A l’occasion des dernières Assises de la Sécurité, Olféo a pris l’initiative de questionner les DSI et les RSSI sur leurs connaissances juridiques sur la sécurité. Les résultats ne sont pas toujours ceux que l’on imagine…
Olféo, éditeur d’une solution de proxy et filtrage de contenus, a testé les connaissances juridiques de DSI et RSSI (2 000 ont répondu, selon l’éditeur). Problème : seulement 5% des répondants ont fait un sans-faute au questionnaire, 23% des participants n’ont pas obtenu la moyenne (5/10), avec deux sujets qui sont encore insuffisamment maîtrisés : les chartes Internet et la levée de confidentialité concernant le surf d’un salarié.
A la question « Qui est responsable des actes illicites sur Internet d’un salarié au sein de l’entreprise ? », 82,7 % des participants au quizz pensent que l’employé, le dirigeant et la DSI engagent leur responsabilité, 9,7 % pensent que seul l’employé est responsable et 7,6 % pensent que seule la DSI est responsable. Selon le code civil, « On est responsable (…) des dommages que l’on cause de son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre (…) ».
Selon Olféo, la DSI est responsable au civil comme au pénal comme tous les salariés. Mais en plus, la DSI peut être poursuivi pour négligence fautive de ne pas avoir informé et mis en œuvre les moyens pour limiter les responsabilités de l’entreprise et du dirigeant. Autrement dit, « le dirigeant peut donc être poursuivi en vertu de sa qualité de dirigeant, même s’il n’a pas personnellement pris part à la commission de l’infraction. Le salarié également peut être poursuivi, encore faut-il prouver qu’il est bien l’auteur des actes et qu’il a agi sans autorisation, hors du cadre de ses fonctions et hors du cadre de ses attributions. Quant au personnel informatique, il peut être poursuivi pour ne pas avoir informé des risques et des moyens à mettre en œuvre pour éviter des comportements déviants.
A la question « La mise en place d’une Charte Internet est-elle obligatoire ? », 42,3 % des participants pensent que cela dépend de la volonté du dirigeant, 34,1 % pensent que la mise en place d’une charte est obligatoire lorsque la DSI collecte des données à caractère personnel et 23,6 % pensent que ce n’est pas obligatoire Selon l’article L. 1222-4 du code du travail : « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. » Ainsi, la charte Internet est obligatoire uniquement dans le cas où l’entreprise collecte des données à caractère personnel sur les salariés : logs de connexion, durée de connexion à certains sites, archivage de messagerie…
La Charte Internet doit-elle obligatoirement autoriser l’usage personnel d’Internet ? Selon les répondants au quizz d’Olféo, 49,8 % des participants pensent que la Charte Internet peut complètement interdire l’usage personnel d’Internet sur le lieu de travail, une proportion similaire (48,2 %) pensent qu’elle peut autoriser l’usage personnel d’Internet dans les limites du « raisonnable » et 2 % pensent qu’elle doit obligatoirement l’autoriser. Selon la CNIL, pour être valide, la charte Internet doit obligatoirement autoriser l’usage personnel d’Internet sur le lieu de travail dans les limites du « raisonnable », au nom du droit à sa liberté résiduelle. Si la Charte Internet ne respecte pas ce droit, elle est caduque.
Et lorsque que la DSI récolte des données à caractère personnel, les salariés doivent-ils en être informés ? 41,6 % des participants pensent qu’il suffit d’informer le Comité d’entreprise, 39,2 % pensent que les salariés doivent être informés et 19,2 % pensent que les salariés ne doivent pas être informés En réalité, selon le code du travail : « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. » Cela signifie que lors de l’introduction d’une nouvelle technologie qui collecte des données à caractère personnels, le salarié doit obligatoirement être informé des objectifs poursuivis, du caractère obligatoire ou facultatif de leurs réponses, des modalités de l’exercice de leurs droits.
La DSI peut-elle donner des informations sur le temps de surf d’un salarié en particulier à la demande de l’employeur ? 55,6% des participants pensent que cela est autorisé, si un dossier de licenciement est en cours, 43,2 % des participants pensent que cela est illégal et 1,2 % des pensent que la DSI en a le droit Selon la CNIL, il y a levée de confidentialité si les comportements des utilisateurs ne remettent pas en cause le bon fonctionnement technique des applications, ni leur sécurité, ni l’intérêt de l’entreprise. « On peut donc s’interroger sur le fait qu’un comportement illicite sur Internet, voir une utilisation abusive d’Internet puisse nuire à l’intérêt de l’entreprise. Par conséquent il y aurait levée de confidentialité dans ces cas au regard de la CNIL », souligne-t-on chez Olféo.
Un cas de jurisprudence de 2008 a conclu que les données de connexions à Internet ne relèvent pas du domaine de la vie privées sur le lieu de travail et sont présumées professionnelles. Par conséquent, le personnel informatique serait en droit de divulguer des informations concernant l’utilisation d’Internet d’un salarié au dirigeant puisque ces données ne relèvent pas de la vie privé et que sur le lieu de travail, elles sont présumées être professionnelles.
Concernant la durée de conservation des logs, 52,9 % des participants pensent que la conservation des logs est de 1 an, 42,8 % pensent que les logs doivent être conservés 3 ans 4,3 % pensent que six mois suffisent. En réalité, les durées peuvent être variables. Une directive européenne prévoit une durée minimale de six mois et maximal de deux ans, l’article 6 de la loi pour la confiance dans l’économie numérique prévoit une durée de 1 an et la loi relative à la lutte contre le terrorisme préconise un an. Pour sa part, la CNIL recommande six mois à des fins de contrôle des utilisateurs.