L'affaire Bluetouff ou : NON, on ne peut pas être condamné pour utiliser Gogleu Le titre de ce billet peut paraître surprenant, mais il répond en fait à un titre d’article qu’un journal en ligne de la presse spécialisée, au demeurant excellent sur son secteur, a employé pour relater la présente affaire. Comme quoi la communauté geek sait avoir les mêmes réflexes corporatistes que n’importe quel autre groupe social ayant des intérêts communs assez forts. Heureusement, outre son goût pour les pizzas froides et la Guinness, ce qui la caractérise avant tout est le goût de comprendre, et je l’entends qui piaffe aux portes de ce blog. Faites entrer les fauves, on va faire du droit. Au-delà des aspects techniques de cette affaire, que nous allons aborder, on se retrouve dans une problématique récurrente lorsqu’on doit juger des délits commis dans un contexte technique complexe : que ce soit la finance, la médecine, la pharmacologie, ou la technologie : les prévenus regardent les juges comme des ignares car ils n’ont pas leurs connaissances, ni même parfois les bases.
Nouvelle évolution de la jurisprudence Nikon « Des courriels et fichiers intégrés dans le disque dur de l’ordinateur mis à disposition du salarié par l’employeur ne sont pas identifiés comme personnels du seul fait qu’ils émanent initialement de la messagerie électronique du salarié ». C’est ce qu’a retenu la Cour de cassation dans un arrêt du 19 juin 2013. Les faits : L’employeur mandate un expert informatique pour analyser l’ordinateur de son Directeur artistique. Un huissier de justice assiste au retrait du disque dur et à la prise de copie de son contenu. Dernière ligne droite: responsabilité des prestataires internes/externes Responsabilité civile délictuelle: La responsabilité peut émaner du fait d'autrui ainsi l'employeur est responsable des préjudices causés par ses salariés. Responsabilité civile contractuelle: Dans le cadre d'un contrat la responsabilité d'une des parties est engagée en ca s de non respect. Obligation de moyen et obligation de résultat .
Tefal : un administrateur réseau condamné pour fraude informatique mercredi 9 décembre 2015 Le tribunal correctionnel d’Annecy n’a pas reconnu le statut de lanceur d’alerte à une inspectrice du travail et à un administrateur réseau de Tefal auxquels la direction de la société reprochait d’être à l’origine de la publication de documents sur de futurs licenciements. Au contraire, par un jugement du 4 décembre 2015, le tribunal condamne le salarié pour accès et maintien frauduleux à un traitement automatisé de données, atteinte au secret des correspondances électroniques et l’inspectrice du travail pour recel de correspondances et violation du secret professionnel. L’administrateur réseau en charge de différents comptes, en conflit avec son employeur sur le paiement d’heures supplémentaires, découvre par hasard un document dans lequel il apparaît que la société veut le licencier en utilisant des moyens déloyaux.
Cadre juridique des administrateurs réseaux Les administrateurs réseaux assurent le fonctionnement normal et la sécurité du système informatique de leur employeur. Ils sont susceptibles d’avoir accès, dans l’exercice de cette mission, à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.). L’accès par les administrateurs aux données enregistrées par les salariés dans le système d’information est justifié par le bon fonctionnement dudit système, dès lors qu’aucun autre moyen moins intrusif ne peut être mis en place.
Cour de cassation Demandeur(s) : la société Sanofi chimie Défendeur(s) : M. J… X… ; M. J… Y…. Un administrateur condamné pour abus de privilèges AVRIL 2014 Depuis un arrêt célèbre (Arrêt Nikon du 2 octobre 2001) les tribunaux reconnaissent au salarié un droit d’usage personnel de l’outil informatique mis à sa disposition par son employeur. Ce droit est encadré de différentes manières et peut schématiquement se résumer ainsi : Tous les messages adressés ou reçus par le salarié dans sa boite aux lettres électronique sont présumés professionnels, sauf s’ils sont identifiés comme personnels. L’employeur ne peut pas avoir accès aux messages personnels, mais le salarié ne doit pas abuser du droit qui lui est reconnu, notamment en apposant systématiquement la mention « personnel » sur tous les messages qu’il émet. L’administrateur du système (c’est-à-dire l’informaticien chargé d’assurer son bon fonctionnement), peut prendre connaissance librement de tous les messages, mais ne peut en révéler le contenu à l’employeur, lorsqu’ils présentent un caractère personnel.
Détail d'une jurisprudence judiciaire Références Cour d'appel de Versailles 15ème chambre Audience publique du mercredi 18 janvier 2012 N° de RG: 10/04895 Infirme partiellement, réforme ou modifie certaines dispositions de la décision déférée Texte intégral Une charte de l'administrateur de système et de réseau Complexité en expansion, risques multipliés La multiplication de questions de plus en plus complexes liées à la sécurité des systèmes et des réseaux, l’imbrication de plus en plus intime des aspects techniques et juridiques de ces questions et le risque accru de conséquences judiciaires en cas d’erreur incitent à la rédaction, au sein de chaque entreprise ou organisation, d’une charte de l’administrateur de système et de réseau qui rappelle les devoirs, les pouvoirs et les droits des ingénieurs et des techniciens qui administrent la sécurité des réseaux, des ordinateurs et en fin de compte du système d’information. Cette activité d’administration de la passerelle de messagerie de l’entreprise lui permet de détecter les usages contraires à la loi qui pourraient en être faits par des employés indélicats, dont les exemples les plus courants sont, non limitativement :
Administrateurs de réseaux : entre sécurité informatique et protection des salariés L'administrateur de réseaux a en charge la mise en place, la maintenance et la sécurité des systèmes d'information de l'entreprise. Il cherche notamment à éviter les risques d'intrusions ou de virus, à prévenir les fuites de savoir-faire ou de fichiers clients, et à s'assurer d'une utilisation normale par les salariés des systèmes informatiques de l'entreprise. Lorsqu'il ne prend pas les mesures nécessaires à cette mission, il risque de manquer aux obligations définies dans son contrat de travail et d'engager sa responsabilité civile et pénale, tout comme celle de l'entreprise. Pour assurer cette sécurité, il est tenu de surveiller l'usage que font les salariés de la messagerie et de l'accès à internet mis à disposition par l'entreprise. Or, cette surveillance, autrement appelée "cybersurveillance", peut également dans certains cas engager sa responsabilité.
Cour de Cassation, Chambre sociale, du 16 mai 2007, 05-43.455, Inédit Références Cour de cassation chambre sociale Audience publique du mercredi 16 mai 2007 N° de pourvoi: 05-43455 Non publié au bulletin Rejet Président : M. CHAUVIRE conseiller, président Texte intégral CYBERSURVEILLANCE ET ADMINSTRATEURS RESEAUX Pouvant être sujet d'attaques internes comme externes, les entreprises et leurs réseaux ont besoin d'une cybersurveillance des administrateurs de réseaux. Cependant la cybersurveillance et les administrateurs de réseaux doivent obéir à différentes règles notamment le respect à la vie privée et le secret des correspondances. Avant de pouvoir rentrer dans les détails, nous allons définir la cybersurveillance et les administrateurs de réseaux dans un premier temps. Dans un second temps, nous allons présenter les obligations qui pèsent sur les administrateurs réseaux lorsqu'ils font de la cybersurveillance. généralisée de réseaux au sein des entreprises. Ces réseaux permettent de faciliter le travail des salariés, mais aussi leurs échanges. Tout réseau doit être entretenu, mais aussi surveillé pour éviter sa dégradation.
Détail d'une jurisprudence judiciaire Références Cour d'appel de Versailles 15e chambre Audience publique du mercredi 29 septembre 2010 N° de RG: 09/00867 Confirme la décision déférée dans toutes ses dispositions, à l'égard de toutes les parties au recours Texte intégral Code nac : 80A 15ème chambre ARRET No Keylogger : des dispositifs de cybersurveillance particulièrement intrusifs Les " keyloggers " sont des dispositifs de surveillance, parfois téléchargeables gratuitement depuis le web, qui se lancent automatiquement à chaque démarrage de la session de l'utilisateur, à son insu. Une fois lancés, ils permettent, selon les versions, d'enregistrer toutes les actions effectuées par les salariés sur leur poste informatique sans que ceux-ci s'en aperçoivent. Toute frappe saisie sur le clavier ou tout écran consulté est enregistré avec un horodatage.