par
Sylvain Staub
et Stéphane Marletti,
Avocats à la Cour,
Clifford Chance
Equipe Communication, Média & Technologies
|
|
L'administrateur
de réseaux a en charge la mise en place, la maintenance
et la sécurité des systèmes d'information de l'entreprise.
Il cherche notamment à éviter les risques d'intrusions
ou de virus, à prévenir les fuites de savoir-faire ou
de fichiers clients, et à s'assurer d'une utilisation
normale par les salariés des systèmes informatiques
de l'entreprise. Lorsqu'il ne prend pas les mesures
nécessaires à cette mission, il risque de manquer aux
obligations définies dans son contrat de travail et
d'engager sa responsabilité civile et pénale, tout comme
celle de l'entreprise.
Pour assurer cette sécurité,
il est tenu de surveiller l'usage que font les salariés
de la messagerie et de l'accès à internet mis à disposition
par l'entreprise. Or, cette surveillance, autrement
appelée "cybersurveillance", peut également dans certains
cas engager sa responsabilité. L'administrateur de réseaux
est ainsi dans une position difficile, où, pour protéger
les droits de l'entreprise, il risque d'outrepasser
les siens.
1
- Le principe : l'administrateur de réseaux peut contrôler
l'activité des salariés et le contenu des messages
La CNIL a rappelé, dans son rapport du 5 février 2002
concernant la cybersurveillance sur les lieux de travail,
que les administrateurs de réseaux "sont conduits par
leurs fonctions même à avoir accès à l'ensemble des
informations relatives aux utilisateurs (messagerie,
connexions au réseau internet, fichiers "logs" ou de
journalisation, etc.)
", et qu'un tel accès, tout comme
l'utilisation de logiciels de télémaintenance, n'est
contraire à aucune disposition de la loi Informatique
et Libertés du 6 janvier 1978.
De même, la jurisprudence a-t-elle
précisé (arrêt dit "ESPCI" de la Cour d'Appel de Paris,
17 décembre 2001) qu'"il est dans la fonction des administrateurs
de réseaux d'assurer le fonctionnement normal de ceux-ci
ainsi que leur sécurité, ce qui entraîne, entre autre,
qu'ils aient accès aux messageries et à leur contenu,
ne serait-ce que pour les débloquer ou éviter des démarches
hostiles".
Dans cette même décision, la
Cour a considéré avec bon sens que la lecture et la
retranscription de messages par les administrateurs
de réseaux ne peuvent être qualifiées d'interception
illicite (sanctionnée par l'article 432-9 du Code pénal)
dans la mesure où celles-ci "ne nécessitent ni dérivation
ou branchement et sont effectuées sans artifice ni stratagème".
Le principe du contrôle par
l'administrateur de réseaux de l'activité des salariés
et du contenu des messages semble donc désormais acquis,
ce qui clarifie grandement le rôle de celui-ci. L'exercice
de ce contrôle reste toutefois soumis à certaines conditions
et limites.
2 - Les conditions de ce contrôle : transparence, déclaration
à la CNIL et proportionnalité
· Le comité d'entreprise,
ou à défaut les délégués du personnel, devra avoir été
informé et consulté préalablement à la décision de mise
en uvre d'un dispositif de contrôle et de surveillance
de l'activité des salariés sur leur lieu de travail
(article L.432-2-1 du Code du travail).
· Les salariés doivent avoir
été préalablement informés par l'employeur de l'existence
d'un tel dispositif (article L.121-8 du Code du travail).
Cette information peut se faire au moyen d'une mention
spécifique dans les contrats de travail, ainsi qu'au
moyen d'une charte informatique ou d'un communiqué intégré
au règlement intérieur de l'entreprise.
· Une déclaration simplifiée
auprès de la CNIL doit avoir été préalablement faite
si le dispositif de contrôle constitue un traitement
automatisé de données personnelles. C'est notamment
le cas d'un dispositif de contrôle individuel produisant,
poste par poste, un relevé nominatif des durées de connexion
ou des sites visités.
· De manière générale, un tel
contrôle doit respecter le principe de proportionnalité
des moyens utilisés (article L.120-2 du Code du travail),
les éventuelles restrictions aux libertés individuelles
et collectives devant être proportionnelles au but recherché
par l'administrateur de réseaux. Il s'agit par exemple
d'interdire le contrôle systématique du contenu de tous
les messages échangés par les salariés ou par un salarié
en particulier. En revanche, rien n'empêche l'administrateur
de réseaux de contrôler le nombre, l'origine ou le destinataire
ainsi que le volume et le type de fichiers attachés
des messages émis et reçu par les salariés.
3- Limite liée au caractère privé des fichiers et messages
personnels des salariés
La Cour de cassation, dans un arrêt "NIKON" du 2 octobre
2001, a posé le principe selon lequel "le salarié a
droit, même au temps et au lieu de travail, au respect
de l'intimité de sa vie privée ; que celle-ci implique
en particulier le secret des correspondances ; que l'employeur
ne peut dès lors sans violation de cette liberté fondamentale
prendre connaissance des messages personnels émis par
le salarié et reçus par lui grâce à un outil informatique
mis à sa disposition pour son travail et ceci même au
cas ou l'employeur aurait interdit une utilisation non
professionnelle de l'ordinateur". Les tribunaux ont
ainsi étendu aux messages électroniques personnels le
principe énoncé par l'article 226-15 du Code pénal selon
lequel il est notamment interdit de divulguer des correspondances
émises, transmises ou reçues par la voie des télécommunications.
De la même manière, si l'administrateur
de réseaux a la possibilité, en raison de la nature
de ses fonctions, de prendre connaissance du contenu
des messages ou fichiers personnels d'un salarié, il
ne peut le communiquer à son employeur, même à la demande
de ce dernier : l'administrateur est ainsi soumis à
une obligation de confidentialité à l'égard du contenu
des messages ou fichiers personnels des salariés, sous
peine de rendre illicite (et donc nul) le moyen de preuve
ainsi obtenu, et d'engager sa responsabilité pénale
et/ou celle de son employeur.
En pratique, cette interdiction
de divulgation à l'employeur est extrêmement difficile
à respecter pour les administrateurs de réseaux, justement
chargés de la surveillance de ceux-ci. Si l'employeur
était néanmoins amené à connaître le contenu de fichiers
ou de messages à caractère personnel, il ne devrait
donc en aucun cas en faire état au salarié.
L'administrateur de réseaux
et son employeur ne sont pourtant pas désarmés face
à des fichiers ou messages privés mettant en péril la
sécurité des réseaux, violant la confidentialité des
informations de l'entreprise ou indiquant clairement
les manquements du salarié à son contrat de travail.
4
- Le recours à une charte informatique précise
Il n'est parfois
pas nécessaire de connaître le contenu des fichiers
ou messages personnels d'un salarié, ou tout au moins
de s'en prévaloir, pour faire sanctionner une pratique
abusive, dangereuse ou illicite. La production d'une
simple liste des titres de messages électroniques échangés
par un salarié peut par exemple permettre de caractériser
l'utilisation abusive à titre personnel de la messagerie
de l'entreprise.
Bien plus, lorsque la charte
informatique de l'entreprise définit clairement les
modalités et limites de l'utilisation des moyens informatiques
mis à disposition des salariés, il est possible d'alerter
ou de sanctionner pour simple manquement à cette charte.
A titre d'exemple, il peut ainsi être prévu dans la
charte l'interdiction de se connecter à internet via
un modem autonome, de télécharger certains types de
fichiers, de s'inscrire à des forums de discussion sans
autorisation préalable
Dans tous ces cas, le manquement
d'un salarié pourra être constaté sans que l'ouverture
des fichiers et des messages personnels ne soit nécessaire.
Si toutefois il apparaît indispensable
à l'employeur de prendre connaissance d'un contenu d'un
message ou fichier privé d'un salarié, une procédure
contradictoire devra alors être mise en place.
5
- La saisie des fichiers et messages privés de manière
contradictoire
Afin de pouvoir prendre connaissance, puis faire état
devant les tribunaux, du contenu de fichiers ou messages
privés considérés comme abusifs, dangereux ou illicites,
l'employeur devra préalablement demander par requête
au tribunal compétent l'autorisation de faire procéder
de manière contradictoire à leur lecture, et éventuellement
à leur saisie.
Pour motiver cette requête,
l'employeur, avec l'aide de l'administrateur de réseaux,
devra rassembler suffisamment d'éléments permettant
de justifier de doutes sérieux sur la loyauté ou la
légalité des pratiques du salarié.
En quelques années, le rôle
et la responsabilité de l'administrateur de réseaux
ont été largement précisés. Toutefois, les contours
de la marge de manuvre dont il dispose en cas de situation
critique pour l'entreprise nécessiteraient encore d'être
clarifiés. En attendant, la définition dans l'entreprise
d'une politique transparente et précise concernant les
moyens informatiques reste l'atout majeur des administrateurs
de réseaux.
[sylvainstaub@wanadoo.fr]
Sommaire
de la rubrique
|