Si les réseaux sont des instruments formidables d´échanges de données au sein de l´entreprise comme à l´extérieur, ils en sont également le talon d´achille. L´explosion d´internet et sa propagation fulgurante nécessitent que l´entreprise se protège et protège ses données de toute intrusion interne comme externe. Dans ce contexte, l´administrateur réseau est devenu un acteur incontournable de la sécurité de l´entreprise, et parfois même son garant. Mais son rôle est difficile. Il est au centre d´intérêts divergents et parfois contradictoires. D´un côté il doit obéir aux directives de sa direction générale, de l´autre il doit respecter la législation protectrice des salariés et des libertés individuelles applicable au sein de l´entreprise.
Aussi doit-on légitimement se poser la question de sa marge de manoeuvre lorsqu´il détecte la présence de fichiers et de programmes non professionnels (de type sniffers ou autres) indésirables sur le(s) serveur(s) de l´entreprise ou les postes de travail du personnel.
I - un texte fondamental
En préalable à toute tentative de réponse, rappelons l´existence d´un article fondamental du code du travail qui dispose que"nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives, de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché "(L120-2 du code du travail).
II - des juridictions soucieuses de la protection des libertés fondamentales
Le principe retenu par la Cour d´Appel de Paris, dans une décision régulièrement citée, est que le soupçon d´un risque informatique ne saurait prévaloir contre un attribut de la vie privée dont la protection est garantie par la loi. Aussi la Cour condamne-t-elle les administrateurs du site pour s´être introduit dans la boîte électronique d´un étudiant contre lequel ils entretenaient de forts soupçons d´indélicatesse (CA Paris, 11ème ch., sect. A, 17 décembre 2001). Toutefois le même arrêt énonce que l´accès au contenu est de droit pour les administrateurs de réseaux... sans pouvoir le divulguer.
Cette décision est dans la logique de l´arrêt Nikon (ou Onof) de la Chambre Sociale de la Cour de Cassation du 2 octobre 2001 conférant aux courriers électroniques le statut de correspondance privée. Plus généralement à la question de savoir si l´employeur peut accéder à quelque chose de personnel appartenant à son salarié, la réponse de la Chambre Sociale est "en principe non " (Cf. Ch. Sociale de la Cour de Cassation avril 2001).
C´est dire toute l´ambiguïté de la position de l´administrateur réseaux qui est la "main ouvrière " de sa direction mais qui peut voir sa responsabilité personnelle mise en cause en s´introduisant dans des espaces privatifs.
III - les solutions
Les solutions semblent venir du dernier rapport publié par la CNIL le 5 février 2002 intitulé "La cybersurveillance sur les lieux de travail " précisant les prérogatives de l´administrateur de réseau.
Ainsi la CNIL lui reconnaît le droit de contribuer à adapter la politique de sécurité de l´entreprise afin qu´elle soit aussi active que possible face à l´évolution des risques et à sélectionner parmi les solutions existantes celles les plus efficaces.
Dans le cadre de ses fonctions il peut accéder à des informations concernant les utilisateurs : volume et tailles des messages échangés, format de pièces jointes... fichiers enregistrés sur le disque dur.
Toutefois son contrôle doit rester global et porter sur des flux d´informations.
Un contrôle individualisé reste possible (sous réserve du respect du double principe de proportionnalité et d´information préalable) mais la mise en place d´un tel dispositif est subordonné à l´aval de la CNIL car il s´agit alors d´un traitement automatisé d´informations nominatives.
Par ailleurs, la CNIL rappelle que les modalités d´un tel contrôle individualisé doit faire l´objet d´une consultation du Comité d´entreprise conformément à l´article L432-2 du code du travail.
En tout état de cause, l´administrateur de réseaux est soumis au "secret professionnel " et ne peut divulguer des informations dont il aurait connaissance dès lors qu´elle ne mettent pas en cause l´intérêt de l´entreprise, son bon fonctionnement ou sa sécurité.
En conclusion...
L´administrateur réseaux ne peut pas être le fer de lance de sa direction. Une négociation et une concertation de tous les acteurs est indispensable (direction, représentant du personnel, informaticiens, et DPO). Cette démarche s´inscrit dans la logique de la mise en place d´une "charte informatique " au sein de l´entreprise. Les solutions retenues devront y figurer en bonne place afin que chacun soit informé et adhère aux moyens préventifs et répressifs mis en place pour protéger les intérêts de l´entreprise.
Sylvain Bonnet Passemar
--------------------------------------------------------------------
Adresse du blog : https://blogs.mediapart.fr/sp-0/blog
Passionné d'informatique, de nouvelle technologie, et de société de l'information, j'édite ce blog qui traite de sujet de sécurité informatique. Le but de ce blog est de s’adresser auprès d’un public varié : direction, utilisateur, informaticien. C’est pour cela qu’il est hébergé sur un site généraliste. La sécurité, c’est une en premier lieu une organisation, et non un rôle purement technique. J'ai commencé ma carrière dans la presse informatique dans les années 90, puis un long passage très intéressant comme informaticien en salle des marchés et banque d'investissement, puis une administration internationale.