Sécurité du SI : les salariés doivent être sensibilisés

Publié le 15/04/2019 - CIO Online - E. Papin

Pour lire l’article d’Etienne Papin, Avocat associé, et de Stéphanie Foulgoc, Senior Counsel, du 15 avril 2019 pour CIO Online.

Les avocats Etienne Papin et Stéphanie Foulgoc reviennent sur les obligations de sensibilisation des salariés en matière de cybersécurité.

Par le simple envoi d’un email et d’une pièce-jointe vers sa messagerie personnelle ou celle de tiers, un salarié peut très facilement diffuser des informations confidentielles de l’entreprise. Par l’enregistrement d’un fichier clients non protégée d’un mot de passe sur une clé USB, un salarié peut causer une violation de données à caractère personnel dont l’entreprise sera responsable. Ces exemples, qui semblent triviaux, donnent pourtant très souvent matière à contentieux prud’homal ou contrôle de la CNIL.

Que ces actes soient intentionnels ou le résultat d’une simple inadvertance, la diffusion d’informations confidentielles à l’extérieur de l’entreprise est dommageable. Avec l’entrée en vigueur du RGPD et l’obligation de notifier les violations de sécurité, le risque de sanction ne doit pas être sous-estimé.

Une saine gestion de la sécurité de son SI ne doit pas seulement consister en la mise en place de mesures techniques en prévention des attaques extérieures. Empêcher la diffusion non-maîtrisée des données de l’entreprise par des collaborateurs passe par la mise en place de règles contraignantes, mais pas seulement : une sensibilisation active aux enjeux de sécurité informatique est indispensable, quelle que soit la taille ou l’activité de l’entreprise.

Un contentieux tranché le 4 février dernier par la Cour d’appel de Limoges nous donne l’occasion de rappeler les mesures qui doivent être prises par les entreprises pour prévenir les atteintes à la sécurité des données venant de l’intérieur.

Les chartes informatiques constituent toujours un outil indispensable pour contrôler l’utilisation du SI par les salariés. Elles doivent régulièrement être mises à jour

Le recours aux chartes informatiques dans les entreprises remonte au début des années 2000. Dans un célèbre arrêt du 2 octobre 2001, dit « Nikon », la Cour de cassation a consacré le fait que le salarié dispose, y compris sur son temps et sur son lieu de travail, du droit au respect de sa vie privée. Il en résulte le droit d’avoir un usage personnel raisonnable des moyens informatiques de l’entreprise mis à sa disposition, principalement le mail et l’accès à internet.

Les employeurs ont alors dû préciser les règles de ce qu’ils contrôlent et peuvent consulter sans l’accord de leurs salariés, tout en prévoyant que certains dossiers, messages ou contenus, qui seraient dûment identifiés comme « Personnel » ne pourraient, en principe, être contrôlés qu’en ayant au préalable informé et convoqué le salarié concerné.

Pour être efficacement opposable aux collaborateurs, la charte informatique doit venir compléter le règlement intérieur et donc être adoptée dans les mêmes conditions que ce dernier.

De par ce caractère opposable aux salariés, la charte informatique est donc devenue le support à l’ensemble des règles de bonne pratique informatique à mettre en oeuvre, en ce compris la sécurité.

La Cour de cassation a eu l’occasion, à plusieurs reprises, de reconnaître l’effet juridique d’une charte informatique. Par exemple, dans un arrêt du 5 juillet 2011, la Cour reconnaît le bien fondé du licenciement d’une salariée qui, en méconnaissance des dispositions de la charte informatique, avait permis à un autre salarié qui n’y était pas habilité d’utiliser ses codes d’accès pour télécharger des informations confidentielles.

Les chartes informatiques doivent être enrichies pour inculquer aux salariés les rudiments de la sécurité

Ne pas utiliser d’ordinateur personnel pour traiter des données de l’entreprise, verrouiller son poste, signaler tout dysfonctionnement ou toute perte d’outils informatiques à son supérieur ou à la DSI : les règles sont nombreuses et il ne peut qu’être recommandé de les faire figurer dans la charte informatique, même si elles peuvent parfois paraître évidentes.

Mais les entreprises renouvellent souvent les ressources utilisées par les salariés, et les pratiques des utilisateurs évoluent nécessairement : depuis les premières chartes informatiques, sont apparus les smartphones et tablettes, l’informatique dans cloud, le télétravail, le BYOD, etc.

Le problème du processus d’adoption et de modification de la charte informatique est qu’il ne permet pas sa mise à jour à la même vitesse que le renouvellement des outils par la DSI et des pratiques par les utilisateurs.

Pour une sensibilisation efficace des collaborateurs aux enjeux de sécurité et de confidentialité, l’entreprise devra régulièrement émettre des notes de service, par exemple à chaque mise à disposition de nouveaux matériels ou logiciels, et ne pas hésiter à recourir à des modules de formation.

Les profils les plus amenés à traiter des données confidentielles, en ce compris des données à caractère personnel, devront également être soumis à un engagement de confidentialité contraignant.

Mais il est également essentiel que les entreprises mettent à la disposition des salariés des outils adaptés aux enjeux de sécurité

L’arrêt rendu par la Cour d’appel de Limoges le 4 février dernier illustre parfaitement les risques internes auxquels sont confrontés les entreprises en matière de sécurité de leurs données.

Dans cette affaire, un salarié, responsable d’agence d’une mutuelle, avait téléchargé sur son Google Drive personnel et sur une clé USB un fichier contenant des informations personnelles relatives à 112 000 adhérents de cette mutuelle. Les motivations de ce salarié ne sont pas évidentes, celui-ci indiquera que son but était d’alerter sa hiérarchie sur le manque de sécurité entourant les données, alors que, par ailleurs, les relations entre le salarié et son employeur étaient déjà fortement dégradées.

Informée de cette situation, la mutuelle licencia son salarié pour faute lourde et porta plainte. L’enquête pénale fut classée sans suite mais le contentieux prud’homal perdura.

De manière didactique, la Cour d’appel de Limoges rappelle dans son arrêt que la faute grave du salarié est celle qui résulte d’une violation de ses obligations découlant des relations de travail d’une importance telle qu’elle rend impossible la poursuite du contrat de travail et le maintien du salarié dans l’entreprise. La faute lourde, quant à elle, peut être retenue lorsqu’est caractérisée l’intention du salarié de nuire à l’entreprise.

En l’espèce, il est intéressant de relever que le juge de première instance n’avait pas caractérisé de faute dans le comportement du salarié. La Cour d’appel adopte une autre attitude. Celle-ci considère que : « Nonobstant le classement sans suite de l’affaire pénale, les seuls manquements commis par le salarié aux règles de sécurité » « justifient la mesure de licenciement prononcée à son encontre, même si en l’absence de justification de toute intention de nuire à l’employeur, il y a lieu à requalification du licenciement prononcé pour faute lourde en licenciement pour faute grave, la nature de la transgression interdisant le maintien de la relation contractuelle ».

Cette affaire est riche d’enseignements.

Le comportement du salarié est incontestablement difficile à justifier et la sanction disciplinaire qui en découle est, logiquement, validée par les juges d’appel. Sur ce point, il ne semble pas que l’existence d’une charte informatique au sein de l’entreprise ait été déterminante pour les juges pour qualifier le manquement du salarié. La charte en vigueur indiquait simplement : « Tout utilisateur a la charge à son niveau d’utiliser les systèmes informatiques avec prudence afin de contribuer à la sécurité des moyens auxquels il a accès. La sécurité est l’affaire de tous. D’une manière générale, chaque utilisateur est soumis à une obligation de discrétion et de confidentialité dans l’exercice de son activité ». De ces considérations générales, on ne déduit pas l’injonction faite aux salariés de ne pas extraire vers des supports personnels les données du S.I.

Pour autant, la Cour d’appel, à l’inverse des juges de première instance, reconnaît que le salarié a manqué aux règles de sécurité, esquissant ainsi une forme de devoir général du salarié de ne pas transférer à l’extérieur de l’entreprise les données auxquelles il a accès.

Mais il ne saurait être trop conseillé aux employeurs de ne pas s’en remettre à une telle appréciation des juges et à prendre soin, dans leur charte informatique, de préciser clairement les interdits en la matière.

Si la sanction disciplinaire du salarié est retenue, le comportement de l’entreprise n’est certainement pas exempt de défaut également. En effet, la facilité avec laquelle un salarié a pu récupérer les informations relatives à 112 000 personnes donne à penser que ces informations n’étaient pas suffisamment sécurisées à la base.

Selon les informations disponibles dans l’arrêt, on note que le fichier en question avait beau être stocké sur un répertoire interne de l’entreprise, celui-ci restait néanmoins accessible à 500 personnes. Selon toute vraisemblance, il s’agissait d’un fichier Excel qui ne faisait l’objet d’aucune mesure de sécurité particulière.

Si le fichier avait fuité sur internet, à la suite de l’intervention fautive du salarié, l’entreprise n’aurait pas pu se retrancher sur la faute de son salarié pour échapper à sa responsabilité au regard de la loi du 6 janvier 1978 et du RGPD.

Ces textes mettent à la charge du responsable du traitement l’obligation de veiller à la sécurité des données personnelles qu’il traite. Dès lors, l’usage d’outils bureautiques comme Excel pour gérer et partager au sein de l’entreprise une telle quantité de données personnelles devrait être exclu. Des applicatifs dédiés permettant une gestion fine des habilitations et un contrôle rigoureux des exports sont nécessaires pour qu’une entreprise limite ses risques, dans son propre intérêt et pour respecter ses obligations légales.

Les fichiers Excel, on le constate à de nombreuses reprises, sont bien souvent le maillon faible de la sécurité des données personnelles au sein des entreprises.

Autres publications