|
|
| |
En France, il existe un certain nombre de lois et de règlements relatifs à la sécurité des systèmes d’information.
Ces textes doivent être respectés de manière impérative.
On peut citer :
- La loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés.
- Suite à l’adoption en 1995 de la Directive 95/46/CE, un projet de loi visant à transposer ce texte a été rédigé par le ministère de la justice française et a été transmis pour avis à la CNIL et présenté au Parlement.
- La loi du 3 juillet 1985 sur les droits d’auteur, élargissant aux logiciels la protection de la propriété littéraire et artistique (responsabilité juridique de la société lors de téléchargement de logiciels sans licence ou de fichiers audio).
- La loi du 5 juillet 1988 sur la fraude informatique dite loi Godfrain, visant la protection des systèmes d’information, des données, des programmes et des documents informatisés.
- La loi du 29 décembre 1990 portant sur la réglementation des télécommunications. Elle régit notamment les conditions associés à l’utilisation ou à l’exploitation de prestations et moyens de cryptographie.
- La loi du 10 juillet 1991 sur le secret des correspondances émises par voie de télécommunications.
L’entreprise peut voir sa responsabilité engagée pour une utilisation illicite ou fautive d’Internet sur le lieu de travail. En effet, civilement, l’employeur est responsable, en tant que commettant de ses salariés, des fautes commises par ceux-ci dans leur utilisation d’Internet pendant le temps de travail, sur le fondement de l’article 1384 alinéa 5 du code civil.
De plus, certaines dispositions du Code du travail relative aux nouvelles technologies et aux informations recueillies par l’employeur sur ses salariés doivent être citées.
En effet, dès lors que l’entreprise est amenée à constituer des fichiers permanents ou des traitements automatisés de données nominatives contenant des informations sur ses salariés cela constitue une nouvelle technologie qui, en tant que telle, doit donner lieu préalablement à sa mise en place, à :
- Une information et une consultation de Comité d’Entreprise,
- Une information des salariés.
Une information et une consultation de Comité d’Entreprise
- Article L.432-2 alinéa 1 (Loi n°82-915, 28 octobre 1982) :
« Le Comité d’Entreprise est informé et consulté préalablement à tout projet important d’introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d’avoir des conséquences sur l’emploi, la qualification, la rémunération, la formation ou les conditions de travail du personnel »
- Article L.432-2-1 (Loi n°432-2-1, 31 décembre 1992) :
« Le Comité d’Entreprise est informé et consulté, préalablement à la décision de mise en oeuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés »
- Article L.432-3 (Loi n°82-915, 28 octobre 1982) :
« Le Comité d’Entreprise est informé et consulté sur les problèmes généraux concernant les conditions de travail résultant de l’organisation du travail, de la technologie, des conditions d’emploi, de l’organisation du temps de travail, des qualifications et des modes de rémunération »
Une information des salariés
- Article L.121-8 (Loi n°92-1446, 31 décembre 1992) :
« Aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n’a pas été préalablement porté à la connaissance du salarié ou du candidat à un emploi »
- Article L.432-3 (Loi n°82-915, 28 octobre 1982) :
« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tache à accomplir ni proportionnées au but recherché »
La Commission Nationale de l'Informatique et des Libertés (CNIL) a, quant à elle, eu l'occasion de se pencher sur la question de la cybersurveillance des salariés dans l'entreprise.
Dans un rapport d'étude et de consultation publique de mars 2001, elle rappelle l'exigence d'équilibre entre le droit reconnu à l'entreprise d'assurer sa propre sécurité et celui, tout aussi légitime, des salariés au respect de leur vie privée et de leurs libertés. Elle rappelle ainsi que toute mise en place d'une quelconque surveillance doit être précédée de l'information des salariés et, le cas échéant, de l'avis de leurs représentants. Elle pose également une règle, à savoir le principe dit de proportionnalité. Selon ce principe, toute mesure susceptible d'être attentatoire à un droit fondamental doit être justifié et surtout proportionnel au but recherché. Cette condition est de bon sens et correspond à la doctrine habituelle de la CNIL.
Suite à une conférence organisée par la CNIL sur la cybersurveillance, un groupe de travail a été créé. Les participants (responsables de ressources humaines, syndicalistes, juristes, ...) au forum des droits sur l’Internet ont diffusé un rapport de 37 pages des réflexions qu’ils ont menées et les réponses qu’ils ont apportées.
Forum des droits sur l'Internet
Cette page regroupe des informations concernant l’utilisation d’Internet sur le lieu de travail et ce qui pourrait motiver l’utilisation de Websense.
« Les nouvelles technologies facilitent d’un coté l’existence d’une vie personnelle au bureau pendant le temps de travail. En effet, il devient aisé d’utiliser Internet pour correspondre avec des interlocuteurs non professionnels par mails ou pour consulter à des fins non professionnelles des sites sur Internet. Le phénomène n’est pas entièrement nouveau : le téléphone ou le minitel dans les entreprises ont donné lieu aux mêmes comportements. Cependant, Internet amplifie les possibilités offertes au salarié et pose donc la question de la limite, voire de l’encadrement, de son utilisation. »
La deuxième partie de ce rapport traite de l’utilisation d’Internet par les salariés sur le lieu de travail.
« Un nombre de plus en plus important de salariés est connecté à Internet sur son lieu de travail. On estime ainsi que 20 % des salariés français disposent d’un accès Internet professionnel (étude réalisée en février 2002). L’entreprise est donc un lieu privilégié d’accès et d’usage de ces nouvelles technologies. Aujourd’hui prévaut un certain flou dans les droits et devoirs respectifs des différents acteurs de l’entreprise quant à l’utilisation de ces technologies. Si celles-ci doivent devenir des éléments permanents et quotidiens de la vie des entreprises, il devient nécessaire de définir un cadre d’usage dans lequel elles peuvent se développer, dans le respect des intérêts des salariés et des employeurs. »
Le forum a constaté qu’il existe un attente des salariés afin d’utiliser Internet à des fins personnelles.
Les technologies de l’information et, en particulier Internet, permettent au salarié d’accomplir facilement et discrètement toute une série d’actes de la vie quotidienne. Il peut ainsi de son poste et pendant son temps de travail, réserver un billet de train, prendre des contacts avec l’administration ou communiquer par mail avec un ami.
Passée la phase de découverte, le salarié est tenté d’utiliser l’outil qui est mis à sa disposition par l’employeur à des fins non professionnelles.
De nombreux salariés connectés considèrent que cette utilisation personnelle dot être acceptée par l’employeur. Si l’employeur peut empiéter sur leur vie personnelle, par exemple en leur confiant des ordinateurs portables pour pouvoir assurer leur activité de manière nomade ou en les joignant sur leur téléphone portable, il apparaît logique qu’ils puissent utiliser Internet à des fins personnelles sur le lieu de travail.
La plupart des salariés considèrent que l’employeur ne devrait pas pouvoir accéder aux informations reçues, émises ou détenues provenant de son utilisation personnelle d’Internet.
L’utilisateur ne peut pas faire disparaître ses actions personnelles sur le réseau. Il est dans la nature de ces outils de permettre le contrôle des traces laissées par les employés.
L’employeur ne peut renoncer au contrôle sur l’utilisation d’Internet par les salariés.
L’utilisation d’Internet peut fragiliser l’intégrité des systèmes d’information de l’entreprise qui sont devenus essentiels à son activité économique.
L’entreprise peut voir sa responsabilité engagée pour une utilisation illicite ou fautive d’Internet sur le lieu de travail. En effet, civilement, l’employeur est responsable, en tant que commettant de ses salariés, des fautes commises par ceux-ci dans leur utilisation d’Internet pendant le temps de travail, sur le fondement de l’article 1384 alinéa 5 du code civil.
De plus, l’employeur peut légitimement désirer ne pas voir se développer la consultation de sites licencieux ou douteux depuis le lieu de travail. Dans ce cadre, il peut souhaiter éviter tout dérapage, ne serait-ce que pour éviter les retombées négatives en terme d’image.
Enfin, certains employeurs souhaitent contrôler l’utilisation d’Internet pour contrôler la productivité de leurs salariés.
Le contrôle de l’utilisation d’Internet permet d’éviter le développement d’un usage abusif sans aucun rapport avec l’activité professionnelle.
L’employeur n’a ni les moyens, ni la volonté de contrôler l’utilisation que fait chaque salarié d’Internet. Il souhaite uniquement pour sanctionner d’éventuels abus d’utilisation.
Il faut clarifier le cadre d’usage et définir de façon précise les droits et devoirs respectifs des acteurs de l’entreprise quant à leur utilisation d’Internet.
Conclusion : « L’entreprise doit donc admettre un utilisation d’Internet à des fins personnelles par les salariés qui y ont accès. Mais cette utilisation personnelle doit demeurer raisonnable. L’employeur est alors fondé à contrôler cette utilisation. »
Le contrôle
Les modalités doivent être loyales et transparentes.
La confiance passe par la définition de règles claires sur l’utilisation d’Internet. Mais elle nécessite également que l’employeur indique les contrôles qu’il effectue pour s’assurer du respect de ces règles.
L’entreprise doit pouvoir, par des logiciels appropriés, contrôler et rejeter éventuellement des fichiers téléchargés qui contiendraient des virus ou qui seraient trop volumineux.
Ce contrôle, indispensable au respect de la sécurité de l’entreprise ne s’exerce pas sur le contenu de l’information, il s’agit d’un contrôle « aveugle » qui ne porte pas atteinte à la vie privée du salarié.
Le contrôle en volume peut s’exercer en matière de consultation de sites Internet : nombre de pages consultées ou temps de connexion.
Le contrôle du contenu doit être limité.
Il ne faut pas atteindre à la vie privée.
Cependant l’employeur peut mettre en place des logiciels de filtrage qui permettent de régler l’essentiel des problèmes que l’entreprise peut rencontrer en matière de consultation de sites préjudiciables ou illicites ainsi qu’en matière d’encombrement du réseau en raison du téléchargement de fichiers, comme par exemple des fichiers vidéos de taille excessive (par exemple 2 Mo). Mais les institutions représentatives doivent être informées des modalités du filtrage (catégories de filtres mises en place, liste des mots-clefs interdits, etc.)
Par ailleurs, l’entreprise doit informer les salariés de la durée de conservation des données de connexion recueillies dans le cadre du contrôle. Il faut respecter la préconisation émise par la CNIL de conserver les données de connexion pour une durée maximale de 6 mois.
L’article 29 de la loi sur la sécurité quotidienne du 12 novembre 2001 impose aux opérateurs de télécommunications l’effacement ou l’anonymisation des données de connexion avec deux exceptions liées aux besoins de facturation et aux besoins des enquêtes pénales. Mais, même si ce point mérite explicitement d’être confirmé par les textes, les entreprises ne peuvent être aisément considérées comme des opérateurs de télécommunication au sens des dispositions de cette loi. En effet, elles possèdent des réseaux indépendants qu’elles ouvrent à leurs salariés et non au public. Elles ne seraient donc pas soumises à l’obligation d’effacement ou d’anonymisation des données de connexion.
Ces dispositions nationales devront être rapprochées des stipulations de la convention cybercriminalité du 23 novembre 2001 (http://conventions.coe.int/Treaty/FR/Treaties/Html/185.htm) qui imposent aux Etats d’adopter les mesures nécessaires pour permettre la conservation des données informatiques.
La définition des règles d’utilisation d’Internet doit passer par une annexe au règlement intérieur
La plupart des entreprises ayant mis en place des accès Internet ont adopté des chartes définissant les règles d’usage devant être respectées par les salariés.
L’importance des chartes est incontestable : elles ont souvent permis une première clarification des règles applicables dans l’entreprise.
Pour être applicables, elles doivent être soumises pour avis au Comité d’Entreprise ou, à défaut, à l’avis des délégués du personnel ainsi que, le cas échéant, à l’avis du comité d’hygiène et de sécurité.
Elles doivent également faire l’objet de mesures de publicité et être transmise à l’inspecteur du travail. (article L122-36 du code du travail)
Les salariés doivent être informés des modalités de contrôle de l’utilisation.
De façon générale, l’introduction dans l’entreprise des technologies de l’information doit donner lieu à une information et à une consultation du comité d’entreprise en application de l’article L432-2 du code du travail.
L’article L432-2-1, alinéa 3, du code du travail dispose que : « Le Comité d’Entreprise est informé et consulté, préalablement à la décision de mise en oeuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés ».
A défaut de consultation du Comité d’Entreprise, la preuve obtenue par le dispositif de surveillance sera considérée comme illicite en droit du travail et ne pourra être utilisée en cas de conflit avec le salarié.
Par ailleurs, il est également nécessaire d’informer les salariés sur les modalités du contrôle. Cette obligation de transparence résulte de l’article L121-8 du code du travail qui dispose qu’aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ou du candidat à l’emploi. Là encore, un dispositif de surveillance qui n’a pas été porté à la connaissance du salarié ne pourra être utilisé en cas de problème.
L’employeur doit respecter les obligation de déclarations à la CNIL.
Tout traitement automatisé d’informations nominatives doit être déclaré auprès de la CNIL en application de la loi du 6 janvier 1978. Le non-respect de cette formalité est sanctionné par une peine d’emprisonnement de 3 ans et une amende de 45 000 euros (article 226-16 du code pénal)
De plus, en droit du travail, l’absence de déclaration à la CNIL empêchera l’employeur d’utiliser les données obtenues grâce au système de contrôle en cas de conflit avec son salarié, une telle preuve tant considérée comme illicite.
|
|
|
