Cadre juridique des administrateurs réseaux Les administrateurs réseaux assurent le fonctionnement normal et la sécurité du système informatique de leur employeur. Ils sont susceptibles d’avoir accès, dans l’exercice de cette mission, à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.). L’accès par les administrateurs aux données enregistrées par les salariés dans le système d’information est justifié par le bon fonctionnement dudit système, dès lors qu’aucun autre moyen moins intrusif ne peut être mis en place. Ils doivent dès lors s’abstenir de toute divulgation d’informations qu’ils auraient été amenés à connaître dans le cadre de l’exercice de leur mission, et en particulier les informations relevant de la vie privée des employés ou couvertes par le secret des correspondances, dès lors qu’elles ne remettent pas en cause le fonctionnement technique ou la sécurité des applications, ou encore l’intérêt de l’employeur.
La vengeance de l’informaticien vengeur Des nouvelles de Terry Childs, l’ingénieur informaticien brimé par sa hiérarchie qui, pour se venger, avait chiffré une grande partie des données de la ville de San Francisco. En oubliant bien entendu de confier la clef à son successeur. Le SF Chronicle, dans un très court papier, nous apprend que les conséquences de cet acte coûteront à la ville près de 1 million de dollars. Un chiffre astronomique, qui mérite une lecture attentive. En fait, les conséquences du hack de Childs se chiffreraient à moins de 15 000 dollars de surcroît de travail et 182 000 dollars pour corriger la situation. Le million de dollars, quant à lui, représente le montant nécessaire à la refonte du système informatique ( consultants and upgrades to the network). Mais ce n’est pas tout… derrière cette manchette tapageuse se déroule un mini drame moins spectaculaire et certainement plus inquiétant. Pendant ce temps, Terry Childs attend d’être jugé.
Téléchargement illégal : l’administrateur du site mania.fr condamné Le Tribunal correctionnel de Saintes a condamné le 4 octobre dernier l’administrateur de la plateforme de téléchargement mania.fr à six mois de prison avec sursis et à verser 171 000 euros de dommages et intérêts à plusieurs grandes entreprises du cinéma représentées par l’ALPA (l’association de lutte contre la piraterie audiovisuelle) ainsi que 5 000 euros à la Fédération nationale des distributeurs de films et au Syndicat de l’édition numérique. Entre 2008 et 2011, l’administrateur du site mania. fr avait, sans autorisation, proposé sur sa plateforme de téléchargement plus de 2.000 films, vidéos et documentaires. Si l’infraction pénale n’a pas été contestée par le prévenu, ce dernier se réserve la possibilité de faire appel des condamnations civiles. L’administrateur de mania.fr âgé seulement de 24 ans aurait également déclaré selon les propos recueillis par Le Parisien « les millions de gens qui en ont profité ne sont pas là aujourd’hui. Je me trouve seul ».
Jurisprudences | Cour d’appel de Paris, 11ème chambre, Arrêt du 17 décembre 2001 lundi 17 décembre 2001 Cour d’appel de Paris, 11ème chambre, Arrêt du 17 décembre 2001 Françoise V., Marc F. et Hans H. / ministère public, Tareg Al B. courrier électronique - correspondance privée - sécurité du réseau Jugement du 2 novembre 2000 La procédure La prévention Suivant ordonnance de l’un des juges d’instruction près le tribunal de grande instance de Paris du 14 mars 2000, ont été renvoyés devant ledit tribunal, Hans H. pour avoir à Paris, en tout cas sur le territoire national, courant 1996 et 1997, en tout cas depuis temps non couvert par la prescription, en ayant la qualité de personne chargée d’une mission de service public, agissant dans l’exercice de cette mission, ordonné et facilité, hors le cas prévu par la loi, le détournement, la suppression ou l’ouverture des correspondances ou la révélation du contenu de ces correspondances, en l’espèce des messages à caractère privé de la messagerie électronique de Tareg A. Le jugement Le tribunal, par jugement contradictoire, Les faits
Faille de sécurité : avertissement public de la Cnil Faille de sécurité. La société DHL Express France vient de faire l’objet d’un avertissement public prononcé par la formation restreinte de la Cnil, le 12 juin dernier, sur deux manquements importants à la loi Informatique, fichiers et libertés. D’une part, un manquement à l’obligation d’assurer la confidentialité et la sécurité des données (art. 34 de la loi informatique et libertés) et d’autre part, un manquement à l’obligation de définir une durée de conservation des données traitées, proportionnée à la finalité du traitement (art. 6-5° de la loi informatique et libertés). Dans cette affaire, la Cnil avait été alertée suite à une faille affectant directement la sécurité des données collectées par DHL et comportant les demandes de « relivraison » des colis. Laure Landes-Gronowski Pauline Binelli-WaintropLexing Droit Informatique et libertés
L'arrêt NIKON : messagerie électronique et vie privée du salarié Mots-clés : Arrêt Nikon, vie privé du salarié, utilisation de la messagerie électronique Date : La chambre sociale de la Cour de cassation s'est prononcée le 2 octobre 2001 sur la délicate question de l'utilisation des outils informatiques, et notamment du courrier électronique, par les salariés à des fins non professionnelles. La Cour de cassation a, dans un attendu de principe particulièrement ferme, jugé que " le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée " laquelle " implique en particulier le secret des correspondances ", et en a déduit que " l'employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur ". Son intérêt est capital. Alexis Baumann Avocat à la Cour
Messagerie électronique au bureau : ne pas confondre « perso » et « personnel » Depuis un arrêt célèbre (Arrêt Nikon du 2 octobre 2001) les tribunaux reconnaissent au salarié un droit d’usage personnel de l’outil informatique mis à sa disposition par son employeur. Ce droit est encadré de différentes manières et peut schématiquement se résumer ainsi : Tous les messages adressés ou reçus par le salarié dans sa boite aux lettres électronique sont présumés professionnels, sauf s’ils sont identifiés comme personnels. L’employeur ne peut pas avoir accès aux messages personnels, mais le salarié ne doit pas abuser du droit qui lui est reconnu, notamment en apposant systématiquement la mention « personnel » sur tous les messages qu’il émet. L’administrateur du système (c’est-à-dire l’informaticien chargé d’assurer son bon fonctionnement), peut prendre connaissance librement de tous les messages, mais ne peut en révéler le contenu à l’employeur, lorsqu’ils présentent un caractère personnel. La Cour de Paris confirme ce jugement.
Informatique et libertés : l'accès aux messages personnels des salariés très encadré Le respect de la vie privé : un droit supérieur à protéger Les problématiques liées à l’utilisation de l’outil informatique au bureau – par nature, un outil professionnel -, à des fins personnelles, ont pris de nombreuses configurations. Dénigrement des supérieurs par e-mail, consultation de site internet sans rapport avec l’activité professionnelle, utilisation d’une boîte mail professionnelle à des fins personnelles, entre autres, la liste est longue et va certainement encore s’allonger. En ce qui concerne l’accès aux messages personnels des salariés, les juges ont posé la règle suivante : « le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ». Toutefois, les juges sont venus atténuer cette solution très défavorable aux employeurs. Il résulte de ces arrêts que l’employeur peut toujours consulter les e-mails reçus ou adressés sur une boîte professionnelle qui ont un caractère professionnel.
La méconnaissance de la Charte informatique constitue une faute grave (Cass soc 5 juillet 2011 n°10-14.685) Bref rappel : l’employeur a la faculté de mettre en place une Charte d'utilisation du matériel informatique. L’intérêt de rédiger une telle charte est en effet de permettre de fixer des règles d'utilisation de l’outil informatique (opérations interdites, règles de confidentialité etc..), d’informer le salarié concernant la mise en place éventuelle de moyens de surveillance de leur activité professionnelle, de prévenir des pratiques illégales voire illicites etc.. Si le défaut de mise en garde sur l'utilisation répréhensible des outils informatiques dans le Règlement Intérieur ou la Charte informatique n'interdit pas de retenir en cas de licenciement la faute grave (Cass. soc., 16 mai 2007, no 05-43.455, Eve c/ Sté Info Mag), a contrario l’existence d’une telle Charte permet à l’employeur de la caractériser plus aisément. Or l’enjeu est de taille. C’est l’illustration de l’arrêt commenté.
L’administrateur réseau a le pouvoir de lire les messages personnels La Cour de Cassation, dans un arrêt du 17 juin 2009 rappelle qu’un administrateur de réseau, qui est tenu par une clause de confidentialité, a la possibilité d’accéder aux messages personnels des salariés dans le cadre de sa mission de sécurité du réseau informatique. La jurisprudence a eu l’occasion de rappeler à plusieurs reprises que la protection de la vie privée des salariés interdit aux employeurs d’ouvrir les messages qualifiés de personnel sauf risque ou événement particulier (Cf. Cass. Soc. 2 oct. 2001, Bull. civ. V, n° 291). Il appartient en effet au salarié d’identifier les messages personnels par une mention explicite car à défaut d’une telle mention, ceux-ci seront présumés professionnels et pourront être librement consultés par l’employeur. La Haute Cour vient préciser ici une distinction à opérer entre les pouvoirs de l’employeur dans ce domaine et ceux de l’administrateur réseau. S’appuyant sur l’article L.2313-2 du Code du travail qui dispose que :
Peut-on accéder à l’ordinateur d’un salarié en vacances ? Un administrateur réseau a-t-il le droit de communiquer à son employeur la liste des identifiants/mots de passe de ses employés ? NON. Même si les fichiers contenus dans un ordinateur ont un caractère professionnel, et peuvent à ce titre être consultés par l'employeur, un administrateur réseau ne doit pas communiquer de manière systématique l’ensemble des identifiants et des mots de passe des salariés de l’entreprise. Les mots de passes sont personnels et permettent de savoir ce qu’un utilisateur donné à pu faire sur le réseau de l’entreprise. Le fait d'utiliser le mot de passe de quelqu'un d'autre peut être préjudiciable au salarié. Toutefois, les tribunaux considèrent que la communication du mot de passe d’un salarié à son employeur est possible dans certains cas particuliers. Dans quels cas particuliers un employeur peut-il obtenir le mot de passe d'un salarié ? L’employeur peut-il consulter l'intégralité du contenu d'un poste de travail? Comment mettre en place des règles ?
BREVES | Tefal : un administrateur réseau condamné pour fraude informatique mercredi 9 décembre 2015 Le tribunal correctionnel d’Annecy n’a pas reconnu le statut de lanceur d’alerte à une inspectrice du travail et à un administrateur réseau de Tefal auxquels la direction de la société reprochait d’être à l’origine de la publication de documents sur de futurs licenciements. Au contraire, par un jugement du 4 décembre 2015, le tribunal condamne le salarié pour accès et maintien frauduleux à un traitement automatisé de données, atteinte au secret des correspondances électroniques et l’inspectrice du travail pour recel de correspondances et violation du secret professionnel. L’administrateur réseau en charge de différents comptes, en conflit avec son employeur sur le paiement d’heures supplémentaires, découvre par hasard un document dans lequel il apparaît que la société veut le licencier en utilisant des moyens déloyaux.
RSSI : 10 erreurs de sécurité à éviter absolument Systèmes critiques de l'entreprise qui s'effondrent, mauvaise prise en compte d'un événement de sécurité crucial : ces dérapages peuvent compromettre sérieusement la carrière d'un responsable de la sécurité. Il est encore très rare que des responsables de la sécurité informatique se fassent renvoyer pour faute professionnelle, mais certaines situations peuvent incontestablement les pousser plus près de la sortie. Faire confiance à ses compétences, appliquer les directives de l’entreprise, et se concentrer sur l'essentiel permet, selon certains, de s’assurer une longue carrière dans la sécurité informatique. Erreur n° 1 : Mettre à mal les fonctions critiques de l'entreprise Conseil : savoir ce qui est essentiel pour l’entreprise et ne jamais interrompre les process, sauf si l’absence de réaction peut entraîner des dommages plus importants. Erreur n° 2 : Éviter de compliquer la vie du CEO Erreur n° 3 : Ignorer un événement de sécurité critique Erreur n° 8 : Laisser des brèches « ANY ANY »