L’administrateur réseau a le pouvoir de lire les messages personnels La Cour de Cassation, dans un arrêt du 17 juin 2009 rappelle qu’un administrateur de réseau, qui est tenu par une clause de confidentialité, a la possibilité d’accéder aux messages personnels des salariés dans le cadre de sa mission de sécurité du réseau informatique. La jurisprudence a eu l’occasion de rappeler à plusieurs reprises que la protection de la vie privée des salariés interdit aux employeurs d’ouvrir les messages qualifiés de personnel sauf risque ou événement particulier (Cf. Cass. Soc. 2 oct. 2001, Bull. civ. V, n° 291). Il appartient en effet au salarié d’identifier les messages personnels par une mention explicite car à défaut d’une telle mention, ceux-ci seront présumés professionnels et pourront être librement consultés par l’employeur. La Haute Cour vient préciser ici une distinction à opérer entre les pouvoirs de l’employeur dans ce domaine et ceux de l’administrateur réseau. S’appuyant sur l’article L.2313-2 du Code du travail qui dispose que :
10 conseils pour la sécurité de votre système d’information (Florian MACCIO) 1. Adopter une politique de mot de passe rigoureuse L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). 2. L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » (compta1, compta2…), afin de pouvoir éventuellement être capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants. 3. 4. 5. 6. Un système d’information doit être sécurisé vis-à-vis des attaques extérieures. 7. 8. 9. 10.
Les obligations de l'employeur Dernière mise à jour le 13 mars 2014 Synthèse En matière de formation professionnelle, deux obligations sont à la charge de l’employeur : participer à son financement, par le biais d’une contribution dont le taux varie selon la taille de l’entreprise, consulter les représentants du personnel sur la mise en œuvre de la formation dans l’entreprise. Dans certains cas, l’employeur peut en outre être dans l’obligation de former les salariés. A savoir Au-delà de ces obligations, l’employeur dispose d’une large autonomie pour définir la politique de formation de l’entreprise et mettre en place, en fonction des projets de développement de l’entreprise, un plan de formation. Sommaire Fiche détaillée Quelles obligations à l’égard des représentants du personnel ? Le défaut de consultation du CE en matière de formation professionnelle fait l’objet d’une sanction spécifique : majoration de 50 % de la participation au financement de la formation continue. Quelles obligations à l’égard des salariés ?
Administrateurs de réseaux : entre sécurité informatique et protection des salariés L'administrateur de réseaux a en charge la mise en place, la maintenance et la sécurité des systèmes d'information de l'entreprise. Il cherche notamment à éviter les risques d'intrusions ou de virus, à prévenir les fuites de savoir-faire ou de fichiers clients, et à s'assurer d'une utilisation normale par les salariés des systèmes informatiques de l'entreprise. Lorsqu'il ne prend pas les mesures nécessaires à cette mission, il risque de manquer aux obligations définies dans son contrat de travail et d'engager sa responsabilité civile et pénale, tout comme celle de l'entreprise. Pour assurer cette sécurité, il est tenu de surveiller l'usage que font les salariés de la messagerie et de l'accès à internet mis à disposition par l'entreprise. Or, cette surveillance, autrement appelée "cybersurveillance", peut également dans certains cas engager sa responsabilité. En quelques années, le rôle et la responsabilité de l'administrateur de réseaux ont été largement précisés.
Administrateurs réseau : quels sont vos droits en matière de cybersurveillance ? Si les réseaux sont des instruments formidables d´échanges de données au sein de l´entreprise comme à l´extérieur, ils en sont également le talon d´achille. L´explosion d´internet et sa propagation fulgurante nécessitent que l´entreprise se protège et protège ses données de toute intrusion interne comme externe. Dans ce contexte, l´administrateur réseau est devenu un acteur incontournable de la sécurité de l´entreprise, et parfois même son garant. Mais son rôle est difficile. Il est au centre d´intérêts divergents et parfois contradictoires. Aussi doit-on légitimement se poser la question de sa marge de manoeuvre lorsqu´il détecte la présence de fichiers et de programmes non professionnels (de type sniffers ou autres) indésirables sur le(s) serveur(s) de l´entreprise ou les postes de travail du personnel. I - un texte fondamental II - des juridictions soucieuses de la protection des libertés fondamentales III - les solutions En conclusion...
La méconnaissance de la Charte informatique constitue une faute grave (Cass soc 5 juillet 2011 n°10-14.685) Bref rappel : l’employeur a la faculté de mettre en place une Charte d'utilisation du matériel informatique. L’intérêt de rédiger une telle charte est en effet de permettre de fixer des règles d'utilisation de l’outil informatique (opérations interdites, règles de confidentialité etc..), d’informer le salarié concernant la mise en place éventuelle de moyens de surveillance de leur activité professionnelle, de prévenir des pratiques illégales voire illicites etc.. Si le défaut de mise en garde sur l'utilisation répréhensible des outils informatiques dans le Règlement Intérieur ou la Charte informatique n'interdit pas de retenir en cas de licenciement la faute grave (Cass. soc., 16 mai 2007, no 05-43.455, Eve c/ Sté Info Mag), a contrario l’existence d’une telle Charte permet à l’employeur de la caractériser plus aisément. Or l’enjeu est de taille. C’est l’illustration de l’arrêt commenté.
Administrateurs de réseaux : entre sécurité informatique et protection des salariés par Me Sylvain Staub et Stéphane Marletti L'administrateur de réseaux a en charge la mise en place, la maintenance et la sécurité des systèmes d'information de l'entreprise. Il cherche notamment à éviter les risques d'intrusions ou de virus, à prévenir les fuites de savoir-faire ou de fichiers clients, et à s'assurer d'une utilisation normale par les salariés des systèmes informatiques de l'entreprise. Lorsqu'il ne prend pas les mesures nécessaires à cette mission, il risque de manquer aux obligations définies dans son contrat de travail et d'engager sa responsabilité civile et pénale, tout comme celle de l'entreprise. Pour assurer cette sécurité, il est tenu de surveiller l'usage que font les salariés de la messagerie et de l'accès à internet mis à disposition par l'entreprise. Le principe du contrôle par l'administrateur de réseaux de l'activité des salariés et du contenu des messages semble donc désormais acquis, ce qui clarifie grandement le rôle de celui-ci. [Sylvain.Staub@CliffordChance.com]
Les Obligations du Salarié Notion et Intérêt Le respect de ses obligations est légal, mais il apparaît être également du bon sens. Le salarié a tout intérêt à respecter les termes de son contrat de travail, s'il veut conserver son emploi, conserver de bonnes relations avec son employeur et ne pas être sanctionné. Les obligations du salarié sont multiples. Commentaire Le respect du contrat de travail Le salarié est tenu d'exécuter personnellement et consciencieusement le travail prévu au contrat. L'obligation de loyauté Le contrat de travail doit être exécuté de bonne foi. L'obligation de discrétion Le salarié est tenu de ne pas divulguer les informations confidentielles dont il a connaissance dans l'exercice de ses fonctions, ni à l'extérieur, ni à l'intérieur de l'entreprise. Les Sanctions Tout manquement volontaire du salarié à ses obligations peut donner lieu à une sanction disciplinaire pouvant aller jusqu'au licenciement.
Un administrateur condamné pour abus de privilèges AVRIL 2014 Depuis un arrêt célèbre (Arrêt Nikon du 2 octobre 2001) les tribunaux reconnaissent au salarié un droit d’usage personnel de l’outil informatique mis à sa disposition par son employeur. Ce droit est encadré de différentes manières et peut schématiquement se résumer ainsi : Tous les messages adressés ou reçus par le salarié dans sa boite aux lettres électronique sont présumés professionnels, sauf s’ils sont identifiés comme personnels. L’employeur ne peut pas avoir accès aux messages personnels, mais le salarié ne doit pas abuser du droit qui lui est reconnu, notamment en apposant systématiquement la mention « personnel » sur tous les messages qu’il émet. L’administrateur du système (c’est-à-dire l’informaticien chargé d’assurer son bon fonctionnement), peut prendre connaissance librement de tous les messages, mais ne peut en révéler le contenu à l’employeur, lorsqu’ils présentent un caractère personnel. La Cour de Paris confirme ce jugement.