Dans quelle mesure l'administrateur réseau d'une entreprise peut-il avoir accès à des informations confidentielles ?
Nicolas
Votre question
Ai-je le droit, en tant qu'administrateur réseau, d'avoir un document répertoriant l'ensemble des mots de passe de sessions des employés sauf ceux de la direction ? Ai-je seulement le droit de les connaître?
La réponse du Journal du Net
L’administrateur réseau d’une entreprise a pour mission de s’assurer du fonctionnement normal et de la sécurité des systèmes et réseaux de l’entreprise. A ce titre, il a accès aux informations relatives à l’utilisation des outils informatiques par les employés, en particulier le contenu des messageries, les données et fréquences de connexions.
L’utilisation de logiciel de maintenance à distance, permet à l’administrateur d’entrer dans les postes de travail des employés.
Par l’objet même de sa tâche, l’administrateur a le droit d’avoir connaissance de ces informations. Ce droit est toutefois encadré.
Aucune disposition de la Loi informatique et libertés du 6 janvier 1978 ne s’oppose à cet accès. Toutefois, dès lors qu’un fichier traitant de données à caractère personnel est établi (fichier de journalisation des connexions informatiques par exemple), il doit être déclaré à la Commission nationale informatique et libertés (CNIL).
Il en va de même en ce qui concerne le fichier contenant les login et mot de passe des salariés. Par ailleurs, compte tenu de la nature très confidentielle de ces données, il est probable que ce type de fichier soit soumis à autorisation et non pas à une simple déclaration auprès de la CNIL. Les employés seront par conséquent informés de l’existence du fichier.
Il est vivement recommandé de ne pas avoir connaissance de ces informations parce qu’en cas d’envoi d’e-mail illicites, l’employés pourra toujours prétendre que ce n’est pas lui mais l’administrateur. La preuve de l’une ou l’autre des prétentions sera très difficile rapporter et la situation très délicate.
De plus, par la nature des données auxquelles il a accès, l’administrateur est confronté au risque de violation du secret des correspondances et de la protection de la vie privée.
La CNIL ainsi que la jurisprudence (Cour d’appel de Paris 17 décembre 2001) ont établi des principes à respecter quant à l’utilisation des informations auxquelles l’administrateur a accès.
D’abord, l’accès à ces informations est conditionné au bon fonctionnement des systèmes et n’est permis que lorsque ce bon fonctionnement ne peut être assuré par des actes moins intrusifs.
D’autre part, l’administrateur est soumis à des obligations de secret et discrétion professionnels et a donc l’interdiction de divulguer quelconque information lorsque ne sont pas en cause :
- le fonctionnement technique des systèmes
- la sécurité
- les intérêts de l’entreprise
L’administrateur ne peut subir aucune contrainte quant au dévoilement des informations, notamment par son employeur, sauf si la loi en dispose autrement (dans le cadre d’une enquête de police par exemple).
Il est préférable que ces obligations, à la charge de l’administrateur, figurent au sein de son contrat de travail.
Enfin, l’employeur est titulaire d’une obligation de transparence à l’égard de ses employés. Il doit donc indiquer les conditions d’intervention des administrateurs dans les systèmes informatiques par :
- une information préalable
- le recueil de l’accord de l’employé
- les limites de l’intervention (au regard du bon fonctionnement du système)
Une information à destination des employés doit également figurer dans la Charte d’utilisation des outils informatiques. Les utilisateurs auront ainsi connaissance de l’étendue de la protection dont ils bénéficient en ce qui concerne les informations personnelles contenues dans leurs postes de travail et messageries.
Pour éviter toute ambigüité, il est également recommandé d’établir un document établissant la traçabilité des opérations de maintenance.
Dans quelle mesure l'administrateur réseau d'une entreprise peut-il avoir accès à des informations confidentielles ? 
