Cadre juridique des administrateurs réseaux. Les administrateurs réseaux assurent le fonctionnement normal et la sécurité du système informatique de leur employeur.
Ils sont susceptibles d’avoir accès, dans l’exercice de cette mission, à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.). L’accès par les administrateurs aux données enregistrées par les salariés dans le système d’information est justifié par le bon fonctionnement dudit système, dès lors qu’aucun autre moyen moins intrusif ne peut être mis en place.
Ils doivent dès lors s’abstenir de toute divulgation d’informations qu’ils auraient été amenés à connaître dans le cadre de l’exercice de leur mission, et en particulier les informations relevant de la vie privée des employés ou couvertes par le secret des correspondances, dès lors qu’elles ne remettent pas en cause le fonctionnement technique ou la sécurité des applications, ou encore l’intérêt de l’employeur. Administrateurs de réseaux : entre sécurité informatique et protection des salariés.
L'administrateur de réseaux a en charge la mise en place, la maintenance et la sécurité des systèmes d'information de l'entreprise.
Il cherche notamment à éviter les risques d'intrusions ou de virus, à prévenir les fuites de savoir-faire ou de fichiers clients, et à s'assurer d'une utilisation normale par les salariés des systèmes informatiques de l'entreprise. Lorsqu'il ne prend pas les mesures nécessaires à cette mission, il risque de manquer aux obligations définies dans son contrat de travail et d'engager sa responsabilité civile et pénale, tout comme celle de l'entreprise. Pour assurer cette sécurité, il est tenu de surveiller l'usage que font les salariés de la messagerie et de l'accès à internet mis à disposition par l'entreprise. Or, cette surveillance, autrement appelée "cybersurveillance", peut également dans certains cas engager sa responsabilité.
LES ASPECTS JURIDIQUES DU METIER D’ASR « Guide de Bonnes Pratiques pour les Administrateurs Systèmes et Réseaux. Ce chapitre rédigé par le groupe de travail GBP a été réalisé à partir de diverses formations et conférences juridiques données par Maître BARBRY du cabinet Bensoussan [22].
Référentiel légal du métier d’ASR Il n’existe pas de référentiel légal concernant le métier d’ASR. Autrement dit, le terme d’« Administrateur Systèmes et Réseaux » n’apparaît dans aucune loi, décret ou texte réglementaire, contrairement au Correspondant Informatique et Liberté (CIL), dont la fonction et les responsabilités sont bien définies dans un cadre légal. Deux points sont tout de même à noter. Tout d’abord, l’arrêté du 18 juillet 2010 relatif au secret défense [23] parle de l’administrateur dans sa fonction « sécurité » : on commence donc à lui attribuer un statut juridique dans un cadre particulier. La jurisprudence nous apporte également quelques précisions sur le régime juridique des ASR. La société ORANGE sanctionnée pour défaut de sécurité des données dans le cadre de campagnes marketing. En avril 2014, la société ORANGE a notifié à la CNIL une violation de données personnelles, liée à une défaillance technique de l'un de ses prestataires, ayant concerné les données de près de 1,3 million de clients dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile.
La CNIL a alors procédé à des contrôles auprès de la société et des sous-traitants intervenant dans le cadre de ses campagnes d'emailing promotionnel. La délégation de contrôle a constaté que les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés. TF1, Sony et Morgan Stanley : qu’est-ce que le vol de données ? Par Yaël Cohen-Hadria, Avocate. Une actualité 2014 qui ne semble pas ralentir en 2015… D’une part TF1 a été victime de pirates informatiques, Linker Squad, qui auraient volé des données à caractère personnel de près de 2 millions d’abonnés à TF1.
Il s’agirait a minima de noms, prénoms, coordonnées mais probablement aussi de données bancaires voir de profils d’accès aux abonnements presse du groupe TF1. D’autre part le piratage des bases de données de Sony Pictures Entertainment a également été dévoilé à la fin du mois d’octobre 2014, concernant près de 50 000 employés de Sony et leurs données personnelles (identité, coordonnées, fichiers confidentiels et correspondance privée dévoilée).Autre exemple, aux Etats-Unis, la banque Morgan Stanley a été victime d’un vol de données concernant près de 350 000 clients et certaines données auraient même été publiées sur le net.
Cahier d'un administrateur réseaux. L’administrateur réseau a le pouvoir de lire les messages personnels. La Cour de Cassation, dans un arrêt du 17 juin 2009 rappelle qu’un administrateur de réseau, qui est tenu par une clause de confidentialité, a la possibilité d’accéder aux messages personnels des salariés dans le cadre de sa mission de sécurité du réseau informatique.
La jurisprudence a eu l’occasion de rappeler à plusieurs reprises que la protection de la vie privée des salariés interdit aux employeurs d’ouvrir les messages qualifiés de personnel sauf risque ou événement particulier (Cf. Cass. Soc. 2 oct. 2001, Bull. civ. V, n° 291). Il appartient en effet au salarié d’identifier les messages personnels par une mention explicite car à défaut d’une telle mention, ceux-ci seront présumés professionnels et pourront être librement consultés par l’employeur.
CNIL - Accueil - Commission nationale de l'informatique et des libertés.