les faits.

Et c’est tout le problème de la question de savoir si une adresse IP est une donnée personnelle : l’énoncé de la question ne comporte pas les faits. L’énoncé comporte l’illusion d’expliciter les faits, mais pas les faits eux-mêmes et en particulier pas le contexte dans lequel la question est posée. La question de savoir si l’adresse IP est une donnée personnelle recouvre des situations d’une extrême diversité, qui sont, chacune, susceptibles d’être qualifiées juridiquement de manière diamétralement opposée en fonction du contexte. Cas 1 : les logs d’un serveur web (Apache) Raisonnement.

Reprenons l’article 2 de la loi : Veille-juridique-administrateur-systc3a8me-et-rc3a9seau.pdf. Protection des données personnelles des consommateurs. La protection juridique des bases de données illustrée par les dernières jurisprudences. Les bases de données sont protégées juridiquement et sauf exception, l’extraction de contenus, même librement accessibles, sur Internet par exemple, n’est pas autorisée et peut coûter très cher... Les bases de données bénéficient de deux régimes de protection juridique indépendants l'un de l'autre : la protection par le droit d'auteur et la protection par le droit des producteurs (ou droit sui generis).

La protection n'est cependant pas acquise automatiquement, comme nous allons le rappeler ci-après. Quatre décisions rendues entre décembre 2009 et avril 2010 viennent illustrer l'application de ces règles par les tribunaux. L'importance des condamnations (de 90 000 à 3,8 millions d'euros de dommages et intérêts) démontre l'importance accordée par les juges à la réparation de l'atteinte aux ayants droit. 1. 1.1 La protection par le droit d'auteur Pour prétendre à la protection par le droit d'auteur, la base de données doit cependant constituer une véritable création intellectuelle originale.