[Jurisprudence] Révocation d'un administrateur d'une SA : obligation de prouver qu'il avait connaissance des motifs de sa révocation avant le vote

Vol d'information : une jurisprudence Bluetouff pour la gloire ? Le 20 mai 2015, la Cour de cassation a statué dans un arrêt très attendu concernant ce qui est devenu « l’affaire Bluetouff ». Avec cet arrêt, la Cour de cassation prend clairement position : pour elle, une information peut être volée, c’est-à-dire que l’article 311-1 du Code pénal réprimant la « soustraction frauduleuse de la chose d’autrui » est pleinement applicable à la copie et l’exfiltration depuis un extranet de fichiers informatiques. Nous aurions pu parler d’évolution majeure de la notion, dont une affirmation aussi claire était attendue depuis près d’une quinzaine d’années, si elle était arrivée quelques mois plus tôt. Nous nous contenterons de saluer ce principe qui va dans le bon sens, tout en étant loin de fournir un blanc seing à la non-sécurisation des systèmes d’information comme certains ont pu le craindre. Bref rappel des faits… Nous renvoyons le lecteur intéressé par le récit détaillé des évènements aux articles qui ont pu être écrits sur le sujet, notamment ici et là.

L’administrateur réseau a le pouvoir de lire les messages personnels La Cour de Cassation, dans un arrêt du 17 juin 2009 rappelle qu’un administrateur de réseau, qui est tenu par une clause de confidentialité, a la possibilité d’accéder aux messages personnels des salariés dans le cadre de sa mission de sécurité du réseau informatique. La jurisprudence a eu l’occasion de rappeler à plusieurs reprises que la protection de la vie privée des salariés interdit aux employeurs d’ouvrir les messages qualifiés de personnel sauf risque ou événement particulier (Cf. Cass. Soc. 2 oct. 2001, Bull. civ. V, n° 291). Il appartient en effet au salarié d’identifier les messages personnels par une mention explicite car à défaut d’une telle mention, ceux-ci seront présumés professionnels et pourront être librement consultés par l’employeur. La Haute Cour vient préciser ici une distinction à opérer entre les pouvoirs de l’employeur dans ce domaine et ceux de l’administrateur réseau. S’appuyant sur l’article L.2313-2 du Code du travail qui dispose que :

Une charte de l'administrateur de système et de réseau Complexité en expansion, risques multipliés La multiplication de questions de plus en plus complexes liées à la sécurité des systèmes et des réseaux, l’imbrication de plus en plus intime des aspects techniques et juridiques de ces questions et le risque accru de conséquences judiciaires en cas d’erreur incitent à la rédaction, au sein de chaque entreprise ou organisation, d’une charte de l’administrateur de système et de réseau qui rappelle les devoirs, les pouvoirs et les droits des ingénieurs et des techniciens qui administrent la sécurité des réseaux, des ordinateurs et en fin de compte du système d’information. Cette activité d’administration de la passerelle de messagerie de l’entreprise lui permet de détecter les usages contraires à la loi qui pourraient en être faits par des employés indélicats, dont les exemples les plus courants sont, non limitativement : Règles de conduite Secret professionnel Mots de passe « - Non ! Proposition de charte Préambule Définitions Surveillance et audit

Messagerie électronique au bureau : ne pas confondre « perso » et « personnel » Depuis un arrêt célèbre (Arrêt Nikon du 2 octobre 2001) les tribunaux reconnaissent au salarié un droit d’usage personnel de l’outil informatique mis à sa disposition par son employeur. Ce droit est encadré de différentes manières et peut schématiquement se résumer ainsi : Tous les messages adressés ou reçus par le salarié dans sa boite aux lettres électronique sont présumés professionnels, sauf s’ils sont identifiés comme personnels. L’employeur ne peut pas avoir accès aux messages personnels, mais le salarié ne doit pas abuser du droit qui lui est reconnu, notamment en apposant systématiquement la mention « personnel » sur tous les messages qu’il émet. L’administrateur du système (c’est-à-dire l’informaticien chargé d’assurer son bon fonctionnement), peut prendre connaissance librement de tous les messages, mais ne peut en révéler le contenu à l’employeur, lorsqu’ils présentent un caractère personnel. La Cour de Paris confirme ce jugement.

Cadre juridique des administrateurs réseaux Les administrateurs réseaux assurent le fonctionnement normal et la sécurité du système informatique de leur employeur. Ils sont susceptibles d’avoir accès, dans l’exercice de cette mission, à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.). L’accès par les administrateurs aux données enregistrées par les salariés dans le système d’information est justifié par le bon fonctionnement dudit système, dès lors qu’aucun autre moyen moins intrusif ne peut être mis en place. Ils doivent dès lors s’abstenir de toute divulgation d’informations qu’ils auraient été amenés à connaître dans le cadre de l’exercice de leur mission, et en particulier les informations relevant de la vie privée des employés ou couvertes par le secret des correspondances, dès lors qu’elles ne remettent pas en cause le fonctionnement technique ou la sécurité des applications, ou encore l’intérêt de l’employeur.

L'affaire Bluetouff ou : NON, on ne peut pas être condamné pour utiliser Gogleu Le titre de ce billet peut paraître surprenant, mais il répond en fait à un titre d’article qu’un journal en ligne de la presse spécialisée, au demeurant excellent sur son secteur, a employé pour relater la présente affaire. Comme quoi la communauté geek sait avoir les mêmes réflexes corporatistes que n’importe quel autre groupe social ayant des intérêts communs assez forts. Heureusement, outre son goût pour les pizzas froides et la Guinness, ce qui la caractérise avant tout est le goût de comprendre, et je l’entends qui piaffe aux portes de ce blog. Faites entrer les fauves, on va faire du droit. Au-delà des aspects techniques de cette affaire, que nous allons aborder, on se retrouve dans une problématique récurrente lorsqu’on doit juger des délits commis dans un contexte technique complexe : que ce soit la finance, la médecine, la pharmacologie, ou la technologie : les prévenus regardent les juges comme des ignares car ils n’ont pas leurs connaissances, ni même parfois les bases.

CYBERSURVEILLANCE ET ADMINSTRATEURS RESEAUX Pouvant être sujet d'attaques internes comme externes, les entreprises et leurs réseaux ont besoin d'une cybersurveillance des administrateurs de réseaux. Cependant la cybersurveillance et les administrateurs de réseaux doivent obéir à différentes règles notamment le respect à la vie privée et le secret des correspondances. Avant de pouvoir rentrer dans les détails, nous allons définir la cybersurveillance et les administrateurs de réseaux dans un premier temps. Dans un second temps, nous allons présenter les obligations qui pèsent sur les administrateurs réseaux lorsqu'ils font de la cybersurveillance. généralisée de réseaux au sein des entreprises. Ces réseaux permettent de faciliter le travail des salariés, mais aussi leurs échanges. Tout réseau doit être entretenu, mais aussi surveillé pour éviter sa dégradation. La surveillance et l’interception de courriers électroniques sont considérése comme de la cybersurveillance. Il participe à la gestion technique des équipements. I. II. III.

Détail d'une jurisprudence judiciaire Références Cour d'appel de Versailles 15ème chambre Audience publique du mercredi 18 janvier 2012 N° de RG: 10/04895 Infirme partiellement, réforme ou modifie certaines dispositions de la décision déférée Texte intégral Code nac : 80C 15ème chambre ARRET No R. C/ Thomas X... Décision déférée à la cour : Jugement rendu (e) le 17 Septembre 2010 par le Conseil de Prud'hommes-Formation paritaire de NANTERRE Section : Activités diverses No RG : 09/ 00414 Copies exécutoires délivrées à : Me Stéphane GAUTIER Me Karim HAMOUDI Copies certifiées conformes délivrées à : Thomas X... LE DIX HUIT JANVIER DEUX MILLE DOUZE, La cour d'appel de VERSAILLES, a rendu l'arrêt suivant dans l'affaire entre : S. représentée par Me Stéphane GAUTIER, avocat au barreau de PARIS APPELANTE **************** Monsieur Thomas X... né le 02 Octobre 1985 à ... 75013 PARIS représenté par Me Karim HAMOUDI, avocat au barreau de PARIS Composition de la cour : Greffier, lors des débats : Monsieur Pierre-Louis LANE, M. M. Analyse

Accès frauduleux et recel de fichiers informatiques Jurisprudences relatives à la Cybersurveillance - Cour de cassation Ch. soc., 02 février 2011, Securitas France / M. X. Licenciement pour faute grave - Courriels provocateurs Dans le cadre d’un licenciement pour faute grave, aux motifs de divers manquements professionnels et de comportement agressif et irrespectueux à l’égard du supérieur hiérarchique et de l’échange à ce sujet de courriels provocateurs avec une autre salariée de l’entreprise, également licenciée à cette occasion. La Cour de cassation a considéré que "le courriel litigieux était en rapport avec l’activité professionnelle du salarié, ce dont il ressortait qu’il ne revêtait pas un caractère privé et pouvait être retenu au soutien d’une procédure disciplinaire" Arrêt disponible sur legalis.net - Tribunal de Grande Instance de Digne les Bains, 20 octobre 2010 Concurrence déloyale ou parasitaire - Contrefaçon de la base de données « clients et prospects » d’un ancien employeur - Comportement déloyal - Atteinte au droit du producteur de base de donnée Or, Considérant : Legalis.net

Détail d'une jurisprudence judiciaire Références Cour d'appel de Versailles 15e chambre Audience publique du mercredi 29 septembre 2010 N° de RG: 09/00867 Confirme la décision déférée dans toutes ses dispositions, à l'égard de toutes les parties au recours Texte intégral Code nac : 80A 15ème chambre ARRET No R. Frédéric X... Décision déférée à la cour : Jugement rendu (e) le 08 Janvier 2009 par le Conseil de Prud'hommes de BOULOGNE BILLANCOURT Section : Encadrement No RG : 07/ 01564 Copies exécutoires délivrées à : Me Jérôme BORZAKIAN Me Frédéric ZUNZ Copies certifiées conformes délivrées à : Frédéric X... S. le : RÉPUBLIQUE FRANÇAISE LE VINGT NEUF SEPTEMBRE DEUX MILLE DIX, La cour d'appel de VERSAILLES, a rendu l'arrêt suivant dans l'affaire entre : Monsieur Frédéric X... ... 78420 CARRIERES SUR SEINE comparant en personne, assisté de Me Jérôme BORZAKIAN, avocat au barreau de PARIS, vestiaire : G242 S. représentée par Me Frédéric ZUNZ, avocat au barreau de PARIS, vestiaire : J 153 S. Composition de la cour : qui en ont délibéré,

Jurisprudences  | Tribunal de Grande Instance de Paris 17ème chambre, chambre de la presse Jugement du 2 novembre 2000   jeudi 2 novembre 2000 Tribunal de Grande Instance de Paris 17ème chambre, chambre de la presse Jugement du 2 novembre 2000 Françoise V., Marc F. et Hans H. / ministère public, Tareg Al B. courrier électronique - correspondance privée - contenus illicites - sécurité du réseau Arrêt du 17 décembre 2001 de la Cour de Paris Procédure Par ordonnance rendue le 14 mars 2000 par l’un des juges d’instruction de ce siège, les prévenus ont été renvoyés devant le tribunal, sous la prévention : 1°/ Hans H. 2°/ Françoise V. et Marc F. L’affaire a été appelée à l’audience du 27 avril 2000, puis renvoyée à celle du 28 septembre 2000 pour laquelle les prévenus ont été régulièrement cités. Le 28 septembre 2000, Hans H., Françoise V. et Marc F. ont comparu, assistés de leurs conseils, Me Iweins pour le premier et la seconde, et Me Normand-Bodard pour le troisième ; la partie civile, Tareg Al B., était également présente et assistée de son avocat, Me Fleury. Les prévenus ont eu la parole en dernier. Faits Discussion

untitled