Droit social et nouvelles technologiesProtection des données à caractère personnelSécurité des systèmes d'information

Espionnage dans l’entreprise : le DSI prenait ses aises

Licencié pour faute grave, sera-t-il sauvé par le malentendu autour de la Norme simplifiée 46 en matière de sécurité des SI de l’entreprise ?

Shoulder surfing

En matière de « cybersurveillance sur le lieu de travail » (mais on peut aussi parler de « cyberprotection de l’employeur »), on trouve de nombreuses décisions de justice sur les abus perpétrés d’un côté par les salariés mettant en danger la sécurité du système d’information (SI) de leur employeur ou abusant de son utilisation, et de l’autre côté par les employeurs dépassant les limites de leurs prérogatives de contrôle de l’activité du salarié pour l’accomplissement des tâches confiées. Quant aux administrateurs des systèmes informatiques, chargés en pratique d’assurer la sécurité et le bon fonctionnement des SI, s’il leur arrive d’être la cible de procès d’intention sur la façon dont ils exercent leur activité, il arrive parfois que certains d’entre eux abusent effectivement de leurs droits d’accès privilégiés au SI, la plupart du temps dans leur propre intérêt.

Or, dans l’affaire tranchée par la Cour d’appel de Versailles le 4 février 2015, c’est à un DSI beaucoup trop curieux (à dire le moins) que les magistrats ont dû s’intéresser. Et si la décision renvoie de façon fréquente aux formalités « informatique et libertés » accomplies, mais non respectées (en particulier la Norme Simplifiée 46), il est intéressant de noter tout le paradoxe de la situation : l’employeur sanctionne le salarié qui a violé une déclaration ne permettant aucun contrôle sérieux du SI… en effectuant des opérations techniques d’audit elles-mêmes non couvertes par ladite déclaration… sachant que c’est ce salarié qui s’est occupé de la déclaration insuffisante ! Mais revenons au détail de l’affaire avant de creuser cette dernière question plus avant.

Une curiosité aiguë… ou une espionnite maladive ?

Chargé de veiller à la cohérence et à la sécurité du système d’informations par rapport à l’organisation de l’entreprise et à son évolution, ayant la responsabilité de la fiabilité et de la sécurité du système, le DSI a été licencié en 2009 pour faute grave. La société qui l’employait lui reprochait en effet un certain nombre de fautes. Ainsi, selon sa lettre de licenciement :

Dans le cadre de vos fonctions de Responsable Informatique et des Systèmes d’Informations de la Société, il vous appartenait de nous signaler tout dysfonctionnement dans l’utilisation des diverses technologies mises à disposition des collaborateurs de l’entreprise et d’être garant du strict respect de la charte d’utilisation des moyens informatiques et de télécommunication au sein de (…).

Or, il est apparu [au cours] de diverses investigations, que vous aviez utilisé votre positionnement et vos compétences pour enfreindre des règles contenues dans la charte annexée au règlement intérieur de la Société, mais également les dispositions légales visant à assurer la protection individuelle des salariés en matière de nouvelles technologies de la communication.

En effet, de façon synthétique, les reproches portaient sur :

– sa mauvaise gestion du réseau de l’entreprise (frein à l’intégration dans l’organisation informatique de la société-mère, utilisation de logiciels sans licence) ;

– sa présence, sans rapport avec son activité professionnelle, dans les locaux de la société avec des personnes tierces à l’entreprise tard dans la nuit ;

mais surtout les multiples manipulations techniques effectuées lui permettant d’avoir accès, de façon clandestine, aux contenus privés des salariés, que ce soit leurs conversations téléphoniques, leurs SMS et les numéros appelés ou reçus des téléphones portables de l’entreprise, via la prise de contrôle à distance de leur poste, ou via des comptes administrateurs de messagerie électronique, en contradiction avec la charte d’utilisation des moyens informatiques et de télécommunication applicable à l’entreprise. De façon similaire, il lui est reproché d’avoir harcelé ou déstabilisé plusieurs salariés de sociétés extérieures en leur demandant de le tenir informé des allées et venues au sein de l’entreprise. Le fait que, lors d’un audit du système d’information de l’entreprise, l’ordinateur portable confié aux auditeurs était porteur d’un logiciel cheval de Troie  – en dépit du logiciel antivirus installé – et surtout du fait que ce logiciel aurait dû être en mesure de le repérer (via sa base de référence), n’a pas non plus dû jouer en sa faveur, même si l’imputabilité de ce fait n’a pu – visiblement – être établie.

Une décision riche, aux problématiques multiples

On passera ici sur la discussion concernant la fiabilité et donc la valeur probante des données extraites des disques durs du DSI et de sa compagne travaillant dans l’entreprise : l’huissier a procédé à la copie des disques durs des deux ordinateurs 10 jours après leur départ de l’entreprise, ce qui a donné lieu à deux rapports d’experts judiciaires. Finalement, le rapport de leur analyse est utilisé par la Cour.

De même, on ne s’attardera pas sur le refus du DSI de délivrer le mot de passe administrateur lors d’un audit réseau demandé par le siège, refus motivé officiellement pour des motifs de sécurité en demandant une décharge de responsabilité. Un message électronique, envoyé par le directeur de la société sachant qu’il serait en congés lors de l’audit, lui enjoignait pourtant d’assurer l’accès à toutes les informations souhaitées pour mener l’audit à bien.

Enfin, on ne rentrera pas dans le débat de l’application ou non d’un certain nombre de textes sanctionnés pénalement aux agissements relevés par les magistrats dans cette affaire (art. 222-33-2, 226-1, 226-15, 226-16-1-A, 226-18,  226-20, 226-21 ou encore 323-3 et 323-4 du Code pénal).

Ces différentes questions mériteraient chacune un article spécifique. Mais nous nous contenterons pour le moment d’aborder la question des formalités accomplies vis-à-vis de la CNIL, sujet relevé par les magistrats à plusieurs reprises, sans pourtant que toutes ses implications ne semblent en avoir été tirées.

Télémaintenance et téléphonie : les manquements aux règles CNIL

Dans leur décision, parmi les nombreux griefs finalement retenus, les magistrats notent que l’outil de prise de main à distance (« télémaintenance »), était configuré pour permettre une « assistance par prise de contrôle sans que l’utilisateur en soit informé« .

Or la CNIL avait affirmé en 2008 dans son « guide pour les employeurs et les salariés«  que l’utilisation de tels outils à des fins de contrôle n’est « ni conforme au principe de proportionnalité, ni respectueuse du principe de finalité posé par la loi « informatique et libertés »« , la prise en main à distance nécessitant une information préalable de l’utilisateur, un accord de l’utilisation et la traçabilité des opérations.

De même, les juges soulignent la configuration particulière du serveur BlackBerry en ce qu’il violait la déclaration de conformité à la Norme Simplifiée 47 (dite « téléphonie fixe et mobile sur les lieux de travail« ). En effet, les traitements concernés par cette norme sont exclusifs de tout dispositif permettant l’écoute ou l’enregistrement d’une communication ou la localisation d’un employé à partir de l’usage de son téléphone mobile, ce qui était loin d’être le cas en l’espèce.

La charte, le contrôle et la NS 46… (sur une musique d’Ennio Morricone)

Les magistrats notent surtout que le DSI avait fait à la CNIL une déclaration de conformité à la Norme Simplifiée 46 (dite « gestion du personnel« ) et en déduisent le manquement à cette norme. Celle-ci exclue, selon la Cour, « toute donnée relative au contrôle individuel des communications électroniques émises ou reçues par les employés« ). En effet, la configuration spécifique de comptes de messageries permettant un accès intégral à l’insu des utilisateurs ne rentre pas dans cette catégorie.

Arrêtons-nous pourtant sur cette Norme Simplifiée 46, qui pourrait receler bien plus d’intérêt que sa brève mention parmi d’autres dans cet arrêt le laisserait peut-être penser.

Cette Norme Simplifiée ne concerne pas en effet que la messagerie, mais s’étend notamment au suivi et à la maintenance du parc informatique, à la gestion des annuaires informatiques et surtout à la « mise en œuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux, à l’exclusion de tout traitement permettant le contrôle individuel de l’activité des employés« .

Or, rappelons-nous que c’est le DSI, licencié par la suite, qui est à l’origine des diverses formalités CNIL accomplies. Au vu des autres éléments de l’affaire, on l’imagine mal prévoir une déclaration spécifique afférente au contrôle informatique opéré sur l’utilisation du SI par les salariés (la Cour en aurait par ailleurs fait mention).

On peut donc supposer que, pour encadrer les contrôles possibles du salarié par rapport à la loi « Informatique et Libertés » du 6 janvier 1978, n’existait au sein de l’entreprise que la NS 46 (la Charte était quant à elle annexée au règlement intérieur et en avait donc suivi le chemin formaliste d’adoption, respectant ainsi le cadre posé par le Code du travail).

Si les manquements sont avérés s’agissant du DSI comme le montre l’arrêt, une question se pose néanmoins au juriste lui aussi curieux : comment ces faits ont-ils pu être (licitement) prouvés par l’employeur ?

D’après la décision, il est fait mention de l’audit poussé des disques durs de deux salariés (le DSI et sa compagne), un clone de leur contenu ayant été réalisé, un huissier l’attestant, et le contenu en lui-même ayant été analysé pour l’employeur par une société de conseil puis par un expert informatique.

Mais en vertu de quel texte ? En effet, la NS 46, citée seulement en partie par les magistrats, insiste bien sur le fait qu’elle ne couvre pas « tout traitement permettant le contrôle individuel de l’activité des employés« . Et qu’est-ce qu’un audit poussé de deux disques durs de salariés si ce n’est un « contrôle individuel de leur activité » ? Car oui, le DSI est (aussi) un salarié ! Il aurait donc fallu que l’employeur effectue (préalablement) une déclaration CNIL spécifique afin de prévoir la mise en oeuvre de ce contrôle.

Poussons le raisonnement plus loin : si l’employeur ne pouvait pas légalement réaliser cet audit envers deux de ses salariés (quand bien même l’un de ses salariés serait à l’origine de la déclaration insuffisante à la CNIL), quelle serait la valeur de la preuve tirée de cet audit ?

La jurisprudence est claire sur ce point : la preuve devrait être écartée, car illicite (elle n’est acceptée qu’en matière pénale).

La Cour de cassation a en effet rappelé tout dernièrement (8 octobre 2014) dans un arrêt de cassation partielle publié au bulletin sa jurisprudence déjà ancienne selon laquelle :

constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL ;

Qu’en statuant comme elle l’a fait, en se fondant uniquement sur des éléments de preuve obtenus à l’aide d’un système de traitement automatisé d’informations personnelles avant qu’il ne soit déclaré à la CNIL, alors que l’illicéité d’un moyen de preuve doit entraîner son rejet des débats, la cour d’appel a violé les textes susvisés

Pour autant, la solution nous semblerait-elle logique en l’espèce ? Absolument pas ! Car elle conduirait à la situation absolument paradoxale où un salarié créé lui-même une situation (formalité CNIL insuffisante) grâce à laquelle il mettrait son employeur dans l’impossibilité d’apporter les preuves de sa faute… Or il existe tout de même un adage issu du droit romain (« Nemo auditur propriam turpitudinem allegans« ) selon lequel « nul ne peut se prévaloir de sa propre turpitude« .

Plonger dans les sources de ce paradoxe nous conduit en réalité à nous interroger sur le cadre de la NS 46 en matière de sécurité des systèmes d’information.

La NS 46, une norme simplifiée inapplicable pour faire de la « vraie » sécurité des systèmes d’information

Que ce soit à l’occasion d’une mise à l’état de l’art en matière de sécurité des systèmes d’information et/ou du respect de certains standards imposés (PCI DSS par exemple), la sécurité des systèmes d’informations impose au minimum la traçabilité des opérations effectuées sur le SI, ne serait-ce que pour pouvoir remonter, en cas d’incident de sécurité, sur son origine.

Or, face à un incident de sécurité révélé par un ensemble de signaux faibles ou d’évènements de sécurité sans lien apparent avec un salarié, il n’est pas possible de préjuger que l’origine de l’incident sur lequel on investigue ne sera finalement pas interne, causé par un manquement involontaire d’un salarié (codes d’accès laissés sur un post-it), voire volontaire. Utiliser la NS 46 en se disant qu’elle couvre les procédures de sécurité sera de peu de réconfort pour le RSSI s’il s’aperçoit un jour qu’un incident de sécurité trouve son origine dans le comportement d’un code d’accès utilisé par un salarié… et qu’il ne peut rien faire faute de formalités CNIL adéquate !

L’étude des traces et des évènements autour des comportements d’un salarié sur le SI, en pratique, revient en effet au même qu’un « contrôle individuel de l’activité des employés » que la NS 46 prend bien soin d’exclure.

A l’heure où la CNIL et l’ANSSI font cause commune pour promouvoir les meilleures pratiques en matière de sécurité des réseaux, et surtout au moment où la réglementation va toujours plus loin dans les obligations s’imposant aux entreprises notamment en matière de traçabilité ou encore de réactions aux incidents de sécurité (loi de programmation militaire, proposition de règlement sur la protection des données à caractère personnel, etc.), il est grand temps que certaines entreprises cessent de croire que la mise en oeuvre de la sécurité de leur SI passe par une norme simplifiée et non par une déclaration spécifique des traitements ad hoc auprès de la CNIL (ou sur le registre de leur CIL). Sauf à ce que la NS 46 soit revue et précisée sur la question du contrôle d’activité du salarié, elle n’apporte à l’entreprise qu’un risque supplémentaire, le pire peut-être : un sentiment de fausse sécurité.

François Coupez

Avocat à la Cour, Associé d’ATIPIC Avocat

Titulaire du Certificat de spécialisation en Droit des nouvelles technologies, de l’informatique et de la communication

 

Crédit photo : © Innovated Captures – Fotolia.com