Académique Documents
Professionnel Documents
Culture Documents
Paper 130
Paper 130
Laurence Freyt-Caffin GIP Renater Responsable des affaires juridiques 151 Boulevard de lHpital 75013 Paris laurence.freyt@renater.fr 14.10.2003
Mots clefs : Administrateur rseau, droit, statut, donnes personnelles, CNIL, divulgation, secret professionnel, cybersurveillance, vie prive, divulgation, responsabilit, scurit, loyaut, transparence, contrle, secret, correspondances, fichiers.
Introduction
Des intrts antinomiques mais lgitimes sont grer dans une entreprise. Lemployeur souhaite protger les intrts de son entreprise en protgeant la fuite des informations stratgiques, en prvenant lapparition de virus ou encore en empchant la circulation de contenus illicites notamment racistes ou pornographiques sur le rseau. Cela passe par la scurisation de son rseau. A linverse nombre de salaris revendiquent le droit une vie prive sur leur lieu de travail qui se matrialise par une connexion Internet des fins personnelles. Cette opportunit est pour eux la contre-partie de la porosit entre la sphre professionnelle et la sphre prive intensifie par lutilisation des nouvelles technologies. Afin dencadrer et de limiter un usage excessif de lInternet sur le lieu de travail, lemployeur dispose au titre de son pouvoir de direction dun droit de contrle et de surveillance sur ses salaris1. Mais ce pouvoir reconnu lemployeur ne doit pas mconnatre les principes du droit la vie prive et du secret des correspondances. En effet, la Commission Nationale de lInformatique et des Liberts (CNIL) a reconnu au salari le droit une vie prive au travail en soulignant quil tait la fois irraliste et disproportionn dinterdire strictement une utilisation dInternet des fins personnelles. Ladministrateur rseau est au carrefour de ses deux logiques. En effet, il est la personne en charge dassurer la fois la scurit du rseau, la demande de son autorit hirarchique qui voit en lui un moyen de faire face aux situations prilleuses, et la scurit des donnes professionnelles et personnelles des salaris.
1
Directives 95/46/CE relative la protection des donnes personnelles et la libre circulation de ces donnes et Directive 2002/58 concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des communications lectroniques (directive "vie prive et communications lectroniques"). 3 Loi n 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts. 4 Article 29 de la loi n 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts 5 Rapport du 5 fvrier 2002 de la CNIL sur la Cybersurveillance sur les lieux de travail
2
La CNIL a galement rappel6 le statut particulier des administrateurs qui sont conduits par leurs fonctions mme avoir accs lensemble des informations relatives aux utilisateurs et quun tel accs, tout comme lutilisation de logiciels de tlmaintenance, nest contraire aucune disposition de la Loi Informatique et Liberts du 6 janvier 19787. Il appartient ladministrateur rseau duser des moyens techniques mis sa disposition pour assurer la scurit du rseau et il est tout fait lgitime que ce dernier sen serve afin de dterminer la cause du problme. Par consquent la jurisprudence comme la CNIL reconnaissent un statut particulier ladministrateur rseau en convenant que par la nature mme de sa fonction il peut avoir accs aux messageries ou connexions Internet afin de garantir la scurit du rseau mission dont il est le garant. Toutefois ce statut atypique est limit par le secret professionnel et par des modalits de contrle encadres.
Rapport du 5 fvrier 2002 de la CNIL concernant la Cybersurveillance sur les lieux de travail Loi n 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts. 8 Cass. Soc. 2 octobre 2001 Nikon France SA c/ M. O 9 Toute personne a droit au respect de sa vie prive et familiale, de son domicile et de sa correspondance 10 (Loi n 94-653 du 29 juillet 1994 art. 1 I Journal Officiel du 30 juillet 1994) Chacun a droit au respect de sa vie prive. Les juges peuvent, sans prjudice de la rparation du dommage subi, prescrire toutes mesures, telles que squestre, saisie et autres, propres empcher ou faire cesser une atteinte l'intimit de la vie prive : ces mesures peuvent, s'il y a urgence, tre ordonnes en rfr. 11 (Ordonnance n 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002) Le fait, commis de mauvaise foi, douvrir de supprimer, de retarder ou de dtourner des correspondances arrives ou non destination et adresses des tiers, ou den prendre frauduleusement connaissance, est puni dun an emprisonnement et de 45000 euros damende. Est puni des mmes faits, le fait commis de mauvaise foi, dintercepter, de dtourner, dutiliser ou de divulguer des correspondances mises, transmises et reues par la voie des tlcommunications ou de procder linstallation dappareils conus pour raliser de telles interceptions. . 12 CA Paris, 17 dcembre 2001, ESPCI
7
La Cour dAppel a sanctionn un administrateur pour avoir inform ses suprieurs sur le contenu des messages auxquels il a eu accs. Larrt prcise que la divulgation du contenu des messages ne se rattache pas aux objectifs de scurit des rseaux et doit tre sanctionne sur le fondement de larticle 432-913 du Code pnal. La Cour dappel na pas sanctionn en tant que tel linterception du message mais la divulgation de la correspondance prive bnficiant ce titre de la protection de la loi du 10 juillet 1991 sur les tlcommunications. En cas de divulgation des informations, ladministrateur rseau risque dengager sa responsabilit pnale au titre de larticle 216-15 du code pnal qui condamne le fait douvrir ou de prendre connaissance de mauvaise foi des correspondances destines autrui.
13 (Ordonnance n 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002) Le fait, par une personne dpositaire de l'autorit publique ou charge d'une mission de service public, agissant dans l'exercice ou l'occasion de l'exercice de ses fonctions ou de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas prvus par la loi, le dtournement, la suppression ou l'ouverture de correspondances ou la rvlation du contenu de ces correspondances, est puni de trois ans d'emprisonnement et de 45000 euros d'amende. Est puni des mmes peines le fait, par une personne vise l'alina prcdent ou un agent d'un exploitant de rseau de tlcommunications autoris en vertu de l'article L. 33-1 du code des postes et tlcommunications ou d'un fournisseur de services de tlcommunications, agissant dans l'exercice de ses fonctions, d'ordonner, de commettre ou de faciliter, hors les cas prvus par la loi, l'interception ou le dtournement des correspondances mises, transmises ou reues par la voie des tlcommunications, l'utilisation ou la divulgation de leur contenu. 14 Article L.121-8-1 du Code du Travail : aucune information concernant personnellement un salari ou un candidat ne peut tre collecte par un dispositif qui na pas t port pralablement sa connaissance . 15 Article L 432-2-1 du Code du Travail Article L 432-2 du Code du travail : le comit dentreprise est inform et consult pralablement tout projet important dinstruction de nouvelles technologies, lorsque celles-ci sont susceptibles davoir des consquences sur les conditions de travail du personnel Article 432-2-1 du Code du travail : le comit dentreprise doit tre inform et consult pralablement la dcision de mise en uvre dans lentreprise, sur les moyens ou techniques permettant un contrle de lactivit des salaris .
Un contrle proportionn Le contrle quil soit effectu par le suprieur hirarchique en vertu de son pouvoir hirarchique ou par ladministrateur rseau dans le cadre de sa fonction doit tre proportionnel au but recherch16. Il appartient ladministrateur dutiliser les moyens permettant de remplir sa mission sans aller au-del. Il ny a pas lieu pour ladministrateur rseau de contrler le contenu mme des messages mis ou reus si le seul contrle du volume des pices jointes ou des extensions des fichiers joints lui permet de vrifier lutilisation optimale du rseau. Son action doit sinscrire dans une logique cohrente. A titre dexemple, linscription des forums de discussion ou le tlchargement des fichiers non autoriss ne requirent pas louverture des mails pour prouver le manquement du salari. Ainsi afin doprer un contrle efficace, ladministrateur doit suivre les principes numrs ci-dessous.
Conclusion
En cas de constat de pratique illicite ou non conforme du rseau ou de doutes srieux, ladministrateur rseau devra constituer un dossier suffisamment complet pour attester de cette illgalit ou pour justifier la prsomption dutilisation illicite du rseau. Il avertira ensuite son employeur sans toutefois lui rvler le contenu des messages ou fichiers qui demandera par requte au tribunal comptent lautorisation de faire procder la lecture et /ou la saisine des fichiers viss. En pratique, comment pourra-t-il susciter lintrt de sa hirarchie en lui prsentant seulement des bribes dinformations ? Telle est la dlicate mission de ladministrateur car sil dvoile le contenu dun fichier personnel, il verra sa responsabilit pnale engage. Si lemployeur pense que linfraction commise par un de ses salaris au moyen de loutil mis disposition par lentreprise est dordre pnale, il se tourner avers la voie pnale. Une plainte au procureur de la Rpublique, si elle repose sur des lments srieux, entranera une enqute prliminaire19. Au cours de cette enqute, la police judiciaire des perquisitions, des interrogatoires, ou la saisine de pices. Le forum des droits dans son rapport du 17 septembre 2002 sur la cybersurveillance, recommande que la loi reconnaisse ladministrateur rseau un vritable secret professionnel. Ce secret ne devrait pas couvrir le secret des correspondances mais lensemble des contenus personnels du salari comme ses fichiers. Lobjectif tant de dfinir un rel statut de la fonction mme dadministrateur en clarifiant de faon expresse ses droits et obligations la fois vis vis des salaris et de son suprieur hirarchique.
16 Art L 120-2 du Code du Travail : nul ne peut apporter au droit des personnes et aux liberts individuelles et collectives des restrictions qui ne seraient pas proportionnes au but recherch 17 Article L.122-36 du Code du travail. 18 Article L. 122-36 du Code du travail 19 Article 75 et s. du Code de procdure pnale
La CNIL recommande la dsignation dun dlgu la protection des donnes en concertation avec les reprsentants du personnel . Ce dlgu serait en charge des questions relatives aux mesures de scurit, au droit daccs et la protection des donnes personnelles. Il pourrait travailler conjointement avec ladministrateur rseau. La CNIL recommande aux salaris de distinguer leurs fichiers personnels de leurs fichiers professionnels car en dpit de toute mention expresse du caractre personnel dun message (ou fichier), celui-ci est prsum professionnel et pourra alors tre contrl par lemployeur. De plus, une telle dmarche facilite la tche de ladministrateur qui, sil peut contrler lesdits fichiers, procdera de faon vrifier en dernier lieu le contenu des donnes personnelles.
Rfrences
Textes de lois et rglements franais: http://www.Legifrance.fr Les journaux officiels : http://www.journal-officiel.gouv.fr/ http://www.cnil.fr/index.htm http://www.droitdunet.fr/ http://www.foruminternet.org http://www.clic-droit.com http://www.droit-ntic.com/ Rapport du 5 fvrier 2002 de la CNIL concernant la Cybersurveillance sur les lieux de travail La lettre des Juristes dAffaires, n5094-5097, pp970-971 Semaine sociale Lamy, 15 octobre 2001-n1046, pp 462-465 Entretien avec Ariane Mole
Jurisprudence : CA Paris, 11me chambre, A, 17 dcembre 2001, n00/07565, Franoise V., Marc F. et Hans H. / ministre public, Tareg Al B. Cass. soc., 2 octobre 2001, pourvoi N99-42.942 Nikon France SA c/ M. O