Conférence sur la Sécurité Informatique des PME à Niort

OCSG Informatique vous propose de participer à la conférence sur la Sécurité Informatique des PME, Le 17 Avril 2013 à Niort.

 Inscrivez-vous dès maintenant ! 

 

La réglementation de la Messagerie au sein de l’Entreprise

Internet comme la messagerie sont les deux outils les plus utilisés au sein de l’entreprise. Or, il faut savoir que la messagerie d’entreprise est basée sur une législation précise, complétée par une jurisprudence extrêmement riche.

Nous allons donc détailler dans cet article la législation en vigueur sur l’utilisation et le contrôle de la messagerie d’Entreprise.

 

 Bases de la législation : Le code Civil et la protection de la vie privée 

L’article 9 du Code civil prévoit un principe général de protection de la vie privée.

Dès lors, même au travail, le salarié à droit à une vie privée, et donc à son respect.

 «Chacun a droit au respect de sa vie privée. Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, tel que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée : ces mesures peuvent, s’il y a urgence, être ordonnées en référé».

«Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressés à des tiers, en d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 300 000 F d’amende. Est puni des mêmes peine le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmisses ou reçues par la voie de télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions » (Cf Code Civil)

La décision la plus significative est à ce jour l’arrêt qui a été rendu le 2 octobre 2001 par la Cour de cassation dans l’affaire NIKON.

Concrètement un courriel dont l’objet affiche clairement le contenu personnel n’a, en principe, pas le droit d’être contrôlé.

Les jurisprudences :

La jurisprudence issue de l’arrêt Nikon interdit à un employeur de prendre connaissance des messages qualifiés de privés par le salarié.

(Un message considéré comme privé doit nécessairement avoir les mots « Privé » ou Personnel » dans l’objet et / ou dans le type du message).

Les courriers électroniques ne sont pas différents des courriers traditionnels. Le salarié, qui a droit même au temps et sur le lieu de travail au respect de l’intimité de sa vie privée, bénéficie donc du principe du secret des correspondances : un employeur n’a pas le droit de prendre connaissance des messages personnels émis par le salarié et reçus par lui, même dans le cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur.

Suite à cet arrêt de la Cour de Cassation, plusieurs décisions ont été prises, entre 2000 et 2010, et ont amené les jurisprudences résumées ci dessous :

 Droits et Obligations de l’employeur :

Surveillance de la messagerie et d’Internet :

L’employeur doit lancer une procédure d’information et de consultation du Comité d’entreprise préalable à la décision de mise en oeuvre de moyens ou techniques permettant un contrôle de l’activité des salariés. A défaut d’informer le CE (si le nombre de salarié est insuffisant), celui-ci doit informer par voie d’affichage ou via une charte signée par l’ensemble des salariés (Intérimaires y compris).

L’employeur a tout à fait le droit de contrôler et de surveiller l’activité des salariés.

Il peut donc librement surveiller l’utilisation de l’internet ou intercepter les courriels.

En revanche, il ne pourra pas utiliser les informations récupérées comme mode de preuve s’il n’a pas informé les salariés que l’utilisation de la messagerie peut être contrôlée et être utilisée dans le cas d’une procédure disciplinaire.

Lorsqu’on parle d’intercepter les mails, il s’agit de vérifier les destinataires ou les expéditeurs des emails mais en aucun cas de lire le contenu du mail, sinon l’employeur commettrait un délit prévu à l’article 226-15 alinéa 2 du nouveau Code pénal qui protège le secret des correspondances.

De plus, la loi Informatique, fichiers et Libertés rend obligatoire la déclaration préalable auprès de la Commission nationale de l’informatique et des libertés (CNIL) de tout fichier automatisé d’informations nominatives. À défaut, des sanctions pénales sont prévues, et l’outil de contrôle mis en place ne pourra pas être utilisé comme moyen de preuve en cas de litige. (CF billet sur la CNIL)

Comment faire pour lire le contenu d’un e-mail :

Un employeur peut obtenir du président d’un Tribunal de grande instance, sur requête, une ordonnance autorisant un huissier de justice à accéder aux données contenues dans l’ordinateur mis par elle à la disposition du salarié et à prendre connaissance, pour en enregistrer la teneur des messages électroniques échangés par l’intéressé.

Cette mesure d’instruction, si elle a pour effet de donner à l’employeur connaissance de messages personnels émis et reçus par le salarié, ne porte pas atteinte à une liberté fondamentale et est légalement admissible si l’employeur a des motifs légitimes de suspecter des actes de concurrence déloyale. L’huissier doit cependant remplir sa mission en présence du salarié.

En résumé, soyez prudent avant d’engager une procédure disciplinaire à l’encontre de vos salariés. Faites vous conseiller auprès de votre correspondant juridique ou consultez pour une première approche les sites spécialisés.

La CNIL : Son origine, ses fonctions & ses impacts sur l’Entreprise

La CNIL est souvent citée dans les différents médias, mais quelle est sont rôle et ses impacts dans le monde de l’Entreprise.

C’est ce que nous allons voir tous le long de cet article et essayer de vous éclairer sur les risques encourus.

 

Son origine :

En 1971, profitant de l’informatisation des cartes perforées (vers un système de bandes magnétique), l’INSEE décida de mettre en place le projet SAFARI – Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus – permettant l’interconnexion des fichiers de la Sécurité Sociale, de la Caisse Nationale d’Assurance Vieillesse et de la carte d’Identité (Ministère de l’intérieur).

Le 21 Mars 1974, le journal Le Monde sorti une tribune « SAFARI ou la chasse aux Français » qui provoqua un tollé politique, auquel du faire face le ministre de l’Intérieur de l’époque Jacques Chirac.

Le 2 Avril 1974, le même Jacques Chirac, alors 1er ministre, demande à son ministre de l’intérieur, M. Poniatowski, de créer la Commission de l’informatique et des Libertés qui aboutira le 6 Janvier 1978  à la création de la Commission Nationale de l’Informatique et des Libertés (CNIL).

Ses missions et fonctions :

La CNIL, autorité administrative indépendante, est chargée de veiller au respect des dispositions de la loi. A ce titre, elle assure des missions d’information, de conseil, d’expertise et de veille technologique.

La CNIL dispose de pouvoirs particuliers pour faire respecter la loi : elle contrôle la mise en oeuvre des fichiers informatiques et peut également procéder à des vérifications sur place.

Son Impact dans le monde de l’Entreprise :

La CNIL est à l’origine basée sur la Loi Informatique et Libertés (LIL) composée de 13 articles juridiques.

Voici les recommandations de la CNIL sur les obligations des employeurs et employés :

     1Gestion des risques :

La gestion des risques permet au responsable de traitement d’identifier quelles sont les précautions utiles à prendre «au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès» (article 34 de la Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

(CF Information de la CNIL sur la Sécurité des Données)

Par gestion des risques, on entend la mise en place au sein de l’Entreprise de mesures Techniques (Sécurisation des données, des postes informatiques et des outils mobiles ; Sécurisation du réseau, des serveurs et des applications…)  et Organisationnelles (Définir une politique de contrôle d’accès – Modification régulière de mots de passe, vérification des habilitations, suppression des comptes de connexion de non salariés… –  sensibiliser des salariés à la Sécurité, rédiger une charte informatique annexée au règlement intérieur….)

Pour prévenir de ces différents risques, il faut :

  • Définir les risques potentiels par une phase d’évaluation du niveau de sécurité des données, de l’infrastructure et des personnes.
  • Rédiger l’ensemble des procédures techniques de sécurisation des données & leurs méthodes de contrôles ;
  • Auditer régulièrement ces points de contrôles ;
  • Associer l’ensemble du personnel par la signature d’une charte Informatique et l’acceptation des règles et procédures de sécurité,
  • Mettre à jour régulièrement ces procédures.

     2Les obligations de l’employeur comme des employés :

L’autorisation de la CNIL :

Les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être soumis à l’autorisation de la CNIL.

Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d’emprisonnement et 300 000€ d’amende.

En quelques clics, vous pouvez vérifier ci-dessous quel fichier doit être déclaré et comment le déclarer :

http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/

La sécurité des fichiers :

Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement.

Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende.

La confidentialité des données :

Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc).

La communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende.

La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende.

La durée de conservation des informations :

Les données personnelles ont une date de péremption.

Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier.

Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende.

L’information des personnes :

Le responsable d’un fichier doit permettre aux personnes concernées, par des informations qu’il détient, d’exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées.

Le refus ou l’entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive.

Voici un exemple d’intervention de la CNIL dans le cas du non respect de la réglementation en matière d’information et de conservation des informations.

http://www.cnil.fr/la-cnil/actualite/article/article/cloture-de-la-mise-en-demeure-a-lencontre-de-la-societe-oceatech-equipement

Pour plus d’informations, consultez le site de la Cnil.