Vous êtes sur la page 1sur 49

LIVRE BLANC JURIDIQUE co-crit par et

Filtrage et Internet au bureau : Enjeux et cadre juridique

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 1

2me dition

SOMMAIRE

1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 2. 2.1. 2.2. 2.3. 2.4. 3. 3.1. 3.2. 3.3. 4. 4.1. 4.2. 4.3. 4.4. 4.5. 4.6. 5. 5.1. 5.2. 6.

LES ASPECTS JURIDIQUES DU FILTRAGE Le droit de filtrer - Aspect lgal Le droit de filtrer - Aspect jurisprudentiel Le droit de filtrer - Bonnes pratiques et normes Le filtrage et les usages Le droit de loguer Le droit des chartes dutilisation des systmes dinformation LES NOUVEAUX USAGES - LE NOUVEAU FILTRAGE Les rseaux sociaux et lentreprise Les accs publics au web Les flux scuriss : https, ftps, Le filtrage tendu NE PAS FILTRER, NE PAS LOGUER : QUELLES CONSEQUENCES ? Quel droit appliquer ? Quels risques ? Qui est responsable ? PLAN DE DEPLOIEMENT Etape 1 : Le choix de la solution Etape 2 : Le respect du droit informatique et liberts Etape 3 : Le respect du droit du travail Etape 4 : Ladministration et paramtrage de la solution Etape 5 : La gestion des logs Etape 6 : Le maintien en conditions oprationnelles DIMENSION INTERNATIONALE DU FILTRAGE La ncessit de respecter la rglementation locale La ncessit de filtrer : une prise de conscience internationale A PROPOS DOLFEO

4 4 6 7 8 9 10 12 12 14 15 16 17 17 17 21 28 28 29 35 41 42 44 45 45 45 49

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 2

PREFACE

La prface est signe Matre Eric Barbry, avocat au Barreau de Paris et Directeur du Ple Droit du numrique du cabinet Alain Bensoussan. Ce livre blanc a dailleurs t crit avec Matre Barbry.

Lusage dInternet au sein des entreprises et le dveloppement des rseaux sociaux posent un certain nombre de questions :
Peut-on filtrer ou doit-on filtrer au sein des entreprises ? Quavons-nous le droit de filtrer ? Faut-il ou peut-on filtrer les accs publics au web ? Existe-t-il un rgime juridique diffrent entre les entreprises prives et les acteurs publics ? Comment filtrer tout en prservant la vie prive rsiduelle des salaris ? Le filtrage sur temps de pause est-il possible ? Peut-on sanctionner un collaborateur sur la foi des donnes restitues par loutil de filtrage ? Peut-on filtrer autre chose que les sites web ? Quest-ce qui distingue un outil de filtrage dun autre ? Faut-il dclarer son outil la Cnil ? Faut-il informer le personnel, les personnes extrieures, les deux ? Lvolution du droit et des usages a amen une modification importante du comportement au sein des entreprises o la question nest plus Peut-on filtrer ? mais Comment filtrer en toute scurit ? . La jurisprudence la plus rcente conforte ce point, en lgitimant la mise en uvre dun contrle des connexions internet. Ds lors, il existe deux types dentreprises exposes : Celles qui prennent encore le risque de ne pas filtrer ; Celles qui filtrent et dont la solution nest pas mise en uvre en conformit avec les exigences juridiques de base. Sur le plan pratique, on parle par ailleurs de moins en moins de filtrage mais dadministration des accs . Lvolution nest pas que smantique. Elle procde dun vrai changement de paradigme au sein des entreprises. Lobjectif nest plus de limiter les accs au web mais de les organiser . Enfin sur un plan technologique, le filtrage nest plus limit quaux s euls accs au Web. Le filtrage durl cde ici la place un filtrage plus tendu : le filtrage protocolaire qui emporte lui aussi son lot de problmatiques juridiques . Matre Eric Barbry,

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 3

1. LES ASPECTS JURIDIQUES DU FILTRAGE Il ny a plus de doute aujourdhui, le filtrage est admis sur tous les plans : Au plan lgal ; Au plan jurisprudentiel ; Au plan normatif et de bonnes pratiques ; Et au plan des usages. Cette reconnaissance stend naturellement au-del des frontires hexagonales. Mais comprendre le droit du filtrage cest aussi sintresser : Au droit des logs, car tous les outils de filtrage comportent des logs et fichiers qui seront le cas chant exploits pour sanctionner un abus ; Au droit des chartes car il ne saurait tre question de filtrer sans informer. Or linformation des personnels passe principalement sinon prioritairement par le dploiement dune charte dusage des systmes dinformation. 1.1. LE DROIT DE FILTRER - ASPECT LEGAL

Le terme de filtre ou de filtrage , nest pas inconnu des textes actuels. On trouve effectivement des rfrences et des renvois exprs ces termes dans diffrents documents : Lois dites Hadopi, la loi n 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la cration sur internet prcise ainsi que la Haute Autorit, dite lHADOPI value, en outre, les exprimentations conduites dans le domaine des technologies de reconnaissance des contenus et de filtrage par les concepteurs de ces technologies la matire, notamment pour ce qui regarde l'efficacit de telles technologies, dans son rapport annuel prvu l'article L. 331-14 ; Larrt du 27 juin 1989, dont larticle annexe II dfinit notamment le filtrage comme mise en correspondance de formes selon un ensemble prdfini de rgles ou de critres ; La circulaire relative lusage de lInternet dans le cadre pdagogique et de protection des mineurs du 18 fvrier 2004 prvoyant la mise en uvre doutils de filtrage dans les tablissements ou coles ; Le droit communautaire reconnat depuis plus longtemps encore le droit de filtrer, et ce depuis 1999 travers : La dcision 276/1999 CE du 25 janvier 1999 du Parlement europen et du Conseil adoptant un plan d'actions communautaire pluriannuel visant promouvoir une utilisation plus sre d'Internet par la lutte contre les messages contenu illicite et prjudiciable diffuss sur les rseaux mondiaux. Le considrant n51 met en avant le fait que les outils de filtrage constituent des lments essentiels pour assurer un environnent plus sr sur Internet ;
1

Le considrant n5 de la dcision 276/1999 CE du 25-1-1999 : Considrant que la promotion de l'autorglementation de l'industrie et des systmes de suivi du contenu, le dveloppement des outils de filtrage et des systmes de classement fournis par l'industrie et une sensibilisation accrue portant sur les services offerts par l'industrie, de mme que l'encouragement de la coopration internationale entre toutes les parties concernes, joueront un rle crucial dans la consolidation de cet environnement sr et contribueront lever les obstacles au dveloppement et la comptitivit de l'industrie concerne .

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 4

De nombreuses recommandations du Comit des ministres aux Etats membres (notamment recommandation 2008-6 sur les mesures visant promouvoir le respect de la libert dexpression et dinformation au regard des filtres internet, recommandation 2001-8 sur lautorgulation des cyber-contenus, recommandation 2007-11 sur la promotion de la libert dexpression et dinformation dans le nouvel environnement de linformation et de la communication). Au-del des mots filtre et filtrage , il existe bon nombre de textes qui utilisent dautres terminologies ou dautres notions qui sont synonymes de filtre ou de filtrage . Larticle 6 I. 1 de la loi n2004-575 du 21 juin 2004 pour la confiance dans lconomie numrique ( LCEN ) retient la formule suivante moyens techniques permettant de restreindre l'accs certains services de communication au public en ligne ou doprer une slection de ces services 2 ; Les articles L.331-25 ; L331-26 ; L331-27 ; L335-7-1 et R331-4 du Code de la proprit intellectuelle utilisent les termes moyens de scurisation 3 ; Larticle L336-2 du Code de la proprit intellectuelle vise toutes mesures propres prvenir ou faire cesser une telle atteinte un droit dauteur ou un droit voisin ; Le dcret n2010-1630 du 23 dcembre 2010 relatif la procdure d'valuation et de labellisation des moyens de scurisation destins prvenir l'utilisation illicite de l'accs un service de communication au public en ligne. Larticle 4 de la loi n 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la scurit intrieure vient modifier larticle 6 I.- 7 : Lorsque les ncessits de la lutte contre la diffusion des images ou des reprsentations de mineurs relevant de l'article 227-23 du code pnal le justifient, l'autorit administrative notifie aux personnes mentionnes au 1 du prsent I les adresses lectroniques des services de communication au public en ligne contrevenant aux dispositions de cet article, auxquelles ces personnes doivent empcher l'accs sans dlai. Larticle 61 de la loi n 2010-476 du 12 mai 2010 relative la concurrence et la rgulation du secteur des jeux dargent et de hasard en ligne : l'arrt de l'accs ce service aux personnes mentionnes au 2 du I et, le cas chant, au 1 du I de l'article 6 de la loi n 2004-575 du 21 juin 2004 pour la confiance dans l'conomie numrique. toute mesure destine faire cesser le rfrencement du site d'un oprateur mentionn au deuxime alina du prsent article par un moteur de recherche ou un annuaire. Le projet de dcret dapplication de larticle 18 de la LCEN utilise les termes interdire laccs de tout ou partie du site aux mineurs , faire cesser laccs . Le projet de dcret a t soumis pour avis au Conseil national du Numrique (CNN), nouvelle instance consultative dans le domaine du numrique cre par le dcret n 2011-476 du 29 avril 2011.
2

LCEN art. 6 I. 1 : Les personnes dont l'activit est d'offrir un accs des services de communication au public en ligne informent leurs abonns de l'existence de moyens techniques permettant de restreindre l'accs certains services ou de les slectionner et leur proposent au moins un de ces moyens . 3 CPI art. L. 335-12 : Le titulaire d'un accs des services de communication au public en ligne doit veiller ce que cet accs ne soit pas utilis des fins de reproduction ou de reprsentation duvres de l'esprit sans l'autorisation des titulaires des droits prvus aux livres Ier et II, lorsqu'elle est requise, en mettant en oeuvre les moyens de scurisation qui lui sont proposs par le fournisseur de cet accs en application du premier alina du I de l'article 6 de la loi n 2004-575 du 21 juin 2004 pour la confiance dans l'conomie numrique.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 5

Le 17 juin 2011, le CNN a rendu son avis et recommande notamment : de modifier larticle 4 du projet de dcret, qui permet, en cas durgence, denjoindre directement aux FAI de faire cesser laccs au contenu sans sadresser pralablement lauteur du contenu litigieux. En effet, le CNN rappelle que le rle premier des FAI nest pas de contrler ou dempcher la propagation de contenu publi sur internet mais de s assurer de sa diffusion conformment au principe constitutionnel de la libert dexpression et de communication ; de modifier la possibilit pour une autorit administrative de pouvoir ordonner des blocages et des filtrages sur internet sans recourir un juge. Sappuyant sur la jurisprudence du Conseil constitutionnel, le CNN recommande que cette mesure ne puisse intervenir quau terme dun dbat contradictoire, sous lapprciation et le contrle pralable dun juge, et selon une procdure institue par voie lgislative ; de supprimer la possibilit de sanctionner pnalement les hbergeurs qui mconnatraient les injonctions de lautorit administrative et de cla rifier la porte de la sanction complmentaire de confiscation de la chose qui a servi ou tait destine commettre linfraction ou la chose qui en est le produit . Le projet de loi renforant les droits, la protection et linformation des consommateu rs prvoit la possibilit pour la DGCCRF de demander lautorit judiciaire dordonner toutes mesures propres prvenir un dommage ou faire cesser un dommage occasionn par le contenu d'un service de communication au public en ligne.

Ce quil faut retenir Nombreux sont les textes de loi qui imposent ou lgitiment le recours au filtrage. 1.2. LE DROIT DE FILTRER - ASPECT JURISPRUDENTIEL

Le terme de filtre ou de filtrage est retenu dans plusieurs jugements et arrts. Le filtrage a ds les premiers contentieux du web pris un sens tout fait particulier pour le juge. Lobligation de filtrage sest impose naturellement comme lune des solutions laccs des contenus/plate-formes illicites dans beaucoup de domaines : Vente dobjets nazis sur le site yahoo.com accessible depuis la France4 ; Vente de parfums Christian Dior en dehors de leur rseau de distribution slectif5 ; Diffusion de pages contenus racistes6 ; Diffusion de propos ngationnistes7 ; Jeux en ligne et paris hippiques8 ; Site dhbergement de vidos (YouTube9, Dailymotion10) ; Les moteurs de recherche.

4 5

TGI Paris, 22-5-2000. CA Paris, 3-9-2010 n08/12822. 6 TGI Nanterre 24-5-2000. 7 TGI Paris 20-4-2005, ordonnance de rfr Uejf et a. c/ olm llc et a. 8 TGI Paris, 6-8-2010 RG n10/56506. 9 TGI Crteil, 14-12-2010 n06-12815. 10 TGI Paris 13-1-2011 n09-16645.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 6

Plus rcemment le Prsident du Tribunal de grande instance de Paris 11 a ordonn le 6 aot 2010, en application de la loi du 12 mai 2010 relative la concurrence et la rgulation du secteur des jeux dargent et de hasard en ligne, aux fournisseurs daccs internet, de prendre toute mesure de filtrage, pouvant tre obtenue par blocage du nom de domaine, de ladresse IP connue, de lURL, ou par analyse du contenu des messages, mises en uvre alternativement ou ventuellement concomitamment, de manire ce quelles soient suivies de leffet escompt sur le territoire franais . La cour dappel de Paris a reproch une socit de courtage de ne pas avoir mis en uvre un filtrage efficace12, et le mme jour de ne pas avoir dtaill le fonctionnement effectif dun tel filtrage ni dtaill ses rsultats13. Dans une dcision du 14 dcembre 2010, le Tribunal de Grande Instance de Crteil 14 a fait injonction un hbergeur dinstaller sur son site un systme de filtrage efficace et immdiat des vidos dont la diffusion a t ou sera constate par lInstitut National de lAudiovisuel (INA). Cette jurisprudence en matire de filtrage sest dveloppe depuis le dbut des annes 2000, en particulier en parallle du dveloppement de la vente sur Internet, ce qui a pos un certain nombre de problmatiques lies laccs des sites illicites. Dans tous ces cas jurisprudentiels, il est question de mettre en place des mesures de filtrage faisant obstacle laccs aux sites Internet ou des pages Internet illicites. La question de la mise en place des outils de filtrage connat donc une multitude dapplications jurisprudentielles, chaque fois que sest pose la question de mettre en place des mcanismes faisant obstacle la consultation des sites illicites.

Ce quil faut retenir Les juges utilisent couramment la technique de filtrage pour imposer une restriction daccs. 1.3. LE DROIT DE FILTRER - BONNES PRATIQUES ET NORMES

La Commission nationale de linformatique et des liberts (Cnil) sintresse galement au filtrage, notamment aux mesures de filtrage mises en place au sein des entreprises par le biais dun certain nombre de documents, et en particulier : Les Fiches de synthse Cybersurveillance sur les lieux de travail du 11 fvrier 2002 ; Le rapport de la Cnil La cybersurveillance sur les lieux de travail , dition mars 2004, Le guide la scurit des donnes caractre personnel , dition 2010 ; Le guide pratique de la Cnil pour les employeurs et les salaris , dition 2010 dont la fiche n6 porte sur le Contrle de lutilisation dInternet et de la messagerie . Dans son guide pratique pour les employeurs et les salaris 15, la Cnil considre que sil nest pas possible dinterdire de manire gnrale et absolue lutilisation dInternet des fins non professionnelles, en se rfrant notamment au contexte de dveloppement des
11 12

TGI Paris, 6-8-2010 Prsident de lAutorit de rgulation des jeux en ligne c/ Neustar et autres, RG n10/56506. CA Paris, 3-9-2010 RG n08/12820, CA Paris, 3-9-2010 RG n08/12821. 13 CA Paris, 3-9-2010 RG n08/12822. 14 TGI Crteil, 14-12-2010, n06-12815. 15 Guide pratique de la Cnil pour les employeurs et les salaris , dition 2010 p. 18. Rapport de la Cnil La cybersurveillance sur les lieux de travail , dition mars 2004, p. 12.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 7

moyens de communication ainsi quau contexte jurisprudentiel actuel, rien nempche lemployeur de limiter notamment laccs de ses employs Internet. Selon la commission, une telle limitation de laccs Internet ne constitue pas par principe une atteinte la vie prive des employs et se justifie notamment parce que lusage dInternet est en gnral reconnu condition quun tel usage soit, selon elle : raisonnable, ne rduise pas la productivit, ni les conditions daccs professionnel au rseau . Dun point de vue pratique, la Cnil reconnat la possibilit de mettre en place des dispositifs de filtrage de sites non autoriss : sites caractre pornographique, pdophile, rvisionniste Selon la Commission, lemployeur peut imposer certaines mesures dans lutilisation des systmes dinformation, justifies pour la scurit de lorganisme, telles que : linterdiction de tlcharger des logiciels, de se connecter des forums Chat , ou daccder une messagerie lectronique personnelle, condition den informer les salaris.

Ce quil faut retenir Le filtrage fait assurment partie de ce quil est convenu dappeler les bonnes pratiques en termes de management du SI et de la scurit. 1.4. LE FILTRAGE ET LES USAGES

Le droit ne se limite pas aux textes de loi, jurisprudence et normes. Les tribunaux, lorsquils ont trancher un litige, sattachent souvent tudier les usages au sein mme des entreprises. Ces usages donnent en quelque sorte un indice sur la pertinence et la rcurrence dun phnomne. Or, force est de constater que le filtrage fait lobjet dun usage rel, voir intensif. On estime que 70% des entreprises utiliseraient une solution de filtrage. Il faut cependant relativiser ce chiffre car bon nombre dentre elles ne font pas appel des solutions ddies mais utilisent des solutions qui sont intgres dans des UTM senss rgler toutes les problmatiques des accs web dune entreprise : anti-virus, anti-spam, contrle daccs . La plupart des grandes entreprises pour leur part, et des entreprises exposes, ont opt pour des solutions ddies proposes par des entreprises spcialises.

Ce quil faut retenir 70% des entreprises filtrent et vous ?

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 8

1.5.

LE DROIT DE LOGUER

Les logs ou les traces sont un corollaire technique des outils de filtrage. Ces outils permettent en effet non seulement de restreindre ou de contrler des accs des sites web sur Internet, mais ils permettent galement de tracer de manire individuelle ou collective lusage de lInternet. De fait, ct de linterrogation lgitime relative au droit de filtrer, on peut sinte rroger sur le cadre juridique affrent au droit de loguer. Le droit ne connat pas le mot log mais il retient des notions approchantes comme : Les donnes relatives au trafic 16 ; Les donnes de connexion des services de communications lectroniques 17 ; Les donnes de connexion 18 Les donnes didentification numres au sein du dcret n 2011-219 du 25 fvrier 2011 relatif la conservation et la communication de donnes permettant didentifier toute personne ayant contribu la cration dun contenu mis en ligne. Il en est de mme de la jurisprudence : Dans un arrt du 9 juillet 2008, la Cour de Cassation19 a retenu que les connexions Internet taient prsumes professionnelles : lemployeur peut donc rechercher ces donnes et ce, hors de la prsence de lemploy. Cette solution a t confirme mot pour mot dans un autre arrt rendu le 9 fvrier 201020. Ces dcisions prsentent une avance jurisprudentielle essentielle, et sinscrivent dans lactuelle tendance jurisprudentielle consistant donner une place rsiduelle la vie prive de lemploy sur son lieu de travail. Avant de prsumer professionnelles les connexions Internet, la haute juridiction avait dj pos cette prsomption pour les dossiers et fichiers informatiques prsents sur le poste de travail de lemploy (sauf sils sont clairement identifis comme personnels). Ainsi que pour la Cnil : La Cnil qui utilise les termes de fichiers logs ou fichier de journalisation 21 a publi un certain nombre de documents relatifs aux logs et notamment :

16

CPCE art. L. 34-1 et R. 10-12 et suivants, concernant notamment la gestion des donnes de trafic par les oprateurs de communications lectroniques et assimils. 17 CPCE art. L. 34-1-1, encadrant en particulier la communication des donnes de connexion afin de prvenir les actes de terrorisme introduit par la loi n 2006-64 du 23-1-2006 relative la lutte contre le terrorisme et portant dispositions diverses relatives la scurit et aux contrles frontaliers. 18 Fiches de synthse Cybersurveillance sur les lieux de travail du 11-2-2002 de la Cnil. 19 Cass. soc. 9-7-2008 : Mais attendu que les connexions tablies par un salari sur des sites Internet pendant son temps de travail grce loutil informatique mis sa disposition par son employeur pour lexcution de son travail sont prsumes avoir un caractre professionnel de sorte que lemployeur peut les rechercher aux fins de les identifier, hors de sa prsence . 20 Cass soc 9-2-2010 n08/45253 M. X c/ association Relais jeunes charpennes : les connexions tablies par un salari sur des sites internet pendant son temps de travail grce loutil informatique mis sa disposition p ar son employeur pour lexcution de son travail sont prsumes avoir un caractre professionnel, de sorte que lemployeur peut les rechercher aux fins de les identifier, hors de sa prsence. 21 Rapport de la Cnil La cybersurveillance sur les lieux de travail , dition mars 2004.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 9

Les Fiches de synthse Cybersurveillance sur les lieux de travail du 11 fvrier 2002 o elle utilise les termes de fichiers logs ou de journalisation 22 ; Le rapport de la Cnil La cybersurveillance sur les lieux de travail , dition mars 2004 o dans son introduction la CNIL prcise la ncessit de procder une journalisation, cest--dire lenregistrement des actions de chaque utilisateur sur le systme pendant une dure dfinie ; Le guide pratique de la Cnil pour les employeurs et les salaris , dition 2010, fait galement rfrence aux fichiers logs ou de journalisation propos des informations personnelles des utilisateurs auxquelles les DSI ont accs en raison de leurs fonctions ; Le guide de scurit des donnes caractre personnel , dition 2010, la fiche n 8 porte sur La traabilit et la gestion des incidents. Cette fiche explique les mesures que doit mettre en place un DSI Afin dtre en mesure didentifier a posteriori un accs frauduleux des donnes personnelles, une utilisation abusive de telles donnes, ou de dterminer lorigine dun incident, il convient denregistrer les actions effectues sur le systme informatique. Pour ce faire, le responsable dun systme informatique doit mettre en place un dispositif adapt aux risques associs son systme. Celui-ci doit enregistrer les vnements pertinents, garantir que ces enregistrements ne peuvent tre altrs, et dans tous les cas conserver ces lments pendant une dure non excessive . Sont ainsi numres les prcautions suivantes, qualifies dlmentaires par la Cnil : Prvoir un systme de journalisation (cest--dire un enregistrement dans des fichiers de logs) des activits des utilisateurs, des anomalies et des vnements lis la scurit. Ces journaux doivent conserver les vnements sur une priode glissante ne pouvant excder six mois (sauf obligation lgale, ou demande de la Cnil, de conserver ces informations pour une dure plus longue) ; Prvoir au minimum la journalisation des accs des utilisateurs incluant leur identifiant, la date et lheure de leur connexion, ainsi que la date et lheure de leur dconnexion. Le format de lhorodatage doit de prfrence prendre comme rfrence le temps UTC10 ; Dans certains cas, il peut tre ncessaire de conserver galement le dtail des actions effectues par lutilisateur, telles que les donnes consultes par exemple. 1.6. LE DROIT DES CHARTES DUTILISATION DES SYSTEMES DINFORMATION

En quelques annes la Charte des systmes dinformation sest impose comme un lment fondamental en termes de matrise des risques lis lutilisation par les salaris des matriels et services informatiques et internet, mis leur disposition des fins professionnelles. La jurisprudence reconnat une valeur juridique part entire ces chartes dont la violation peut aboutir une sanction du salari et mme justifier son licenciement. La Cour de cassation a eu loccasion de reconnatre la force contraignante dune charte. Ainsi par un arrt du 21 dcembre 2006, la Cour de cassation a considr que la tentative de connexion sur le poste informatique du directeur de la socit, par emprunt du mot de passe dun autre salari, constituait un comportement contraire lobligation de respect de la charte informatique en vigueur dans lentreprise, rendait impossible son maintien dans lentreprise pendant la dure du pravis et constituait une faute grave 23.
22 23

Rapport de la Cnil La cybersurveillance sur les lieux de travail , dition mars 2004. Cass soc. 21-12-2006, n05-41.165.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 10

Dans un arrt rendu le 15 dcembre 2010, la Chambre sociale de la Cour de cassation a affirm que la dtention de 480 fichiers pornographiques en violation de la charte informatique de lentreprise justifiait le licenciement dun salari 24. Pour la Cnil, une charte informatique est un document qui pourra prciser les rgles respecter en matire de scurit informatique, mais aussi celles relatives au bon usage de la tlphonie, de la messagerie lectronique ou encore dinternet 25. Dans un certain nombre de documents, la Commission rappelle la ncessit dinformer les IRP et les salaris de la mise en place de moyens de contrle de leur activit, notamment : Les Fiches de synthse Cybersurveillance sur les lieux de travail du 11 fvrier 2002 ; Le Guide pratique de la Cnil pour les employeurs et les salaris , dition 2010 dont la fiche n6 porte sur le Contrle de lutilisation dInternet et de la messagerie . La Cnil recommande ainsi de porter la connaissance des salaris (par exemple dans une charte) le principe retenu pour diffrencier les e-mails professionnels des e-mails personnels (qualification par lobjet, cration dun rpertoire spcifique ddi au contenu priv, etc.) ; Le guide La scurit des donnes personnelles , dition 2010, comporte une fiche n3 Gestion des habilitations et sensibilisation des utilisateurs dans laquelle sont listes les prcautions lmentaires mettre en uvre pour scuriser un systme dinformation. Au titre de ces prcautions lmentaires figure la rdaction dune charte informatique et son incorporation au rglement intrieur. Dautres autorits que la Cnil, prconisent lexistence de chartes. Il en est ainsi de lHadopi qui recommande que la charte informatique mentionne expressment linterdiction de la contrefaon. Au-del de la ncessit de dfinir des rgles du jeu dans lentreprise, le phnomne des chartes sest vu renforc par ladoption rcente dun certain nombre de rfrentiels ou de normes telles que la norme 27001 relative au management de la scurit du SI et le rfrentiel gnral de scurit (RGS) qui prconisent ladoption dune charte. Selon ltude 2010 sur les menaces informatiques et les pratiques de scurit en France ralise par le CLUSIF (Club de la scurit de l'information franais), 67 % des entreprises interroges ont une charte dutilisation des systmes dinformation soit une augmentation de 17% par rapport 2008. Prs de 83% des entreprises de plus de 1000 personnes disposeraient dune charte.

Ce quil faut retenir La charte informatique permet de fixer les rgles dutilisat ion du systme dinformation. Elle est opposable aux salaris en cas de litige si elle est dploye comme un rglement intrieur.

24 25

Cass. soc. 15-12-2010, n 09-42691. Cnil Cybersurveillance sur les lieux de travail 11-2-2002.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 11

2.

LES NOUVEAUX USAGES - LE NOUVEAU FILTRAGE

En quelques annes les usages ont chang tout comme le filtrage. Deux usages nouveaux se sont rpandus : laccs intensif des entreprises aux rseaux sociaux dune part ; laccs public Internet dautre part. Le filtrage lui aussi a chang en voluant dune forme ddie au contrle dURL vers un filtrage techniquement tendu. 2.1. LES RESEAUX SOCIAUX ET LENTREPRISE

Les rseaux sociaux ne sont plus une simple mode utilise en dehors de lentreprise. Aujourdhui les rseaux sociaux font partie intgrante des outils de travail des salaris . Ce sont de nouvelles formes de travail et de communication dentreprise : Travail en rseaux (networking) ; Travail en communaut (hubworking) ; Web TV dentreprise ; Communication 2.0 (facebook, ) ; Mise en contact pro via plusieurs plates-formes ; Tweet et blog dentreprise Les rseaux sociaux permettent aux entreprises de bnficier dune nouvelle visibilit sur internet et constituent un moyen de communication grande chelle. Les entreprises peuvent par exemple crer une page, un groupe sur les rseaux sociaux prsentant leur entreprise afin dattirer des prospects, fidliser les clients Par le biais de diffrentes applications, lentreprise peut annoncer les nouveauts concernant la marque, recueillir lavis des consommateurs, raliser des sondages et donc analyser les attentes et ractions de ses clients. En terme de marketing, la prsence sur les rseaux sociaux est donc devenue un outil indispensable de comptitivit. En outre, la cration dapplications ddies aux salaris dune entreprise permet de renforcer le sentiment dappartenance lentreprise et constitue un moyen de socialisation 26. Toutefois, les propos pouvant tre publis par les collaborateurs sur ces plates-formes ainsi que leur utilisation sur le lieu de travail constituent un risque juridique indit et important. En effet, si beaucoup de lgislations leur sont applicables notamment la lgislation relative aux droits dauteur, la loi Informatique et liberts, les incriminations relatives aux STAD 27 ou encore la loi pour la confiance dans lconomie numr ique, bien d'autres rgles s'appliquent lutilisation dinternet telles que la libert dexpression et les limites qui sont les siennes: diffamation, injure, dnigrement, concurrence dloyale, pour ne citer que les principales.

26 27

Article Les rseaux sociaux en entreprise : un potentiel inexploit qui fait saliver.. sur le site emergenceweb.com. Systme de traitement automatis de donnes

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 12

Par consquent un bon nombre de questions se posent lentreprise : Un salari a-t-il le droit de parler librement de son entreprise ? Peut-il la critiquer sans risques ? Et, inversement, une socit peut-elle dcider des conditions d'utilisation des services web 2.0 et des rseaux sociaux par ses employs ? Et dans le cas d'un salari qui, dans sa sphre prive, s'exprimerait ngativement sur son entreprise ? La socit qui aurait connaissance de telles critiques pourrait-elle sanctionner son collaborateur ? Trois salaris, employs de la mme socit, ont t licencis pour faute grave pour incitation la rbellion contre la hirarchie et dnigrement envers la socit sur le mur Facebook dun autre salari. Ces propos navaient pas t publis depuis le poste informatique de lentreprise mais durant le week-end. Le 19 novembre 2010, le conseil de prudhommes a dit le licenciement pour faute grave des deux salaries fond considrant que [lun des salaris] a choisi dans le paramtre de son compte, de partager sa page Facebook avec ses amis et leurs amis permettant ainsi un accs ouvert notamment par les salaris ou anciens salaris de la socit. () ce mode daccs Facebook dpasse la sphre prive () la production aux dbats de la page mentionnant les propos incrimins constitue un mode de preuve licite du caractre bien fond du licenciement . Les deux salaries ont interjet appel. L'entreprise ne peut, sauf circonstances tout fait exceptionnelles, interdire ses salaris d'utiliser les rseaux sociaux et les services web 2.0 dans leur sphre prive. Mais la socit, gardienne de ses secrets, de son image et, de manire gnrale, de sa scurit, peut dfinir les conditions sous lesquelles elle accepte ou non que ses salaris s'expriment sur ses activits. Par consquent se pose la question des moyens lgaux dencadrer ces nouveaux usages. Lentreprise doit donc trouver un moyen pour se prmunir des risques. Sur ce sujet, lentreprise pourra interdire deux choses : Laccs ces outils depuis les postes de travail ou durant le temps de travail La publication dinformations au sujet de certaines activits de lentreprise (projets spcifiques, activits, rsultats financiers, etc). Il faut toutefois que cela soit indiqu de manire spcifique et colle lactivit de lentreprise. Il appartient lemployeur de dfinir les rgles du jeu quant l'utilisation des rseaux sociaux et des services web 2.0 depuis le lieu de travail. A charge pour lui d'interdire, tolrer ou limiter les usages, en tablissant un document de rfrence communment appel Charte d'utilisation des systmes d'information. Malgr tout, devant lampleur du phnomne et la prsence grandissante des communications dentreprise sur les rseaux sociaux, il parat de plus en plus difficile dinterdire strictement laccs ce type de rseau. Cest la raison pour laquelle le filtrage cde de plus en plus le pas vers ce que lon appelle ladministration des accs web. Il ne sagit plus dautoriser les uns et dinterdire les autres, mais de prvoir, en fonction des besoins de lentreprise, qui aura accs quoi et pour y faire quoi.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 13

Le saviez-vous ? Il est aujourdhui possible de mettre en uvre un accs au web avec une granularit telle, que lon peut paramtrer loutil de manire autoriser telle personne accder telle plate-forme web 2.0 et lautoriser raliser telle ou telle opration ou lui interdire telle ou telle autre 2.2. LES ACCES PUBLICS AU WEB

Laccs public au web se dveloppe comme une trane de poudre. Hier limite aux cybercafs et quelques aroports pionniers dans le domaine des hot spot, aujourdhui laccs public au web est partout : salons, htels, restaurant, point dinformation public,). Il faut ici rappeler deux ralits juridiques : Larticle L 34-1 du Code des postes et des communications lectroniques dispose Les personnes qui, au titre d'une activit professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermdiaire d'un accs au rseau, y compris titre gratuit, sont soumises au respect des dispositions applicables aux oprateurs de communications lectroniques en vertu du prsent article. ; En langue naturelle cela signifie que les hot spot professionnels sont soumis aux mmes obligations que les oprateurs de tlcommunications notamment en terme didentification des utilisateurs et de conservation des donnes de trafic. Les entreprises fournissant un rseau interne ouvert au public au sein de lentreprise constituent des rseaux internes ouverts au public28. Ces rseaux ne sont pas soumis lobligation de se dclarer oprateur auprs de lArcep, seuls les rseaux ouverts au public sont soumis lobligation de dclaration29. Larticle L. 336-3 alina 1, de la loi dite HADOPI, dispose La personne titulaire de laccs des services de communication au public en ligne a lobligation de veiller ce que cet accs ne fasse pas lobjet dune utilisation des fins de reproduction, de reprsentation, de mise disposit ion ou de communication au public duvres ou dobjets protgs par un droit dauteur ou par un droit voisin sans lautorisation des titulaires des droits prvus aux livres Ier et II lorsquelle est requise. De fait les personnes qui grent des accs publics au web seraient trs inspires de mettre en uvre des mesures de filtrage et den informer les utilisateurs. Il est galement vident quils ont lobligation de loguer.

Le saviez-vous ? Toute personne qui offre un accs public peut voir sa responsabilit engage du fait des accs illicites des tiers.

28

CPCE, art.32 dfinit le rseau interne comme tout rseau de communications lectroniques entirement tabli sur une mme proprit, sans emprunter ni le domaine public - y compris hertzien - ni une proprit tierce. 29 CPCE, art ; D98.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 14

2.3.

LES FLUX SECURISES : HTTPS, FTPS,

Parmi les flux qui transitent sur le rseau de lentreprise, les flux scuriss constituent un cas particulier. Le protocole https offre des possibilits dauthentification et de chiffrement pour les sites web ncessitant un certain niveau de scurit dans leurs changes avec les navigateurs web. Pour ce faire, HTTPS fait usage du protocole SSL/TLS qui utilise des mthodes de cryptographie asymtrique pour lauthentification, et des mthodes de cryptographie symtrique pour le chiffrement des changes. Ainsi, en principe, lutilisation du protocole SSL/TLS permet dassurer : Lauthentification de lune ou des deux parties communicantes ; La confidentialit des changes ; Lintgrit des donnes changes. Son usage stend aussi bien aux contenus professionnels quaux contenus personnels : banques en ligne, commerces en lignes, Le flux tant chiffr entre le poste utilisateur et le serveur web, lentrepri se ne dispose pas de moyen de contrle sur son contenu. Lantivirus de flux est, par exemple, inoprant. Des sites mal intentionns pourraient donc utiliser ce protocole pour introduire du contenu indsirable linsu de lentreprise. Une technique de cryptanalyse, dite Man In the Middle, jusquici utilise par les pirates et les agences de renseignement, permet cependant de pouvoir dchiffrer ce flux et donc y appliquer des techniques de contrle de contenu. Il convient de sinterroger sur les risques juridiques dune dsencapsulation dun flux chiffr y compris personnel sur le lieu de travail notamment au regard des rfrentiels lgaux applicables en matire : De vol didentit ; Dusurpation didentit ; Datteinte aux STAD (Systme de Traitement Automatis des Donnes); Datteinte au secret des correspondances. A dfaut dlment intentionnel, un grand nombre dinfractions pnales identifies semblent pouvoir tre cartes. En revanche, il existe un risque datteinte au secret des correspondances ainsi quun risque li laccs aux donnes contre lesquels les entreprises dsireuses de dchiffrer ces flux doivent se prmunir. Elles doivent pour cela minima : Recueillir, en complment de la charte Internet, lautorisation individuelle de s collaborateurs pour un dchiffrement de ces flux ; Modifier leur dclaration Cnil pour spcifier quelles pourront accder de telles donnes.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 15

2.4.

LE FILTRAGE ETENDU

Le HTTP est sans doute le protocole le plus utilis par les salaris. Cependant il existe bien dautres protocoles pour changer ou tlcharger des contenus. Or tous ces autres protocoles sont, comme le web, source de risque juridique et/ou technologique. Il importe donc de matriser non seulement le filtrage URL mais aussi le filtrage sur les autres protocoles. De fait la notion technico-fonctionnelle du filtrage est en train dvoluer vers un filtrage tendu : le filtrage protocolaire. Encore peu rpandu il sera nen pas douter rapidement dploy par les entreprises et remplacera vite le seul filtrage URL au cur des bonnes pratiques de lentreprise.

Le saviez-vous ? Le filtrage URL est un premier rempart technique pour protger juridiquement lentreprise mais est insuffisant. Pour tre efficace le filtrage doit tre tendu lensemble des flux.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 16

3. NE PAS FILTRER, NE PAS LOGUER : QUELLES CONSEQUENCES ? La consquence se mesure ncessairement laune du droit applicable. Mais dans cette hypothse le droit franais apparat comme la seule rfrence possible pour toutes les entreprises franaises ou trangres disposant de personnel sur le territoire national. Une fois la question du droit applicable, il est possible dapprcier le risque dune part et la responsabilit dautre part. 3.1. QUEL DROIT APPLIQUER ?

Pour une entreprise franaise, salariant du personnel sur le territoire national et commercialisant en France la question ne se pose pas. Elle se pose linverse pour les entreprises multinationales ou pour les entreprises trangres salariant des personnels franais. Or sur ce point la rgle est simple : Au civil, larticle 3 de la loi n 66-537 du 24 juillet 1966 sur les socits commerciales et larticle 1837 du Code civil disposent que Toute socit dont le sige est situ sur le territoire franais est soumise aux dispositions de la loi franaise . Les tiers peuvent se prvaloir du sige statutaire, mais celui-ci ne leur est pas opposable par la socit si le sige rel est situ en un autre lieu. Au plan pnal la chose est toute aussi simple et fixe par larticle L 113-2 du code pnal qui prcise que La loi pnale franaise est applicable aux infractions commises sur le territoire de la Rpublique. Linfraction est rpute commise sur le territoire de la Rpublique ds lors quun de ses faits constitutifs a eu lieu sur ce territoire .

Le saviez-vous ? Le droit franais sapplique toutes les entreprises dont le sige est situ en France ainsi quaux infractions commises en France. 3.2. QUELS RISQUES ?

Les risques de ne pas filtrer sont de deux niveaux : Un risque direct de ne pas respecter la loi ou dune dcision de justice; Un risque de devenir responsable des accs des autres. 3.2.1. LE NON-RESPECT DE LOBLIGATION LEGALE DE FILTRAGE Pour certains acteurs

3.2.1.1.

Le droit impose certains acteurs de mettre en uvre ou de mettre la disposition de leurs propres utilisateurs des moyens de contrle ou de restriction des accs Internet, cest --dire en pratique de mettre en uvre des outils de filtrage. Le droit impose galement certains acteurs de conserver les journaux de logs.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 17

Lobligation lgale la plus exemplaire dans ce domaine correspond celle qui pse sur les fournisseurs daccs Internet : Larticle 6 I. 1 de la LCEN dispose que Les personnes dont l'activit est d'offrir un accs des services de communication au public en ligne informent leurs abonns de l'existence de moyens techniques permettant de restreindre l'accs certains services ou de les slectionner et leur proposent au moins un de ces moyens. Cet article, sil impose directement au fournisseur daccs de proposer ses abonns un moyen technique permettant de restreindre laccs Internet, implique indirectement lobligation pour ledit abonn de le mettre en uvre, sous sa responsabilit. Les fournisseurs daccs et les hbergeurs sont galement tenus une obligation de conservation des donnes didentification : Larticle 6 II. de la LCEN dispose que : Les personnes mentionnes aux 1 et 2 du I dtiennent et conservent les donnes de nature permettre lidentification de quiconque a contribu la cration du contenu ou de lun des contenus dont elles sont prestataires. De mme le fait pour un tribunal dordonner une entreprise de mettre en uvre des outils de filtrage devient une obligation part entire. Au plan jurisprudentiel, larrt de la Cour dappel de Paris du 4 fvrier 2005, aurait pour certains auteurs, assimil lemployeur qui donne accs ses employs Internet, un fournisseur daccs. De fait, si cette interprtation devait savrer exacte, tout employeur qui mettrait disposition de ses employs, de ses agents ou de toute autre personne un accs Internet, pourrait se voir opposer lobligation lgale pose larticle 6 de la loi pour la confiance dans lconomie numrique : De mettre disposition des outils de filtrage et dinformer les utilisateurs. De conserver les donnes didentification numres au sein du dcret du 25 fvrier 2011 relatif la conservation et la communication de donnes permettant didentifier toute personne ayant contribu la cration dun contenu mis en ligne. 3.2.1.2. Le risque spcial : Hadopi

Larticle L 336-3 du Code de la proprit intellectuelle prcise que La personne titulaire de l'accs des services de communication au public en ligne a l'obligation de veiller ce que cet accs ne fasse pas l'objet d'une utilisation des fins de reproduction, de reprsentation, de mise disposition ou de communication au public d'uvres ou d'objets protgs par un droit d'auteur ou par un droit voisin sans l'autorisation des titulaires des droits prvus aux livres Ier et II lorsqu'elle est requise . Larticle ne vise en effet pas expressment le filtrage, labonn a simplement lobligation de veiller ce que laccs internet ne permette pas de contrevenir aux droits de proprit intellectuelle par un tlchargement illgal duvres protges par le droit dauteur. Pour ce faire, il doit mettre en place un moyen de scurisation de son accs au rseau, qui consiste selon les lois Hadopi en un moyen de reconnaissance des contenus et de filtrage. De fait, cela implique pour lui de mettre en place des moyens de filtrage de laccs aux rseaux. Labonn a par consquent une obligation spciale de contrle de lutilisation de laccs internet quil utilise et met disposition.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 18

Il faut bien distinguer labonn de lInternaute. Labonn est la personne physique ou morale qui est juridiquement lie un fournisseur daccs ; linternaute nest pas ncessairement un abonn Internet. Il est celui qui navigue sur internet et accde aux services en ligne. Lemployeur titulaire de labonnement qui met disposition de ses salaris un accs internet dans le cadre de leur travail est qualifi dabonn et est par consquent, responsable de leur activit sur les rseaux sur le fondement des lois Hadopi, et plus particulirement en ce qui concerne le tlchargement duvres protges par un droit dauteur.

Le saviez-vous ? La loi Hadopi renforce lobligation de filtrage des entreprises 3.2.2. LE RISQUE POUR UNE ENTREPRISE DE NE PAS FILTRER

Lentreprise peut voir sa responsabilit engage sur au moins trois fondements : Larticle 1384 du code civil ; Larticle 121-2 du code pnal ; Larticle L 336-3 du code de la proprit intellectuelle. Sans oublier limpact toujours rel mais difficilement mesurable aujourdhui de larrt de la Cour dappel de Paris du 4 fvrier 200530. 3.2.2.1. Le risque civil :

Larticle 1384 alina 5 du code civil dispose On est responsable non seulement du dommage que l'on cause par son propre fait, mais encore de celui qui est caus par le fait des personnes dont on doit rpondre, ou des choses que l'on a sous sa garde. () Les matres et les commettants, du dommage caus par leurs domestiques et prposs dans les fonctions auxquelles ils les ont employs . En dautres termes lemployeur est responsable des dommages causs par ses salaris dans lexercice de leurs fonctions. 3.2.2.2. Le risque pnal

Larticle 121-2 du Code pnal dispose Les personnes morales, l'exclusion de l'Etat, sont responsables pnalement, selon les distinctions des articles 121-4 121-7, des infractions commises, pour leur compte, par leurs organes ou reprsentants. Lentreprise pourrait donc voir sa responsabilit engage pour des accs illicites : A des sites en raison de leurs contenus portant notamment atteinte : Aux mineurs, tels que les contenus pdopornographiques ou encore les contenus incitant lanorexie, faisant actuellement lobjet dune proposition de loi en cours de discussion31;
30

CA Paris 14me ch. BNP Paribas c/ Socit World Press Online 4-2-2005 ; cet arrt aurait pour certains auteurs, assimil lemployeur qui donne accs ses employs Internet, un fournisseur daccs. 31 Proposition de loi de Madame Boyer visant combattre lincitation lanorexie n 781, dpose le 3 -4-2008 devant lAssemble nationale.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 19

A des sites de jeux en ligne illgaux (ceux qui sont accessibles depuis le territoire franais alors quils nont pas bnfici de lagrment dlivr par lAutorit de rgulation des jeux en ligne); A la protection des auteurs, sagissant des sites contrefaisants. Il sagit galement de sites dont les contenus dpassent la libert dexpression, tels que les sites racistes ou rvisionnistes32. A des sites au regard des produits et services quils commercialisent tels que notamment : Des organes et produits du corps humain ; Des drogues ; Des objets caractre pdophile ; Des armes feu et explosifs ; Des mdicaments ; Du tabac ; De lalcool ; Des logiciels permettant de porter atteinte un systme de traitement automatis de donnes ; Des logiciels de contournement de mesures techniques de protection ou dinformation. Plus gnralement, des produits interdits ou rglements.

Le saviez-vous ? Lentreprise peut voir sa responsabilit engage du fait des agissements de ses salaris 3.2.3. RISQUES PARTICULIERS : EXEMPLE LES ETABLISSEMENTS SCOLAIRES

Si la lutte contre les atteintes aux droits de proprit intellectuelle sur Internet justifie la mise en uvre doutils de filtrage, il en est de mme concernant la lutte contre les images et reprsentations illicites sur le rseau. En effet, larticle 227-23 du Code pnal incrimine notamment le fait d'offrir, ou de rendre disponible l'image ou la reprsentation d'un mineur prsentant un caractre pornographique . Ce texte fait ressortir une nouvelle fois la ncessit dun filtrage, faisant ainsi obstacle laccs aux images et reprsentations illicites. Les fournisseurs daccs, de services dhbergement et les diteurs de contenus sont ici encore incits utiliser des dispositifs de filtrage et notamment le filtrage durl afin de prvenir toute infraction larticle 227-23 du Code pnal. Cest dailleurs dans ce contexte de lutte contre laccs des contenus illicites que le Ministre de lEducation nationale a dcid de mettre en place des dispositifs de filtrage, notamment au sein des coles, collges, lyces, en laborant un guide pratique de mise en place du filtrage .

32

TGI Paris 20-4-2005, ordonnance de rfr Uejf et a. c/ olm llc et a.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 20

Cest galement sur ce mme terrain que sest plac le Forum des droits sur Internet qui a publi le 4 novembre 2008 la recommandation Les enfants du Net III encourageant lutilisation de solutions de filtrage sur Internet. Enfin, larticle 4 de la loi du 14 mars 2011 d'orientation et de programmation pour la performance de la scurit intrieure, dite LOPPSI 2 , qui vient de modifier larticle 6 I. 7 prvoit dsormais que lorsque les ncessits de la lutte contre la diffusion des images ou des reprsentations de mineurs relevant de l'article 227-23 du code pnal le justifient, l'autorit administrative notifie aux FAI les adresses lectroniques des services de communication au public en ligne contrevenant aux dispositions de cet article, auxquelles ces personnes doivent empcher l'accs sans dlai. 3.3. QUI EST RESPONSABLE ? 3.3.1. LA RESPONSABILITE DE LEMPLOYEUR

Aujourdhui la question se pose clairement de savoir si un employeur, quil soit un acteur priv (entreprise, association, fdration) ou public (ministre, collectivit territoriale, tablissement public) est tenu ou non de mettre en place au sein de sa structure des outils de filtrage et de loguer. Le dbat porte essentiellement sur le niveau de responsabilit de lemployeur face un usage illicite de lInternet par ses employs et lorsquil donne accs Internet des tiers. Comme il a t indiqu, la responsabilit de lemployeur peut, sur le terrain de larticle 1384 alina 5, tre engage du fait des fautes commises par les sal aris dans lexercice de leurs fonctions. Il existe une jurisprudence abondante qui fixe les limites de cette responsabilit. La jurisprudence prcise que la responsabilit du dirigeant peut tre limite si lemploy a agi33 : Hors du cadre de ses fonctions ; Sans autorisation ; En dehors de ses attributions. A priori les agissements hors contrat de travail ne devraient donc pas aboutir la mise en cause de lemployeur. Il existe toutefois des cas o la responsabilit de lemployeur a t retenue alors mme que le salari agissait en dehors de la fonction qui tait la sienne : La Cour dappel dAix en Provence qui a rendu un arrt retenant la responsabilit de lemployeur au motif principal que34 : En ce qui concerne par contre la responsabilit de la socit Lucent Technologies en sa qualit de commettant, il nest pas contestable que Nicolas B. qui occupait les fonctions de technicien test dans une entreprise "dont lactivit est construction dquipements et de systmes de tlcommunication" selon ses propres critures, et dans lesquelles lusage dun ordinateur, et dInternet, doit tre quotidien, a agi dans le cadre de ses fonctions.

33 34

Cass. ass. pln. 19-5-1988 pourvoi n 87-82654. CA Aix-en-Provence 2e ch. 13-3-2006.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 21

Il est par ailleurs tabli quil a agi avec lautorisation de son employeur, qui avait dailleurs permis son personnel, selon une note de service du 13 juillet 1999, "dutiliser les quipements informatiques mis leur disposition pour consulter dautres sites que ceux prsentant un intrt en relation directe avec leur activit". Il est enfin certain quil na pas agi des fins trangres ses attributions, puisque selon le rglement prcit, il tait mme autoris disposer dun accs Internet, y compris en dehors de ses heures de travail. Cette position de la jurisprudence, tout comme larticle 1384 a lina 5 du Code civil militent fortement en faveur de la mise en place par lemployeur de tous les outils permettant de matriser, voire de contrler lutilisation de lInternet par les employs. Cette mesure de prudence simpose quel que soit le dbat r siduel qui demeure quant la fiabilit totale des solutions disponibles. A ct de la responsabilit civile de lemployeur se pose naturellement la question de sa responsabilit pnale. Cette responsabilit pnale peut elle-mme tre apprhende sous deux angles : Lemployeur est-il responsable des infractions pnales commises par ses employs qui utilisent les accs professionnels Internet ? Lemployeur est-il responsable sil nempche pas ou permet mme de manire fortuite ses employs daccder des contenus illicites ? La rponse est loin dtre simple et trouve un de ses fondements larticle 121-1 du Code pnal qui dispose que : Nul nest responsable que de son propre fait Par principe, lemployeur na donc pas tre responsable des fautes pnales commises par ses employs. Il convient cependant de temprer cette position de principe en se rfrant larticle 121-2 du Code pnal : Les personnes morales, l'exclusion de l'Etat, sont responsables pnalement, selon les distinctions des articles 121-4 121-7, des infractions commises, pour leur compte, par leurs organes ou reprsentants . A la question de savoir si lemployeur est responsable dinfractions pnales commises par ses employs qui utiliseraient les outils profession nels mis leur disposition, il semble quil y ait deux rponses : Soit linfraction est commise sans lien avec lentreprise elle-mme et alors on peut supposer que seule la responsabilit de lemploy sera retenue ; Soit linfraction est commise et lentreprise en est bnficiaire et alors la responsabilit de lentreprise et de ses dirigeants sera sans doute engage. A la question de savoir si lemployeur peut tre responsable du fait que ses employs puissent accder des sites illicites (sites caractre pdophiles, sites racistes ou rvisionnistes, sites attentatoires la dignit, sites dincitation au suicide, sites de jeux dargent etc.) ou publier du contenu illicite (diffamatoire, ) avec lexplosion de la contribution des utilisateurs sur la toile : la rponse dpend essentiellement des obligations lgales poses par le lgislateur. Si lon se rfre larticle L. 335-7 et L.335-7-1 du Code de la proprit intellectuelle :

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 22

On peut estimer que lemployeur, qui est de fait et de droit titulaire de laccs Internet auprs dun fournisseur daccs est tenu lobligation de mettre en uvre les outils de restriction daccs qui lui sont proposs permettant dviter les actes de contrefaon. Ainsi si lemployeur a commis une ngligence caractrise35 , cest--dire si la commission de protection des droits de lHadopi, en application de l'article L. 331 -25 du Code de la proprit intellectuelle, lui a pralablement adress, par voie d'une lettre remise contre signature ou de tout autre moyen propre tablir la preuve de la date de prsentation, une recommandation l'invitant mettre en uvre un moyen de scurisation de son accs internet, et quil ne la pas fait, il peut se voir condamner une: suspension de l'accs un service de communication au public en ligne pour une dure maximale d'un mois ; interdiction de souscrire pendant la mme priode un autre contrat portant sur un service de mme nature auprs de tout oprateur. En cas de non-respect de linterdiction de souscrire pendant 1 mois un autre contrat portant sur un service de mme nature auprs de tout oprateur, labonn sera passible dune amende dun montant de 3750 euros maximum. Si lon prend lexemple des dispositions pnales de lutte contre la pdophilie : Les termes le fait doffrir ou de rendre disponible laissent penser que la responsabilit de lemployeur pourrait tre recherche du fait que ses employs pourraient accder de tels contenus. Larticle 227-23 du Code pnal dispose notamment : le fait, en vue de sa diffusion, de fixer, d'enregistrer ou de transmettre l'image ou la reprsentation d'un mineur lorsque cette image ou cette reprsentation prsente un caractre pornographique est puni de cinq ans d'emprisonnement et de 75 000 Euros d'amende. le fait d'offrir, de rendre disponible ou de diffuser une telle image ou reprsentation, par quelque moyen que ce soit, de l'importer ou de l'exporter, de la faire importer ou de la faire exporter, est puni des mmes peines ; De mme, on peut faire rfrence larticle 227-24 du Code pnal qui lui, vise empcher que des mineurs puissent accder des messages caractre violent ou pornographique ou de nature porter gravement atteinte leur dignit humaine : une entreprise qui compterait parmi ses stagiaires des mineurs, sexposerait aux risques dinfractions prvus cet article, confirmant plus encore la ncessit de mise en uvre de solutions de filtrage. Cette apprciation peut tre transpose lensemble des autres dispositions caractre pnal visant restreindre laccs certains contenus. En rsum, que lemployeur soit tenu de manire exprs ou quil y soit vivement invit, selon le fameux principe de prcaution, il est dans son intrt aujourdhui de mettre en uvre et
35

Selon larticle R. 335-5-I du Code de la proprit intellectuelle, cr par le dcret 2010-695 du 25 juin 2010 instituant une contravention de ngligence caractrise protgeant la proprit littraire et artistique sur internet, constitue une ngligence caractrise le fait, sans motif lgitime, pour la personne titulaire dun accs des services de communication au public en ligne, soit de ne pas avoir mis en place un moyen de scurisation de cet accs, soit davoir manqu de diligence dans la mise en uvre de ce moyen. .

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 23

de dployer des mesures de contrle daccs Internet et de loguer les actes de ses salaris sur Internet.

Le saviez-vous ? Le premier dont la responsabilit sera recherche, cest lemployeur . 3.3.2. RESPONSABILITE DE LUTILISATEUR

En tant quutilisateur des moyens informat iques et de communications lectroniques mis sa disposition par son employeur, lemploy est responsable de ses actes, aussi bien sur le plan pnal et que sur le plan civil. Sur le plan civil, lengagement de sa responsabilit se fonde sur les articles 1382 et 1383 du Code civil : tout fait quelconque de l'homme, qui cause autrui un dommage, oblige celui par la faute duquel il est arriv le rparer ; chacun est responsable du dommage qu'il a caus non seulement par son fait, mais encore par sa ngligence ou par son imprudence . La responsabilit de lutilisateur est subordonne la preuve : dune faute ou dune ngligence commise ; dun prjudice subi ; dun lien de causalit entre la faute ou la ngligence et le prjudice. Sur le plan pnal, lutilisateur pourra voir sa responsabilit engage ds lors que sera apporte la preuve quil est lauteur ou le complice de linfraction ou de la tentative dinfraction, de la mme manire que pour son employeur personne physique. Lengagement de la responsabilit de lutilisateur tant sur le plan pnal que civil pourra le cas chant se cumuler avec celle de son employeur, si elle est tablie. Enfin, le licenciement dun employ pour une utilisation des moyens informatiques et de communications lectroniques mis sa disposition par son employeur, pouvant revtir une qualification pnale peut tre qualifi de licenciement pour faute grave. La Cour de Cassation36 dans deux arrts distincts , a qualifi de licenciement pour faute grave le licenciement de deux salaris pour leur utilisation des fins personnelles ou en violation des rgles de l'entreprise de l'outil informatique mis disposition par l'employeur pour les besoins de leur travail. En effet, le salari avait envoy des courriers caractre pornographique depuis sa messagerie professionnelle. Or, la Cour de Cassation a rappel que les courriers adresss par le salari depuis sa messagerie professionnelle tant prsums avoir un caractre professionnel, l'employeur peut les ouvrir hors la prsence du salari, sauf si celui-ci les identifie comme tant personnels. Par ailleurs, la Cour de Cassation a qualifi le licenciement d'un salari ayant viol une interdiction pose par la charte informatique mise en place par l'entreprise et intgre au rglement intrieur de licenciement pour faute grave justifiant le licenciement immdiat de l'intress. En effet, le salari avait utilis sa messagerie professionnelle pour la rception et l'envoi de documents caractre pornographique et la conservation sur son disque dur d'un nombre consquent de tels fichiers, savoir 480, alors que la charte prohibe formellement la
36

Cass. soc. 15-12-2010.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 24

consultation, la diffusion ou le tlchargement d'images caractre pornographiques. De plus, la Cour de Cassation a ajout que ces agissements taient susceptibles de revtir une qualification pnale. Dernirement, la Cour d'appel de Versailles a affirm que l'installation d'un logiciel permettant le tlchargement illgal duvres musicales partir de l'adresse IP de l'employeur tait constitutif d'une faute grave rendant impossible le maintien du salari son poste, mme pendant la dure du pravis37.

Le saviez-vous ? Lutilisateur est responsable de ses actes si lentreprise est en mesure de lidentifier. 3.3.3. ROLE ET RESPONSABILITE DES ADMINISTRATEURS / DSI Le rle des administrateurs

3.3.3.1.

Comme le prcise la Cnil dans son Guide pratique pour les employeurs et les salaris 38, les administrateurs ont pour fonction dassurer le fonctionnement normal et la scurit des rseaux et systmes. Dans le cadre de leurs fonctions, ils peuvent tre amens accder des informations personnelles concernant les utilisateurs (messagerie, historique des sites consults, fichiers logs ou de journalisation, etc.) y compris celles qui sont enregistres sur le disque dur du poste de travail (fichiers temporaires, cookies). Daprs la Cnil, un tel accs nest justifi que lorsque le bon fonctionnement des systmes informatiques ne pourrait tre assur. Selon la fiche pratique CNIL Peut-on accder lordinateur dun salari en vacances 39, un administrateur rseau ne doit pas communiquer systmatiquement lensemble des mots de passe et des identifiants des salaris de lentreprise lemployeur, mme si les fichiers contenus dans un ordinateur sont prsums tre professionnels. En effet, les mots de passe et identifiants sont personnels et les administrateurs sont soumis une obligation de confidentialit. Ils peuvent rvler les informations entrant dans le champ du secret des correspondances et de la vie prive des utilisateurs, que si de telles informations ne portent pas atteinte : Au bon fonctionnement technique des applications ; A la scurit ; A lintrt de lentreprise. Les administrateurs ne pourraient, par ailleurs, tre contraints de divulguer de telles informations, sauf disposition lgislative particulire en ce sens, daprs la Cnil. Cependant, si un employ est absent, lemployeur peut lui demander son mot de passe lorsque les informations dtenues par cet employ sont ncessaires la poursuite de lactivit de lentreprise40. Lemployeur ne doit cependant pas accder aux contenus identifis comme personnels par lemploy.

37 38

CA Versailles 31-5-2011 Mickael P. c/ Mireille B.P. Guide pratique de la Cnil pour les employeurs et les salaris , dition 2010. 39 Fiche pratique CNIL Peut-on accder lordinateur dun salari en vacances , 19 juillet 2010. 40 Cass. 18-3-2003.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 25

Tous les fichiers qui ne sont pas identifis comme personnel sont rputs tre professionnels de sorte que lemployeur peut y accder hors la prsence du salari 41. En revanche, si un fichier est identifi comme personnel, lemployeur ne peut y avoir accs quen prsence du salari ou si celui-ci a t dment appel, ou en cas de risque ou vnement particulier. Le salari ne peut sopposer un tel accs si ces conditions ont t respectes. Sagissant des donnes de connexions internet, une jurisprudence a retenu quelles ne relevaient pas de la vie prive, mais taient prsumes profession nelles. Lemployeur peut donc y avoir accs, en dehors de la prsence du salari42. Dans ce contexte, comme le souligne la Cnil, il reste prfrable de rappeler lobligation de confidentialit des administrateurs dans leur contrat de travail ainsi que dans la charte dutilisation des moyens informatiques et de communications lectroniques, le cas chant. 3.3.3.2. Les responsabilits des administrateurs et DSI

Les personnels, quils soient directeurs de la scurit des systmes dinformation ou administrateurs sont ncessairement responsables des fautes quils commettent titre personnel, dans le cadre de leur prsence au sein de lentreprise. La dcision de la Cour dappel de Paris du 4 octobre 200743 a confirm le licenciement dun administrateur qui avait tlch arg pendant ses heures de travail des fichiers pirats et contrefaits en utilisant le systme, des fins personnelles trangres lactivit de son employeur. Cependant, cest sur un double terrain que la responsabilit des personnels en charge des moyens informatiques et de communications lectroniques pourra tre recherche, dans le cadre de leur sphre professionnelle : Le premier axe de responsabilit pourra tre celui de lincomptence professionnelle ou de ngligence fautive ; la question sera un jour pose de savoir si le fait pour un DSI de ne pas informer ses dirigeants de lexistence de moyens de contrle et de restriction daccs Internet constitue ou non un manquement ses obligations ; Le deuxime axe de responsabilit portera sur lexcution de demandes formules par lemployeur et qui savreraient manifestement illicites quant la mise en uvre, au dploiement ou lutilisation des donnes relatives loutil de filtrage. Les logiciels de prise en main distance permettent aux ges tionnaires techniques daccder distance lensemble des donnes de nimporte quel poste de travail, des fins de maintenance informatique. De tels outils pourraient tre utiliss par lemployeur des fins de contrle des activits de ses employs. La CNIL prcise dans son guide44, quune telle utilisation nest pas conforme aux principes de proportionnalit et de finalit poss par la loi Informatique et liberts .

41 42

Cass. 18-10-2006. Cass. soc. 9-7-2008 : Mais attendu que les connexions tablies par un salari sur des sites Internet pendant son temps de travail grce loutil informatique mis sa disposition par son employeur pour lexcution de son travail sont prsumes avoir un caractre professionnel de sorte q ue lemployeur peut les rechercher aux fins de les identifier, hors de sa prsence . 43 CA Paris 22e ch. C 4-10-2007 RG 03/12345. 44 Guide pratique de la Cnil pour les employeurs et les salaris , dition 2010.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 26

Lors de lutilisation de tels logiciels, la CNIL recommande aux gestionnaires tech niques de prendre deux prcautions afin de garantir la transparence dans leur emploi et la confidentialit des donnes auxquels ils accdent : Recueillir laccord de lutilisateur qui aura t pralablement inform pour donner la main ; Tracer les oprations de maintenance.

Le saviez-vous ? Le dfaut de filtrage pourrait tre considr comme une faute professionnelle par dfaut de mise en uvre de bonnes pratiques .

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 27

4. PLAN DE DEPLOIEMENT 4.1. ETAPE 1 : LE CHOIX DE LA SOLUTION

Une solution de filtrage pertinente doit tre capable de proposer : Un choix des catgories correspondant au droit pnal du pays et segmentes en fonction des centres dintrts des utilisateurs ; Un taux de reconnaissance lev (aptitude reconnatre les sites demands) ; Une qualit du classement pertinente (choix de la bonne catgorie). 4.1.1. LE BON CHOIX DES CATEGORIES

Il est important de sassurer que la solution de filtrage que lon souhaite mettre en place permette lentreprise de se dfendre conformment au droit pnal ap plicable dans le(s) pays dans le(s)quel(s) elle donne accs Internet. Pour cela la solution de filtrage doit permettre dexclure prcisment les sites et protocoles illicites. De mme il est indispensable que celle-ci prenne en compte les centres dintrts extra-professionnels des internautes afin dapporter une simplicit de cration des politiques de filtrage et que celles -ci soient efficaces.

Bonne pratique ! Il faut savoir choisir un outil adapt son besoin et rpondant aux obligations lgales et qui collecte des donnes non discriminatoires 4.1.2. LIMPORTANCE DU TAUX DE RECONNAISSANCE

La qualit dune solution de filtrage se mesure en grande partie la qualit de ses bases. Il y a environ 200 millions de sites web dans le monde. Trs vite on comprend que la taille de la base de donnes ne peut pas tre considre comme un critre de qualit satisfaisant. En effet, si les urls rfrences ne correspondent pas lusage du web tel quil est fait par lorganisation, cette base ne sera pas pertinente quelle que soit sa taille. Le taux de reconnaissance est lindicateur le plus fiable pour mesurer lefficacit dun outil de filtrage. Les solutions amricaines vocation mondiale embarquent des bases trs volumineuses mais qui incluent les sites les plus regards dans le monde avec une trs grosse proportion de sites anglo-saxons. Pour le march franais, des sites franais comme tf1.fr ou fnac.com seront rfrencs mais pas forcment des sites audience plus locale comme des pages pornographiques sur des blogs franais. Il est intressant de noter que les 100.000 premiers sites regards de France reprsentent 98% du trafic et que 70% dentre eux sont francophones.

4.1.3.

LA QUALITE DU CLASSEMENT : LES SITES DANS LES BONNES CATEGORIES

Le troisime critre dvaluation est la qualit de classement. Lanalyse automatique base de mots cls ou dintelligence artificielle conduit trop souvent des valuations errones qui se traduisent par du sur-filtrage et donc un mcontentement des utilisateurs.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 28

Il est important que le classement effectu par lditeur soit juste, c'est --dire que le site soit class dans la catgorie dont il est le plus proche. Des pages diffrentes dun mme site peuvent dailleurs tre classes dans des catgories diffrentes (ex emple : les portails sont par nature multi catgories). Lapprciation de lappartenance dun site une catgorie plutt qu une autre ncessite : Une analyse humaine (nous avons vu que les techniques dintelligence artificielle ne sont pas encore assez performantes) ; Un jugement de valeur qui soit bas sur un rfrentiel culturel trs proche de lentreprise utilisatrice. Ce dernier point est trs important et favorise aussi les solutions locales. Des diteurs amricains peuvent, par exemple, classer des syndicats dans la catgorie terrorisme/activisme car cest sincrement dans cette catgorie que leur jugement de valeur les place. Limpact de ces erreurs de classement peut se traduire, au minimum par du temps pour reclasser certains sites et au pire par des difficults sociales. Lutilisation du filtrage est non seulement lgale mais apparat dans bien des cas comme tant impose par la loi. Sa mise en uvre doit sinscrire dans le respect des obligations lgales que constituent principalement : Le droit informatique et liberts ; Le droit du travail. 4.2. ETAPE 2 : LE RESPECT DU DROIT INFORMATIQUE ET LIBERTES 4.2.1. LES PRINCIPES DE LA LOI INFORMATIQUE ET LIBERTES

La loi Informatique et liberts, vise ce que lon nomme les donnes caractre personne l et les traitements de donnes caractre personnel. En vertu de larticle 2 alina 2 et 3 de la loi Informatique et liberts : Constitue une donne caractre personnel toute information relative une personne physique identifie ou qui peut tre identifie, directement ou indirectement, par rfrence un numro d'identification ou un ou plusieurs lments qui lui sont propres. Pour dterminer si une personne est identifiable, il convient de considrer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accs le responsable du traitement ou toute autre personne. ; Constitue un traitement de donnes caractre personnel: toute opration ou tout ensemble doprations portant sur de telles donnes, quel que soit le procd utilis, et notamment la collecte, lenregistrement, lorganisation, la conservation, ladaptation ou la modification, lextraction, la consultation, lutilisation, la communication par transmission, diffusion ou toute autre forme de mise disposition, le rapprochement ou linterconnexion, ainsi que le verrouillage, leffacement ou la destruction .

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 29

Larticle 8 I de ladite loi prcise galement des interdictions en matire de collecte ou de traitement de certaines donnes : Il est interdit de collecter ou de traiter des donnes caractre personnel qui font apparatre, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives la sant ou la vie sexuelle de celles-ci. En application de larticle 6 de la loi Informatique et liberts , un traitement de donnes caractre personnel ne peut porter que sur des donnes : Collectes de manire loyale et licite ; Adquates, pertinentes, compltes et non excessives eu gard la finalit du traitement ; Conserves sous une forme permettant lidentification des personnes concernes pendant une dure qui nexcde pas la dure ncessaire aux finalits po ur lesquelles elles sont collectes et traites. Dans la mesure o les outils de filtrage permettent didentifier les comportements de personnes physiques, les informations quils comportent constituent bien des donnes caractre personnel au sens de la loi. Les donnes des outils de filtrage peuvent tre collectes, saisies, enregistres, consultes, dites. Elles font donc lobjet dun traitement. Par consquent, un dispositif de filtrage constitue un traitement soumis la lgislation relative la protection des donnes caractre personnel. 4.2.2. LES DEMARCHES PREALABLES A METTRE EN OEUVRE

Schmatiquement, pour quun outil de filtrage soit mis en uvre conformment la loi Informatique et liberts, 3 grands principes doivent tre respects : Le droit des personnes ; Les formalits accomplir ; La scurit des donnes ; 4.2.2.1. Le droit des personnes

Les personnes concernes par un traitement de donnes caractre personnel disposent de cinq droits : Le droit linformation ; Le droit daccs ; Le droit dinterrogation ; Le droit dopposition ; Le droit de rectification.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 30

La personne dont les donnes caractre personnel font lobjet dun traitement doit tre informe, au plus tard au moment de la collecte des donnes 45 : De lidentit du responsable du traitement et, le cas chant, de celle de son reprsentant ; De la finalit poursuivie par le traitement ; Du caractre obligatoire ou facultatif des rponses ; Des consquences ventuelles, son gard, dun dfaut de rponse ; Des destinataires ou catgories de destinataires des donnes ; Des droits quelle dtient ; Des transferts de donnes destination dun Etat non -membre de la Communaut europenne. Cette information peut tre ralise par le biais de la charte. Les entits responsables du traitement devront mettre en place une procdure afin de garantir aux personnes concernes lexercice de leur droit de rectification, dinterrogation et de leur droit daccs conformment larticle 39 de la loi Informatique et liberts. Ces dernires ont en effet le droit dinterroger le responsable du traitement en vue dobtenir : La confirmation que des donnes caractre personnel les concernant font ou ne font pas lobjet dun traitement ; Des informations relatives aux finalits du traitement ou catgories de donnes caractre personnel traites et les destinataires ou catgories de destinataires auxquels les donnes sont communiques ; Le cas chant, des informations relatives aux transferts de donnes caractre personnel envisags destination dun Etat non-membre de la Communaut europenne ; La communication, sous une forme accessible, des donnes caractre personnel qui la concernent ainsi que de toutes informations disponibles quant lorigine de celles ci ; Les informations permettant de connatre et de contester la logique qui sous-tend le traitement automatis en cas de dcision prise sur le fondement de celui-ci et produisant des effets juridiques son gard 46. Ces droits ont pour but dencourager la transparence dans lexp loitation des donnes caractre personnel 47. Les personnes concernes par le traitement ont en outre le droit de sopposer, pour des motifs lgitimes, ce que des donnes caractre personnel les concernant fassent lobjet dun traitement48. 4.2.2.2. La dclaration Cnil

De fait, toute entit qui met en uvre un outil de filtrage doit procder aux formalits pralables imposes par la Cnil.

45 46

Loi 78-17 du 6-1-1978, art.32. Loi 78-17 du 6-1-1978, art. 40. 47 Alain Bensoussan, Informatique, tlcoms, internet d. 2008, n1639. 48 Loi 78-17 du 6-1-1978, art. 38.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 31

On peut sinterroger sur le type de dmarches pralables mettre en uvre. Larticle 22 de la loi Informatique et liberts prvoit que les traitements automatiss de donnes caractre personnel doivent faire lobjet dune dclaration auprs de la Cnil. Lorsque ceux-ci ne relvent pas des dispositions prvues aux articles 25, 26 et 27 de la loi relatifs aux demandes dautorisation. Ds lors que le dispositif de filtrage permet un contrle individuel, celui-ci doit faire lobjet dune dclaration dite normale auprs de la Cnil. Cette dclaration doit notamment prciser : La finalit du traitement ; Les donnes caractre personnel traites ; La ou les catgories de personnes concernes ; La dure de conservation des donnes tablie, tant prcis que la Cnil considre quune dure de conservation de six mois paratrait suffisante dans la plupart des cas ; Lindication de la date laquelle les instances reprsentatives du personnel ont t consultes sur la mise en place des outils de filtrage. La dclaration normale portera en gnral sur la mise en uvre de lensemble des outils de surveillance et particulirement sur les outils de filtrage. Si loutil de filtrage est le seul traitement de contrle individuel des employs, alors il fera lobjet dune dclaration normale en tant que tel. La dclaration pourra alors tre transmise par internet, par un dpt direct auprs de la Cnil, ou par un envoi par lettre recommande avec accus de rception. Lenregistrement de la dclaration auprs de la Cnil ne sera effectif quaprs rception du rcpiss portant le numro de dclaration. Ds rception de ce rcpiss, le traitement peut tre mis en uvre.

Le saviez-vous ? La dclaration normale la CNIL ne fait que 4 pages.

En revanche, si lentreprise dispose dun correspondant informatique et liberts 49, elle se trouvera dispense de la dclaration normale50. Si le dispositif de filtrage ne permet pas de contrle individuel, il est possible de procder une dclaration simplifie du traitement. En effet, une norme simplifie n46 relative la gestion du personnel permet de procder une dclaration simplifie auprs de la Cnil des outils informatiques lis la gestion des personnels. Autrement, comme indiqu prcdemment, il convient de privilgier la ralisation dune dclaration normale auprs de la Cnil, lexercice ntant dailleurs pas plus compliqu quune dclaration simplifie. Enfin en labsence de donnes directement ou indirectement nominatives, le dispositif de filtrage ne constitue pas un traitement de donnes caractre personnel et ne ncessite pas une dclaration la Cnil.
49 50

Tel que le prvoit lart. 22-III de la loi Informatique et liberts. Guide pratique de la Cnil pour les employeurs et les salaris , dition 2008 p. 18.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 32

Si les donnes relatives aux employs sont anonymises, il convient de prciser les modalits de cette anonymisation afin de dterminer si lanonymisation des donnes est absolue, cest dire si les donnes ne sont plus nominatives directement (nom, prnom) et indirectemen t (adresse ml, adresse IP). Lanonymisation des donnes doit rellement permettre de faire perdre leur caractre personnel aux donnes afin de rendre impossible toute identification des personnes pour quaucune dclaration la Cnil ne soit ncessaire. Lanonymisation doit donc tre irrversible. Si elle est rversible, le dispositif de filtrage doit tre dclar. 4.2.2.3. La scurit des donnes

Le principe de scurit et de confidentialit des donnes prvoit une obligation de scurit des donnes caractre personnel. Au titre de la loi Informatique et liberts51, le responsable dun traitement de donnes caractre personnel est tenu de prendre toutes prcautions utiles, au regard de la nature des donnes et des risques prsents par le traitement, pour prserver la scurit des donnes, et empcher quelles soient dformes, endommages ou que des tiers non autoriss y aient accs. Des mesures de scurit et de confidentialit adquates devront donc tre prises (mot de passe, scurisation des accs physique et logique ainsi que des liaisons, ). Les pouvoirs de la Cnil et les sanctions La Cnil dispose dune gamme de pouvoirs largie pour vrifier que les dispositions de la loi Informatique et liberts sont respectes. En cas de non respect des dispositions, la Cnil peut sanctionner le responsable du traitement. 4.2.2.4. Le cas particulier du dchiffrement SSL

Au cas particulier o lentreprise souhaite dchiffrer les flux encapsuls (https, ftps, ) dans un objectif de contrle de contenu, il est ncessaire de recue illir laccord individuel des collaborateurs. Une simple mention inscrite dans la charte internet serait insuffisante. Lentreprise doit alors veiller ce que seuls les flux des collaborateurs ayant donn leur accord seront dchiffrs. Pour les autres, elle pourra soit interdire laccs soit lautoriser mais sans dchiffrement. 4.2.3. LES POUVOIRS DE LA CNIL

La modification de la loi Informatique et liberts par la loi n 2004-801 du 6 aot 2004 relative la protection des personnes physiques lgard des trai tements de donnes caractre personnel, a renforc les pouvoirs de la Cnil. Depuis cette rforme, la Cnil dispose de nouveaux pouvoirs. Larticle 11 de la loi Informatique et liberts dresse la liste de ses pouvoirs : La Cnil informe de leurs et obligations les personnes concernes par un traitement et les responsables de traitements en proposant notamment des guides, modles sur son site internet ; Elle veille ce que les traitements soient mis en uvre conformment aux formalits pralables de la loi Informatique et liberts ;
51

Loi 78-17 du 6-1-1978, art.34.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 33

Elle dispose dun pouvoir rglementaire pour encadrer ces traitements et peut laborer des normes relatives certains catgories de traitements et dicter des recommandations ; Elle est consulte sur tout projet de loi ou dcret relatif la protection des personnes lgard des traitements ; Elle conseille les personnes et les organismes privs ou publics qui souhaitent mettre en uvre ou envisage de mettre en uvre des traitements ; Elle anime le rseau des Correspondants Informatique et liberts (Cil) ; Elle dlivre un label des produits ou des procdures tendant la protection des personnes lgard du traitement de donnes caractre personnel, aprs les avoir reconnus conforme la loi Informatique et liberts ; Elle dispose dun pouvoir dinvestigations et de contrle des traitements mis en uvre ; Elle peut prononcer des sanctions en cas de non respect des obligations Informatique et liberts. 4.2.4. LES SANCTIONS

Les sanctions administratives et pcuniaires que la Cnil peut prononcer sont : Un avertissement ; Une mise en demeure ; Une sanction pcuniaire ; Une injonction de cesser le traitement ; Un Retrait lautorisation de mise en uvre du traitement. Les sanctions pcuniaires prononces par la Cnil font lobjet dun double plafonnement : Lors du premier manquement, le plafond est de 150 000 euros ; En cas de manquement ritr dans un dlai de 5 ans, un second plafond est fix 300 000 euros ou, sagissant dune entreprise 5% du chiffre daffaires hors tax es du dernier exercice clos, dans la limite de 300 000 euros. Le non respect des obligations de la loi Informatique et liberts constitue galement des infractions et peut conduire les tribunaux prononcer des sanctions pnales. La sanction encourue varie en fonction de lobligation non respecte et peut tre une contravention ou un dlit. La peine maximale encourue est de 5 ans demprisonnement et 300 000 euros damende. Pour les personnes morales, lamende encourue est le quintuple de celui prvu pour les personnes physiques.

Bonne pratique Loutil de filtrage doit faire lobjet dune dclaration pralable la Cnil Laccs aux donnes de loutil doit tre scuris

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 34

4.3.

ETAPE 3 : LE RESPECT DU DROIT DU TRAVAIL

La mise en place dune solution de filtrage constitue la fois : Un outil de contrle de lactivit des employs, et doit ce titre tre port leur connaissance52 ; Une nouvelle technologie introduite au sein de lentreprise, et doit en consquence faire lobjet dune consultation des institutions reprsentatives du personnel 53. 4.3.1. LINFORMATION INDIVIDUELLE DES EMPLOYES Simple document dinformation et/ou charte Internet ?

4.3.1.1.

Ds lors que loutil de filtrage engendre la collecte des donnes caractre personnel, un document doit tre rdig pour informer les salaris individuellement et collectivement de la mise en place de cet outil. Il nexiste pas de prsentation obligatoire quant la forme permettant dassurer une telle information. Ce document peut tre une charte communment appele charte dusage des moyens informatiques et de communications lectroniques ou charte utilisateur . Cependant, implmenter au sein de lentreprise ou de ltablissement une telle charte peut ncessiter plus de temps. Ainsi, dans le but de simplifier ces dmarches dinformation, il est possible de rdiger un document prsentant minima la nouvelle technologie, les objectifs recherchs, les rgles dutilisation ainsi que la dure de conservation des donnes collectes. Limplmentation de ce document simplifi consiste pour lemployeur respecter les dmarches minimum suivantes : Transmettre le document chaque salari individuellement travers par exemple une note de service, un courrier accompagnant la fiche de paie, un lien insr sur le site intranet de lentreprise ou de ltablissement ; un outil de diffusion de charte qui permet dafficher celle-ci la premire connexion internet du collaborateur Afficher le document une place accessible sur le lieu de travail ; Soumettre la proposition dinstallation de la solution l'avis du comit d'entreprise54 ou, dfaut, des dlgus du personnel et l'avis du comit d'hygine, de scurit et des conditions de travail55 . Il convient de prciser quun avis ngatif de ces comits ne f ait pas obstacle la mise en place de la solution. En revanche, labsence davis rendu, positif ou ngatif, empche la mise en uvre du logiciel de filtrage. Si cette dmarche simplifie permet de mettre en place rapidement loutil de filtrage, le document ainsi implment nest pas opposable lemploy en ce sens quil ne permet pas
52

C. trav. art. L. 1222-4. : Aucune information concernant personnellement un salari ne peut tre collecte par un dispositif qui na pas t port pralablement sa connaissance. 53 C. trav. art. L. 2323-13 al. 1. 54 C. trav. art. L. 2323-13 al. 1. 55 C. trav. art. L. 4612-8.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 35

lemployeur dutiliser les informations rsultant de lutilisation de loutil de filtrage pour prendre une sanction lgard du personnel. Dans le but de rendre une charte utilisateurs opposable aux employs et donc efficace juridiquement, une procdure dimplmentation spcifique doit alors tre suivie. Eu gard son objet, consistant notamment poser des obligations gnrales et permanentes concernant les conditions d'utilisation des quipements de travail et la scurit au sein de lentreprise, elle doit tre considre comme une adjonction au rglement intrieur56, si un tel rglement existe dj. La charte constitue alors une annexe au rglement intrieur, ds lors que sa procdure dimplmentation est la mme que celle prvue pour la mise en uvre dun tel rglement. Cette procdure dimplmentation de la charte consiste alors : La soumettre l'avis du comit d'entreprise ou, dfaut, des dlgus du personnel ainsi que, pour les matires relevant de sa comptence, l'avis du comit d'hygine, de scurit et des conditions de travail57 et au comit technique pour les tablissements publics ; Lafficher une place convenable et aisment accessible dans les lieux de travail ainsi que dans les locaux et la porte des locaux o se fait l'embauche 58 ; La dposer au greffe du conseil de prud'hommes du ressort du sige social de lentreprise, pour les personnes soumises au Code du travail 59 ; La transmettre l'inspecteur du travail en deux exemplaires, pour les personnes soumises au Code du travail60.

56 57

C. trav. art. L. 1321-5. C. trav. art. L. 1321-4. 58 C. trav. art. R. 1321-1. 59 C. trav. art. R. 1321-2. 60 C. trav. art. R. 1321-4.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 36

Charte utilisateurs ou document

Procdure dimplmentation respecte

Contenu non conforme

Procdure dimplmentation non respecte

Efficacit juridique(annexe au rglement intrieur)

Inefficacit juridique

Par ailleurs, si lemployeur souhaite apporter des modifications ultrieures ce document, il devra de nouveau respecter la mme procdure. En ce qui concerne les personnes tierces lentreprise qui ont accs internet, la charte informatique, constituant une annexe au rglement intrieur, nest pas par principe opposable aux tiers qui ne sont pas des salaris de lentreprise. Dans la catgorie des tiers, il faut distinguer entre : Les tiers intervenant sous contrat de prestations (exemple : contrat de sous-traitance sur place); Les tiers pour lesquels il ny a pas ncessairement de contrat (par exemple intervention occasionnelle dun travailleur indpendant). Concernant les premiers, il est ncessaire dinsrer une clause dans le contrat de prestation de service visant la charte informatique, charge pour lemployeur principal de la personne de faire respecter la charte. Concernant les seconds, la seule solution est lacceptation individuelle de la charte informatique. La procdure dacceptation individuelle peut tre : Ecrite ; Par voie lectronique suite louverture dune session informatique, le cas chant. Idalement, il est conseill de rdiger cot de la charte informatique du systme dinformation applicable aux salaris/agents, une charte des droits daccs pour les tiers de lentreprise.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 37

La charte des droits daccs est un document quasi -identique la charte informatique mais adapte aux utilisateurs tiers de lentreprise et qui prvoit notamment des sanctions adaptes pour cette catgorie dutilisateurs en cas de non respect de la charte. Ladoption dune charte destination des personnels ne rgle cependant pas t ous les problmes. Elle ne rgle pas le problme des conditions dans lesquelles les personnels des directions informatiques et particulirement les administrateurs systmes peuvent ou non dployer les outils, les paramtrer, ou encore accorder telle ou telle personne une drogation temporaire ou dfinitive. 4.3.1.2. La particularit des chartes dans les administrations

Le dpt de la charte informatique au greffe du conseil des prudhommes est sa transmission linspecteur du travail ne concerne que les personnes soumises au Code du travail. La procdure dimplmentation dune charte informatique dans ladministration nest pas homogne. Elle dpend de la catgorie dutilisateur au sein de ladministration et de la fonction publique laquelle il appartient (fonction publique de lEtat, fonction publique territoriale, fonction publique hospitalire). Il existe de multiples statuts au sein de ladministration. Il ne sera abord ci -dessous que la procdure dimplmentation relative aux agents titulaires de lEtat (fonctionnaires) et aux agents non titulaires de lEtat (agents contractuels). Sagissant des agents titulaires de lEtat, ces derniers sont notamment soumis : La loi n 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires et son article 4 dispose que : le fonctionnaire est, vis vis de ladministration dans une situation statutaire et rglementaire . Leur situation est donc rgie de faon statutaire et rglementaire. En consquence, leur situation est modifiable par le lgis lateur ou lautorit administrative dtenant le pouvoir rglementaire. Leurs droits et avantages peuvent donc tre accrus et leurs obligations et sujtions aggraves en fonction des exigences de lintrt gnral et des besoins du service, et ce par voie l gislative ou rglementaire. La loi n 84-16 du 11 janvier 1984 portant dispositions statutaires relatives la fonction publique de lEtat. Larticle 28 de la loi n83-634 portant droits et obligations des fonctionnaires dispose que : Tout fonctionnaire, quel que soit son rang dans la hirarchie, est responsable de l'excution des tches qui lui sont confies. Il doit se conformer aux instructions de son suprieur hirarchique, sauf dans le cas o l'ordre donn est manifestement illgal et de nature compromettre gravement un intrt public ; Il n'est dgag d'aucune des responsabilits qui lui incombent par la responsabilit propre de ses subordonns. Ce principe d'obissance est ainsi associ un principe de la responsabilit du fonctionnaire dans la mesure des tches et des prrogatives qui lui sont confies. L'obissance hirarchique impose au fonctionnaire de se soumettre aux mesures prises par le chef de service pour le fonctionnement et l'organisation du service qu'elles soient gnrales (circulaires, instructions, notes de service...) ou particulires (comme les dcisions d'affectation).

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 38

La jurisprudence reconnat au chef de service un pouvoir autonome d'organisation dans le respect de la hirarchie des normes : Considrant que si, mme dans le cas o les ministres ne tiennent d'aucune disposition lgislative un pouvoir rglementaire, il leur appartient, comme tout chef de service, de prendre les mesures ncessaires au bon fonctionnement de l'administration place sous leur autorit [...] dans la mesure o l'exige l'intrt du service 61. Lacte rglementaire est un acte : Gnral ; Impersonnel ou non nominatif ; Visant une fonction, une institution, ou une situation 62 En lespce une charte informatique a vocation entrer dans la catgorie de lacte rglementaire, dans la mesure o elle sapplique : De manire gnrale ; Sans distinguer les catgories de destinataires ; A toutes personnes places dans la situation dutilisateur des systmes dinformation. La charte informatique ne doit pas comporter de dispositions manifestement illgales, ou compromettant gravement un intrt public. En consquence, la charte devrait simposer au fonctionnaire, en tant quacte rglementaire pris dans le cadre de lorganisation du service. Cependant, dans le cas o lacte rglementaire affecterait les droits et obligations statutaires des fonctionnaires ou les prrogatives dont ils bnficient de par leur appartenance leur corps, il pourrait faire lobjet dun recours pour excs de pouvoir ou vert mme sans texte contre tout acte administratif et qui a pour effet dassurer, conformment aux principes gnraux du droit, le respect de la lgalit 63 La charte doit tre adopte aprs consultation du comit technique 64 et le cas chant, du comit dhygine, de scurit et des conditions de travail65. Ces comits nont quun pouvoir consultatif et la dcision revient en dernier ressort lautorit hirarchiquement comptente. Nanmoins, leur consultation tant obligatoire dans le cadre dune c harte informatique, le dfaut de consultation entacherait la charte dillgalit. Sagissant des agents contractuels de lEtat, ces derniers ne sont pas des fonctionnaires car leur mission prend ncessairement fin, soit par une cessation d'emploi dans la fonction publique, soit par une poursuite d'emploi dans la fonction publique la suite d'une intgration. Un agent li ladministration peut tre un agent public ou un salari de droit priv. Sil sagit dun agent public, le droit applicable est le d roit est le droit public et le juge comptent pour connatre de tout litige est le juge administratif. Les agents publics non titulaires sont soumis au dcret n86-83 du 17 janvier 1986, et notamment aux articles 43, 43-1, 43-2, 44 du titre relatifs la suspension et la discipline.

61 62

CE sec.7-2-1936 n 433211 Jamart Jurisclasseur administratif, fascicule 106-10 Notion dacte administratif n10. 63 CE sec. 17-2-1950 n 86949 Dame Lamotte.
64 65

Article 15 de la loi n84-16 du 11 janvier 1984 Article 16 de la loi n84-16 du 11 janvier 1984

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 39

Selon les dispositions desdits articles, lagent non titulaire est soumis, de la mme manire que le fonctionnaire civil, lobligation dobir aux instruction s qui lui sont donnes, sauf en ce qui concerne les ordres manifestement illgaux et de nature compromettre lordre public 66. En consquence, lagent non titulaire devra se conformer la charte informatique, de la mme manire que le fonctionnaire. Sil sagit dun agent de droit priv, sa situation sapparente celle dun salari travaillant dans une entreprise. Il est soumis au Code du travail. La procdure dimplmentation de la charte est la mme que celle relative aux salaris. 4.3.1.3. La particularit du personnel informatique

Les meilleures pratiques en la matire consistent donc ct de la charte destine lensemble des personnels, adopter une charte spcifique dite charte administrateur ou encore charte des droits dadministration . Il apparat ncessaire de responsabiliser ladministrateur aussi bien par la technologie (filtrage, contrle des accs et des usages) que par un encadrement de la rgle du jeu sur un plan contractuel. La charte administrateur est un complment indispensable la charte des utilisateurs car si tout administrateur est un utilisateur, tous les utilisateurs ne sont pas des administrateurs ou dots de droits dadministration. De fait, il convient de dterminer les droits et obligations des administrateurs et des personnes disposant dun droit dadministration : ils doivent pouvoir tre protgs de tous risques datteintes la vie prive mais galement pouvoir tre sanctionnes en cas dabus des moyens dont ils disposent. La charte administrateur ne repose sur aucune rglementation en particulier, et sinscrit dans le cadre de la meilleure pratique du moment dans le domaine de la responsabilisation des acteurs de la scurit des systmes dinformation. Le recours la contractualisation de lobligation de confidentialit pesant sur ladministrateur, notamment dans une charte administrateur est galement consacr par la Commission nationale de linformatique et liberts dans le cadre du guide pour les employeurs et les salaris Edition 2008 et particulirement de la fiche pratique n 7. La charte administrateur, faisant lobjet dune acceptation par ladministrateur, doit ncessairement aborder au minima les thmatiques suivantes : les prrogatives, les engagements et les responsabilits de ladministrateur. Elle permet galement de responsabiliser les administrateurs pour leur propre usage tant rappel que la jurisprudence a dj sanctionn : Un administrateur du rseau informatique pour la prsence de fichiers en provenance dInternet approchant les 6 GO dimages, de sons, de vidos et de progiciels laissant prsager un tlchargement 24h/24 et 7 jours/7 depuis le poste administrateur 67; Un administrateur rseau pour atteinte un systme de traitement automatis de donnes alors mme que laccs a t rendu possible du fait de sa fonction dadministrateur68.

66 67

Jursiclasseur Administratif Fascicule 193 Agents non titulaires n65 CA Paris 22me chambre, 4-10-2007. 68 TGI Rennes 21-2-2008.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 40

4.3.2.

LIMPLEMENTATION COLLECTIVE

Les institutions reprsentatives du personnel doivent galement tre consultes pralablement lintroduction dune nouvelle technologie que constitue un logiciel de filtrage69. Les membres du comit dentreprise ou du comit t echnique et le cas chant, du comit dhygine, de scurit et des conditions de travail dans les administrations doivent ainsi tre informs et recevoir, un mois avant la runion dudit comit, les lments d'information sur le projet envisag et ses consquences notamment sur les conditions de travail au sein de lentreprise70. Il convient de prciser quun avis ngatif du comit dentreprise ou du comit technique ne lie pas lemployeur, et ne lempche pas de mettre en place une nouvelle technologie au sein de son entreprise ou de son administration. En revanche, le dfaut de consultation du comit dentreprise correspond un dlit dentrave sanctionn ce titre par le Code du travail. Le dfaut de consultation du comit technique pour les administrations entacherait galement la charte dillgalit.

Bonne pratique Adopter une charte qui intgre le filtrage La charte ne se dclare pas la Cnil. 4.4. ETAPE 4 : LADMINISTRATION ET PARAMETRAGE DE LA SOLUTION

Une fois limplmentation juridique de la mise en uvre des outils de filtrage traite (droit du travail et droit informatique et liberts en particulier), encore faut-il que les modalits dutilisation mme de la solution soient respectueuses des dispositions rglementaires. Plusieurs autres zones de risque juridique sont ici traiter : Le niveau de paramtrage et la qualit des listes dexclusions ; Le traitement galitaire des utilisateurs ; Lutilisation pr-contentieuse ou contentieuse des lments issus des outils de filtrage utiliss. 4.4.1. LE NIVEAU DE PARAMETRAGE ET LA QUALITE DES LISTES DEXCLUSIONS

Sur la premire problmatique, il faut rappeler que la constitution de listes dexclusions nest pas un acte aussi anodin quil ny parat. Sil est normal, voire obligatoire dinterdire laccs un certain nombre de contenus (pdopornographie, racisme, rvisionnisme, contrefaon ) certaines restrictions portent en elle lessence mme dune discrimination. Ainsi, crer des listes dexclusion autour de thmatiques telles que lhomosexualit pourrait tre considr comme attentatoire aux liberts les plus fondamentales des individus voire discriminatoires ou encore homophobes.

69 70

C. trav. art. L. 2323-13 al. 1. C. trav. art. L. 2323-13 al. 2.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 41

4.4.2.

LE TRAITEMENT EGALITAIRE DES UTILISATEURS

Sur la seconde problmatique, qui dcoule de la premire, il est essentiel dassure r le mme niveau de paramtrage de la solution pour tous les utilisateurs occupant un mme poste, afin de ne pas discriminer les utilisateurs. Cependant, si de par lutilisation quil fait dInternet, un utilisateur mettait en pril la scurit du systme dinformation de lentreprise ou de ltablissement, ce motif pourrait justifier une ventuelle intervention de ladministrateur visant limiter les accs Internet de cet utilisateur. Sur ce point, il conviendra davoir pralablement inform lemploy de cette possibilit, par exemple en prvoyant un paragraphe spcifique dans la charte utilisateur cet effet. 4.4.3. LA CONSERVATION DES PREUVES

Sur la troisime problmatique, il faut prciser que le droit de la preuve en matire prcontentieuse ou contentieuse est un droit extrmement rigoureux qui ne laisse la place aucun doute particulirement quand il sagit de sanctionner un employ en application du code du travail. Les conditions dans lesquelles ces lments de preuve peuvent tre apports doivent tre rigoureusement dfinies au sein de lentreprise, dans ce que lon peut appeler un guide de maintien des preuves. Ce document est destin centraliser lensemble des meilleures pratiques en la matire (appel un huissier, saisine des autorits comptentes, prsence du personnel lors doprations de contrle, conditions dans lesquelles des copies peuvent tre ralises,) et doit donc comporter des mentions particulires sagissant des informations et donnes traites travers les outils de filtrage. 4.5. ETAPE 5 : LA GESTION DES LOGS

Il est difficile aujourdhui de rpondre prcisment la question de savoir si lemployeur doit conserver les donnes relatives lutilisation dInternet par ses salaris. Cette difficult rsulte en particulier de la combinaison des dispositions : Du Code des postes et des communications lectroniques, modifi par la loi n 2006-64 du 23 janvier 2006 relative la lutte contre le terrorisme et portant disposition diverses relatives la scurit et aux contrles frontaliers; De larticle 6 de la loi pour la confiance dans lconomie numrique du 21 juin 2004 et son dcret dapplication du 25 fvrier 2011 relatif la conservation et la communication des donnes permettant didentifier toute personne ayant contribu la cration dun contenu mis en ligne. Ces dispositions visent en partie les mmes acteurs, dont le fournisseur daccs, mais selon des approches diffrentes, qui ne concident pas. Larticle 6-II71 de la LCEN fait rfrence notamment aux personnes dont lactivit est doffrir un accs aux services de communication .

71

Renvoyant la LCEN, art. 6 I. 1.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 42

De son cot, larticle L. 34-1 du Code des postes et communications lectroniques vise : Les personnes dont l'activit est d'offrir un accs des services de communication au public en ligne, dans son alina 1er ; Mais galement les acteurs assimils des oprateurs de communications lectroniques qui, au titre d'une activit professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermdiaire d'un accs au rseau, y compris titre gratuit, dans son alina 2. La dfinition de loprateur telle que prvue par larticle L. 34 -1 du Code des postes et communications lectroniques apparat donc beaucoup plus large que celle pose larticle 6 de la LCEN et il est difficile de dterminer les frontires de la notion de fournisseur daccs. Ces difficults dinterprtation sont dailleurs accentues par lincertitude persistante quant au champ dapplication desdits textes, et leur applicabilit aux employeurs. Comme il a dj t prcis, la question nest en effet toujours pas tranche sagissant de la qualification possible de fournisseur daccs dun employeur donnant accs internet ses employs, comme le rappelle la jurisprudence72. Dans ce contexte, et en labsence de rponse jurisprudentielle claire, il est possible de relever que : La directive europenne n 2006/24/CE du 15 mars 2006 sur la conservation de donnes gnres ou traites dans le cadre de la fourniture de service de communication lectronique accessible au public ou de rseau public de communication et modifiant la directive 2002/58/CE, prvoit dans son article 6 une dure de conservation minimale de six mois , et une dure maximale de deux ans ; Le dcret n 2011-219 relatif la conservation et la communication des donnes permettant didentifier toute personne ayant contribu la cration dun contenu mis en ligne du 25 fvrier 2011 : portant application de larticle 6 de la loi n 2004 -575 du 25 juin 2004 pour la confiance dans lconomie numrique prvoit dans son article 3 une dure dun an compter du jour de la cration des contenus ; La Cnil prconise une dure de conservation de six mois sagissant de la conservation de donnes permettant le contrle par lemployeur de lutilisation dInternet faite par ses employs73. Aux termes du dcret n 2011-219 relatif la conservation et la communication des donnes, les FAI doivent conserver pendant un an compter du jour de la cration des contenus, pour chaque connexion de leurs abonns, les donnes suivantes: L'identifiant de la connexion ; L'identifiant attribu par les FAI l'abonn ; L'identifiant du terminal utilis pour la connexion lorsquelles y ont accs ; Les dates et heures de dbut et de fin de la connexion ; Les caractristiques de la ligne de l'abonn. Les FAI et les fournisseurs d'hbergement doivent aussi conserver pendant un an compter du jour de la rsiliation dun contrat ou de la fermeture dun compte par un utilisateur , les informations fournies lors de sa souscription ou lors sa cration savoir :
72 73

CA Paris 14me ch. BNP Paribas c/ Socit World Press Online 4-2-2005. Guide pratique de la Cnil pour les employeurs et les salaris , dition 2008 p. 18.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 43

Au moment de la cration du compte, lidentifiant de cette connexion ; Les nom et prnom ou la raison sociale ; Les adresses postales associes ; Les pseudonymes utiliss ; Les adresses de courrier lectronique ou de comptes associs ; Les numros de tlphone ; Le mot de passe ainsi que les donnes permettant de le vrifier ou de le modifier, dans leur dernire version mise jour. Enfin, lorsque la souscription dun contrat ou dun compte est payante, les FAI et les fournisseurs d'hbergement doivent conserver pendant un an compter de la date dmission de la facture ou de lopration de paiement, pour chaque facture ou opration de paiement, les informations suivantes: Le type de paiement utilis ; La rfrence du paiement ; Le montant ; Date et heure de la transaction. 4.6. ETAPE 6 : LE MAINTIEN EN CONDITIONS OPERATIONNELLES

Il est indispensable dassurer un maintien en conditions oprationnelles de la solution de filtrage et de sa conformit au droit. Il sagit en particulier de sassurer de la conformit lgale du paramtrage et des procdures permettant dassurer lutilisation pr -contentieuse ou contentieuse des lments issus des outils de filtrage mis en uvre.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 44

5. DIMENSION INTERNATIONALE DU FILTRAGE 5.1. LA NECESSITE DE RESPECTER LA REGLEMENTATION LOCALE

La mise en place de solution de filtrage linternational exige galement une mise en uvre dun tel outil, en conformit avec la rglementation locale. 5.2. LA NECESSITE DE FILTRER : UNE PRISE DE CONSCIENCE INTERNATIONALE

De nombreux pays ont compris lintrt de filtrer les accs Internet, mettant en place des mesures allant de lobligation de filtrage impose par la loi dans certains tablissements, au dveloppement de solutions de filtrage que lon pourrait considrer comme labellises . En Espagne, larticle 12bis 3 de la loi n 34/202 relative aux services de la socit de linformation et du commerce lectronique 74 impose par exemple lobligation aux fournisseurs daccs dinformer les utilisateurs sur les outils existant pour le filtrage et la restriction daccs des contenus et services sur Internet qui ne sont pas souhaits ou qui peuvent savrer nocifs pour la jeunesse et lenfance, cette disposition tant entr e en vigueur le 29 mars 2008. Les Espagnols souhaitent aussi adopter une loi pour lutter contre la contrefaon sur internet telle que la loi Hadopi. LItalie ne semble pas disposer de rglementation spcifique propre au filtrage. Le Garante per la protezione dei dati personali, quivalent de la Cnil, a toutefois dit un guide conseillant aux employeurs de rduire les risques lis lutilisation dinternet notamment en ayant recours des filtres afin dempcher les salaris deffectuer un certain nombre dopration. Aux Etats-Unis, vingt et un Etats fdraux ont mis en place des lois imposant le filtrage dans les coles ou les bibliothques publiques. Ces lois consistent imposer la mise en place de politiques visant assurer la prvention en matire daccs des mineurs des contenus notamment obscnes ou pornographiques. Dans le cadre de ces politiques, linstallation de logiciels de filtrage sur les terminaux daccs aux bibliothques publiques ou aux ordinateurs des coles a t impose. Au niveau fdral, a galement t mis en place aux Etats-Unis le Federal Childrens Internet Protection Act qui est une loi exigeant de certaines bibliothques publiques dattester quelles utilisent effectivement des logiciels de filtrage sur leurs ordinateu rs, dans un but de protection des mineurs, si elles souhaitent recevoir des fonds fdraux. La jurisprudence amricaine a, par ailleurs, jug dans un arrt de la Cour Suprme 75 que le Federal Childrens Internet Protection Act ntait pas contraire au premier amendement de la constitution des Etats-Unis protgeant la libert dexpression, et ce mme si les solutions de filtrage peuvent bloquer des sites licites . Cette compatibilit des logiciels de filtrage avec la constitution amricaine tient au fait que les bibliothques se trouvent en mesure de dsactiver les solutions de filtrage pour les adultes employs, leur demande. En novembre 2010, une proposition de loi de lutte contre les infractions et contrefaon sur Internet ( Combating Online Infringement and Counterfeits Act ou COICA) a t adopte par le comit judiciaire du Snat. Cette proposition de loi permettrait au juge amricain, la demande du procureur gnral, de rendre une ordonnance ou une injonction contre les
74 75

Ley 34/2002 de servicios de la sociedad de la informacion y de comercio. Cour Suprme des Etats Unis, United States v. American Library Association , n 02-361, 23-6-2003.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 45

noms de domaines des sites Internet suspects de contribuer la diffusion de contenus illicites. Cette proposition doit cependant encore tre approuve par le Congrs amricain. La jurisprudence amricaine relve qu certains gards, la protection des salaris ncessite un filtrage. Lemployeur peut ainsi parfois tre tenu responsable lorsquil ne met pas en uvre les mesures ncessaires faire cesser une atteinte. Lemployeur pourrait tre ainsi tenu responsable de lexistence dun environnement de travail hostile, tel que dfini par la jurisprudence Harris v. Forklift Systems, Inc. La rception de courriers lectroniques non sollicits nest pas en soi problmatique. En revanche, si lemploy a notifi son employeur le problme rencontr, celui -ci doit mettre en uvre les mesures correctives propres faire cesser le trouble, sous peine de voir sa responsabilit engage. Cette responsabilit peut tre indirecte si elle rsulte de la tolrance de ce genre de courrier lectronique sur le lieu de travail, cest --dire du fait de ne pas avoir pris les mesures ncessaires pour viter la rception de ce type de courriers lectroniques par lemploy. La mise en place de ce type de mesures peut prendre notamment la forme dun filtrage. En revanche, la jurisprudence amricaine sattache galement la libert dexpression des salaris, et notamment dans le cadre syndical. Ainsi, une entreprise peut tre contrainte de ne pas filtrer laccs aux rseaux sociaux, ds lors que les employs les utilisent pour discuter de leurs conditions de travail au sein de lentreprise. A priori, aucune dcision nest encore intervenue en ce sens. Toutefois, une affaire rcente a fait lobjet dune transaction, avec une couverture mdiatique importante, affaire dans laquelle une employe avait t licencie suite des propos tenus sur un rseau social. Son employeur, une socit dambulances a accept de modifier sa charte informatique afin de laisser ses employs la possibilit de discuter de leurs conditions de travail en ligne. Selon le National Labor Relations Board (NLRB), les changes lectroniques des employs font partie de lexercice de leur droit de discuter de leurs conditions de travail. Au Canada, il ne semble pas exister de rgles particulires au niveau lgislatif relatives au filtrage. Nanmoins, la Corporation des bibliothcaires professionnels du Qubec a adopt, au sein de son code de dontologie un article qui dispose Si les tlressources sont filtres dans le milieu o il uvre, le bibliothcaire doit prendre des disposi tions pour que la clientle soit informe de la nature et des motifs du filtrage pratiqu . En Australie, sest dveloppe la rfrence une liste spcifique de solutions de filtrage enregistres auprs dune autorit de rgulation dinternet. Depuis le 1er janvier 2000, la lgislation du Commonwealth est entre en vigueur et sapplique notamment aux fournisseurs daccs. Cette lgislation exige notamment de ces derniers quils rendent disponible pour leurs clients au moins lun des produits de filtrage lists par le Code pratique des contenus de lindustrie 76, ventuellement par le biais dun lien hypertexte par lequel serait tlcharg le logiciel, ou par le tlchargement de ladite solution sur une page spcifique de l Association de lindustrie dInternet 77, ou par la fourniture dun CD contenant un filtre installer. Ces filtres mis disposition de ces clients lists par le Code pratique des contenus de lindustrie 78 sont enregistrs par lautorit australienne des communications et des mdias79, une agence du gouvernement de rgulation dinternet. Il est ainsi intressant de voir que lAustralie a, en quelque sorte, labellis des solutions de filtrage proposes aux clients des fournisseurs daccs.

76 77

Industry Containt Code of Practice. Internet Industry Association. 78 Industry Containt Code of Practice. 79 Australian Communication and Media Authority.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 46

LAustralie sest rcemment dote dune loi relative la vie prive sur le lieu de travail. Cette loi tablit une interdiction gnrale de blocage des accs internet et courrier lectronique des employs, mais dicte une liste dexceptions, parmi lesquels la prsence dun cadre de filtrage prdfini au sein dune charte informatique. En dautres termes, le filtrage doit tre prvu par la charte informatique. Dans le cas contraire, lemployeur est en infraction sil en opre un. La Grande Bretagne, ne semble pas avoir adopt de dispositions lgislatives propres au filtrage. Toutefois, ladoption dune loi rcente80, proche de la loi Hadopi ncessite que soit mis en place au niveau des entreprises des mesures techniques destines empcher lutilisation de rseaux peer-to-peer en provenance ou destination des entreprises, celles-ci tant responsables de lutilisation qui est faite de leur accs Internet. Par ailleurs, un guide81 a t labor notamment par le Ministre de lintrieur en collaboration avec de nombreux fournisseurs de services sur Inte rnet afin dassurer une plus grande scurit du rseau pour les mineurs. Ce guide propose notamment comme objectif la mise en place dun systme de blocage des adresses URL contenant des images pdophiles par tous les fournisseurs daccs britanniques. Le Ministre de lintrieur et lInstitut des standards britanniques 82 travaillent dailleurs actuellement sur le dveloppement de standards permettant dvaluer et de tester lefficacit des solutions de filtrage83. Ces travaux dboucheront peut-tre sur la mme dmarche de labellisation des logiciels quen Australie. Le filtrage des sites contenu pornographique devrait se trouver faciliter depuis la rcente cration de l'organisme charg de rglementer les noms de domaine d'Internet, l'Icann, d'adresses avec le suffixe.xxx.

80 81

Digital Economy Act. Social Networking Guidance. 82 British Standards Institute. 83 Pour plus dinformation : http://police.homeoffice.gov.uk.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 47

LES REGLES DOR DU FILTRAGE


Le choix de la solution : Elle doit tre conforme la lgislation du pays Elle doit permettre un filtrage non discriminatoire dans le traitement des donnes caractre personnel Elle doit collecter les logs nominatifs en cas de rquisition judiciaire La dclaration CNIL : A partir du moment o loutil collecte des donnes nominatives, il est ncessaire de dclarer cet outil la Cnil. Il suffit pour cela de remplir la dclaration dite normale (4 pages) et la transmettre la Cnil. Ce nest pas une obligation dans trois cas : Les employs sont anonymiss dans la solution, il ny a pas de dclaration effectuer. Lentreprise dispose dun Correspondant Informatique et liberts (Cil), il ny a pas de dclaration effectuer. Le dispositif de filtrage ne permet pas un contrle individuel du salari, une dclaration dite simplifie la norme simplifie n 46 peut tre effectue Loutil de filtrage peut tre dploy ds la rception du rcpiss de la Cnil. La charte Internet nest pas tre dclare la Cnil La consultation des institutions reprsentatives du personnel : Lors de lintroduction dune nouvelle technologie les institution s reprsentatives du personnel doivent tre consultes pralablement. Lintroduction de cette nouvelle technologie est soumise lavis du comit dentreprise ou comit technique pour les administrations. Un avis positif ou ngatif sur la dite technologie nest en aucun cas un obstacle au dploiement. Ce qui peut constituer un obstacle est labsence davis. Linformation aux salaris : Ds lors que lentreprise collecte des donnes caractre personnel, les salaris doivent tre informs individuellement. Dans une dmarche simplifie, un simple document dinformation peut suffire si il prsente la nouvelle technologie, les objectifs, les rgles dutilisations et la dure de conser vation des donnes collectes. Cette dmarche simplifie permet de prendre le temps de rdiger une charte plus prcise au vu de lutilisation relle dInternet dans lentreprise. Lopposabilit juridique dune charte : Une charte est juridiquement opposable aux salaris si : Elle est soumise lavis des du comit dentreprise ou technique Elle est soumise lavis du comit dhygine, de scurit et des conditions de travail Elle est diffuse individuellement et collectivement Elle est dpose au greffe du conseil de prudhommes, pour les personnes soumises au Code du travail Elle est transmise linspection du travail en deux exemplaires, pour les personnes soumises au Code du travail La preuve : En cas de litige il convient de conserver la preuve en trois exemplaires : une pour lhuissier (copie non manipule), une pour lentreprise, une pour laccus. Les logs : La conservation des donnes de connexion des salaris par lentreprise permet lentreprise de se prconstituer une preuve en cas de litige avec les salaris.

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 48

6. A PROPOS DOLFEO La solution Olfeo permet de scuriser, doptimiser et danalyser lensemble de la scurit Internet travers 5 produits complmentaires : Proxy cache Qos Filtrage durl Filtrage protocolaire Antivirus de flux Portail public Elle dispose dune architecture technique exclusive lui assurant de trs hautes performances et une grande richesse fonctionnelle. Olfeo renouvelle loffre proxy et de filtrage de contenus grce une approche innovante base sur la proximit culturelle, le respect fidle au contexte juridique local et lassociation des utilisateurs la politique de scurit. La stratgie dinnovation dOlfeo a t plbiscite par plus de 1.000 clien ts satisfaits et fidles. Plus de 96% des clients Olfeo reconduisent leur contrat. Olfeo a construit une solution spcifiquement pour le march franais, elle offre ainsi des avantages uniques : Une protection juridique optimale, Une trs grande facilit de cration des politiques de filtrage grce la conformit des catgories aux habitudes de surf Un taux de reconnaissance des sites visits de plus de 98% Une qualit de filtrage ingal grce au classement manuel Lassociation des utilisateurs votre politique de scurit Pour en savoir plus : www.olfeo.com

Livre blanc juridique Olfeo co-crit avec le cabinet davocats Alain Bensoussan Page 49