Solutions de protection face aux usages d’Internet
Une mise en œuvre nécessaire pour une conformité juridique
L’ouverture des entreprises au réseau a créé des risques nouveaux, dont la frontière recule chaque jour un peu plus.
La mise en place de toute mesure de surveillance de l’activité des salariés sur Internet doit se faire dans le respect de trois principes :
- PRINCIPE DE PROPORTIONNALITE
« NUL NE PEUT APPORTER AUX DROITS DES PERSONNES ET AUX LIBERTES INDIVIDUELLES ET COLLECTIVES DE RESTRICTIONS QUI NE SERAIENT PAS JUSTIFIEES PAR LA NATURE DE LA TACHE A ACCOMPLIR NI PROPORTIONNEES AU BUT RECHERCHE »
- PRINCIPE DE TRANSPARENCE
« AUCUNE INFORMATION CONCERNANT PERSONNELLEMENT UN SALARIE [...] NE PEUT ETRE COLLECTEE PAR UN DISPOSITIF QUI N’A PAS ETE PORTE PREALABLEMENT A LA CONNAISSANCE DU SALARIE [...] »
- PRINCIPE DE DISCUSSION COLLECTIVE
« LE COMITE D’ENTREPRISE EST INFORME ET CONSULTE PREALABLEMENT A TOUT PROJET IMPORTANT D’INTRODUCTION DE NOUVELLES TECHNOLOGIES, LORSQUE CELLE-CI SONT SUSCEPTIBLES D’AVOIR DES CONSEQUENCES SUR [...] LA FORMATION OU LES CONDITIONS DE TRAVAIL DU PERSONNEL »
Ce qu’il faut savoir...
1. Les juges évoluent vers une reconnaissance de la nécessité pour l’employeur d’encadrer ses risques.
2. Les juges sanctionnent les employeurs lorsque les contrôles sont effectués à l’insu des salariés. En revanche, ils acceptent les preuves collectées loyalement, par exemple au moyen d’outils de surveillance dont l’existence et le fonctionnement a préalablement été porté à la connaissance des salariés.
3. La mise en œuvre d’outils de surveillance de l’activité des employés sur Internet est un traitement de données nominatives qui doit être déclaré à la CNIL, conformément aux dispositions de la loi n° 2004-801 du 6 août 2004.
La CNIL évoque la nécessaire recherche d’un équilibre entre les intérêts de l’entreprise et le respect de la vie privée des salariés, elle rappelle les principes fondateurs évoqués ci-dessus et insiste sur le principe de proportionnalité. Tout dispositif de surveillance qui permet de fournir des indices de nature à justifier une investigation permet de respecter ce principe de proportionnalité.
Ce qu’il faut surveiller...
La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) identifie trois types d’activité particulièrement illicites et contraires à l’intérêt général :
- l’apologie des crimes contre l’humanité,
- l’incitation à la haine raciale,
- la pornographie enfantine.
La loi met à la charge des fournisseurs d’accès et des hébergeurs une obligation, à peine de sanctions pénales, de dénoncer aux autorités compétentes toute activité de ce type.
Lors d’un litige, les magistrats pourraient considérer que les obligations précitées de la LCEN s’appliquent à une entreprise dont l’hébergement ou l’accès n’est pas le coeur de métier, dès lors que celle-ci fournit un accès réseau et des moyens Internet à ses salariés. En tout état de cause, le caractère particulièrement répréhensible des trois activités précitées justifie et impose que l’entreprise mette en place des moyens lui permettant de les détecter.
Les risques et la responsabilité de l’entreprise...et de son responsable
De nombreux salariés n’ont pas conscience du danger que peut représenter pour l’entreprise une utilisation inconsidérée de l’Internet : ils vont télécharger en Peer To Peer des images ou des sons piratés, ils vont permettre une usurpation de leur adresse Internet, ils vont ouvrir sans y prendre garde des E-mails porteurs de virus de plus en plus sophistiqués.
La première conséquence de ces comportements est économique, par perte de productivité.
Mais il y a également des conséquences juridiques que n’envisagent pas les salariés : un salarié qui utilise son adresse professionnelle pour se livrer à du trafic d’images pornographiques nuit gravement à l’image de son employeur ; de même, le salarié qui télécharge des fichiers en Peer To Peer n’imagine pas que, au-delà de sa propre responsabilité pour contrefaçon, c’est également celle de son employeur qui pourrait être recherchée.
En effet, l’analyse des décisions de jurisprudence montre que la réalité et que l’entreprise se retrouve souvent désignée comme coresponsable, voire seule responsable, du préjudice subi par un tiers du fait des agissements de son salarié.
Le détournement malveillant d’une information stratégique, telle que par exemple le plan de croissance externe de l’entreprise, peut avoir des conséquences catastrophiques. Les conséquences juridiques pourraient être graves pour les dirigeants de l’entreprise qui, par leur négligence dans la gestion et la protection du système d’information de l’entreprise, ont pu laisser se produire un événement très préjudiciable à cette dernière.
En matière de sécurité informatique, il n’y a pas de « zéro défaut » ou de parade absolue. En cas de litige mettant en cause une entreprise au travers du comportement délictueux d’un de ses employés sur Internet, les magistrats tiendront compte des diligences et des moyens mis en œuvre pour prévenir de tels incidents.
N’hésitez plus à contacter notre équipe commerciale pour de plus amples informations et un audit personnalisé.
|
