HiBou

Des pros qui sont chouettes !

RGPD / Administrateur réseaux

You are here:
< All Topics

source : https://www.murielle-cahen.com/publications/p_reseau.asp

Pouvant ĂŞtre sujet d’attaques internes comme externes, les entreprises et leurs rĂ©seaux ont besoin d’une cybersurveillance des administrateurs de rĂ©seaux.

Cependant la cybersurveillance et les administrateurs de réseaux doivent obéir à différentes règles notamment le respect à la vie privée et le secret des correspondances. Avant de pouvoir rentrer dans les détails, nous allons définir la cybersurveillance et les administrateurs de réseaux dans un premier temps.

Dans un second temps, nous allons prĂ©senter les obligations qui pèsent sur les administrateurs rĂ©seaux lorsqu’ils font de la cybersurveillance.   gĂ©nĂ©ralisĂ©e de rĂ©seaux au sein des entreprises. Ces rĂ©seaux permettent de faciliter le travail des salariĂ©s, mais aussi leurs Ă©changes. Tout rĂ©seau doit ĂŞtre entretenu, mais aussi surveillĂ© pour Ă©viter sa dĂ©gradation.

Cette surveillance, appelĂ©e cybersurveillance est rĂ©alisĂ©e par les administrateurs de rĂ©seaux et implique plusieurs choses car la relation cybersurveillance et administrateurs rĂ©seaux doit se faire dans le respect des droits des salariĂ©s, mais aussi des intĂ©rĂŞts de l’entreprise. La cybersurveillance peut ĂŞtre dĂ©finie comme tout moyen de contrĂ´le technique, sur une personne ou un processus, liĂ© aux nouvelles technologies et plus particulièrement aux rĂ©seaux numĂ©riques de communication.

Plus précisément, la cybersurveillance regroupe les voies et moyens aboutissant à l’accès des données ou signaux transmis par voie électronique ainsi que le contrôle des moyens techniques permettant ces transmissions.

La cybersurveillance se fait techniquement, au moyen de logiciels de surveillance permettant d’enregistrer tous les évènements ou messages survenus pendant un temps donné et à un endroit déterminé. Les écoutes téléphoniques font partie intégrante de la cybersurveillance, tout comme le traçage d’internautes sur le web ou encore sur un réseau Intranet.

La surveillance et l’interception de courriers électroniques sont considérése comme de la cybersurveillance.

La cybersurveillance peut être utile, tant pour des raisons de sécurité et de bonne gestion d’un système informatique que pour des raisons de vérification de la bonne transmission de correspondances. Elle est le fait de l’administrateur réseau. Celui ci a plusieurs fonctions au sein de l’entreprise :

Il gère l’utilisation du réseau en s’occupant de toutes les instructions qui réglementent l’accès au système d’information

Il gère la configuration du réseau, il fait évoluer l’architecture conçue par l’ingénieur en fonction des besoins des usagers

Il participe Ă  la gestion technique des Ă©quipements. C’est Ă  dire qu’il rĂ©ceptionne les matĂ©riels d’informatiques et de tĂ©lĂ©communications, il les teste, les adapte, les insère dans le rĂ©seau en fonctionnement et effectue le suivi du parc de matĂ©riel

Il a un rôle de conseil, il informe l’utilisateur des performances des matériels et logiciels et lui sert de guide en cas de difficulté

Il est responsable de l’enregistrement des nouveaux utilisateurs et de la rĂ©partition des droits d’accès ainsi que de l’installation du système d’exploitation rĂ©seau et de la sĂ©curitĂ© des donnĂ©es sur l’ensemble du rĂ©seau.

Il peut accĂ©der, une fois qu’il est inscrit comme utilisateur privilĂ©giĂ© du rĂ©seau, Ă  toutes les fonctionnalitĂ©s du système (par exemple accès en lecture et en Ă©criture Ă  toutes les donnĂ©es ou bien modification du profil des utilisateurs).

L’administrateur rĂ©seau peut ainsi, dans le cadre d’une cybersurveillance, accĂ©der Ă  toutes les correspondances privĂ©es ou non des utilisateurs du rĂ©seau puisque le rĂ©seau est une structure permettant Ă  plusieurs entitĂ©s d’Ă©changer des informations. En matière de correspondances privĂ©es et plus prĂ©cisĂ©ment de messagerie Ă©lectronique des utilisateurs du rĂ©seau , l’administrateur Ă  donc un large pouvoir de contrĂ´le.

L’on peut donc s’interroger sur la portée et les limites des pouvoirs de l’administrateur réseau dans la cybersurveillance. Comment concilier l’objectif de sécurité du réseau et la non atteinte à la vie privée des utilisateurs ?

I. Le courrier électronique doit être considéré comme une correspondance privée

L’arrĂŞt Nikon de la Cour de Cassation en date du 2 octobre 2001, considĂ©rĂ© comme un arrĂŞt de principe par la doctrine, a Ă©rigĂ© au rang de correspondance privĂ©e le courrier Ă©lectronique, devant bĂ©nĂ©ficier Ă  ce titre de la protection de la loi du 10 juillet 1991 sur les tĂ©lĂ©communications. La Cour de Cassation a rendu sa dĂ©cision en se fondant sur l’article 8 de la Convention europĂ©enne de sauvegarde des droits de l’homme et des libertĂ©s fondamentales, l’article 9 du Code civil, l’article 9 du nouveau Code de procĂ©dure civile et l’article L. 120-2 du Code du travail(ancien).

Dans cette affaire, un employeur avait pris connaissance des messages électroniques personnels de l’un de ses salariés.

La Cour de Cassation a considĂ©rĂ© que  » le salariĂ© a droit, mĂŞme au temps et au lieu de travail, au respect de l’intimitĂ© de sa vie privĂ©e ; que celle-ci implique en particulier le secret des correspondances ; que l’employeur ne peut dès lors sans violation de cette libertĂ© fondamentale prendre connaissance des messages personnels Ă©mis par le salariĂ© et reçus par lui grâce Ă  un outil informatique mis Ă  sa disposition pour son travail et ceci mĂŞme au cas oĂą l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur  » qualifiant ainsi implicitement le courrier Ă©lectronique de correspondance privĂ©e.

Un arrĂŞt en date du 17 dĂ©cembre 2001 de la Cour d’appel de Paris a apportĂ© un Ă©clairage nouveau sur l’utilisation de la messagerie Ă©lectronique après l’arrĂŞt Nikon et a contribuĂ© Ă  dĂ©finir le rĂ´le de l’administrateur rĂ©seau dans toutes entreprises, et non plus seulement dans une relation employeur – employĂ©.

Dans cette affaire, plusieurs incidents étaient intervenus au sein du laboratoire de l’Ecole supérieure de physique – chimie de Paris. Des soupçons sur un étudiant ont conduit trois cadres de l’école à exercer une surveillance des courriers électroniques de l’étudiant.

Les faits poursuivis se sont passĂ©s dans le cadre de l’utilisation d’un rĂ©seau de tĂ©lĂ©communication Internet et relevaient donc des dispositions de l’article 432-9 du Code pĂ©nal disposant que  » Le fait, par une personne dĂ©positaire de l’autoritĂ© publique ou chargĂ©e d’une mission de service public, agissant dans l’exercice ou Ă  l’occasion de l’exercice de ses fonctions ou de sa mission, d’ordonner, de commettre ou de faciliter, hors les cas prĂ©vus par la loi, le dĂ©tournement, la suppression ou l’ouverture de correspondances ou la rĂ©vĂ©lation du contenu de ces correspondances, est puni de trois ans d’emprisonnement et de 45000 euros d’amende.
Est puni des mĂŞmes peines le fait, par une personne visĂ©e Ă  l’alinĂ©a prĂ©cĂ©dent ou un agent d’un exploitant de rĂ©seau de tĂ©lĂ©communications autorisĂ© en vertu de l’article L. 33-1 du code des postes et tĂ©lĂ©communications ou d’un fournisseur de services de tĂ©lĂ©communications, agissant dans l’exercice de ses fonctions, d’ordonner, de commettre ou de faciliter, hors les cas prĂ©vus par la loi, l’interception ou le dĂ©tournement des correspondances Ă©mises, transmises ou reçues par la voie des tĂ©lĂ©communications, l’utilisation ou la divulgation de leur contenu « .

La Cour d’appel a considéré qu’il y avait divulgation de correspondances émises, transmises ou reçues par voie de télécommunication. Elle a confirmé le jugement de première instance du TGI de Paris dans ses dispositions pénales tout en les assortissant du sursis, considérant notamment que les prévenus étaient  » confrontés à une situation inédite qui perturbait gravement le fonctionnement d’un laboratoire scientifique de haut niveau « .

Il résulte de ces dispositions une nécessaire mais difficile cohabitation entre l’objectif de sécurité du réseau de l’administrateur et la non atteinte à la vie privée par l’interception et la divulgation de correspondances électroniques.

II. L’objectif de sĂ©curitĂ© du rĂ©seau face Ă  la vie privĂ©e des utilisateurs

L’administrateur réseau, dans le cadre de son travail, peut être amené à prendre connaissance des messages privés des utilisateurs du réseau. La Cour d’appel a rappelé qu’  » il est dans la fonction des administrateurs de réseaux d’assurer le fonctionnement normal de ceux-ci ainsi que leur sécurité ce qui entraîne , entre autre, qu’ils aient accès aux messageries et à leur contenu, ne serait ce que pour les débloquer ou éviter des démarches hostiles « 

De ce fait,  » la préoccupation de la sécurité du réseau justifiait que les administrateurs de systèmes et de réseaux fassent usage de leurs positions et des possibilités techniques dont ils disposaient pour mener les investigations et prendre les mesures que cette sécurité imposait « , de la même façon que la Poste doit réagir à un colis ou une lettre suspecte. Néanmoins l’accès aux messages et l’interception de ceux ci est différent. Si l’administrateur réseau peut  » accéder  » aux messages électroniques, il ne peut les intercepter, conformément à l’alinéa 2 de l’article 432-9 du Code pénal.

La Cour d’appel, dans l’arrêt précité du 17 décembre 2001, a redéfinit la notion d’interception, infirmant sur ce point la décision du tribunal de première instance qui s’était référé à une définition de l’interception consistant en  » une prise de connaissance par surprise « . La Cour d’appel, elle, a adopté une conception restrictive de la notion d’interception, subordonnant sa qualification au recours à des manœuvres. Selon elle, il n’y a interception que lorsque la lecture et la retranscription de messages (qui peuvent être des e-mails) nécessitent une  » dérivation  » ou un  » branchement  » et est effectué avec un quelconque  » artifice  » ou  » stratagème « . En l’espèce, la Cour a jugé que les actes incriminés ne répondaient pas à la qualification d’interception, l’administrateur réseau prenant connaissance des messages dans l’exercice de ses fonctions.

L’administrateur réseau est donc autorisé, dans le cadre de sa fonction et de son objectif de sécurité du réseau, à accéder aux messages des utilisateurs lorsque cet accès est légitimé par la nécessité d’assurer le bon fonctionnement dudit réseau.

Il ne peut cependant en aucun cas intercepter les messages privĂ©s, violant ainsi l’article 432-9 du code pĂ©nal dans le cas contraire. En outre il convient de relever que le laboratoire s’Ă©tait donnĂ© Ă  lui-mĂŞme la règle dĂ©ontologique de ne pas lire le contenu du courrier Ă©lectronique sauf mise en cause de la sĂ©curitĂ© du système, ce qui n’Ă©tait pas le cas en l’espèce.

L’arrêt de la Cour d’appel est donc venu  » clarifier  » le rôle de l’administrateur réseau dans le cadre d’une cybersurveillance. Il relève donc bien de la fonction d’administrateur réseau d’en contrôler l’usage (en l’espèce conformément à la charte RENATER), ce qui implique nécessairement l’accès aux messageries et à leur contenu, mais dans une certaine limite.

En revanche,  » la divulgation du contenu des ces messages […]  » ne relevait pas des objectifs de sécurité du réseau. C’est sur ce fondement que la Cour d’appel a condamné l’administrateur réseau, alors que le tribunal était entré en voie de condamnation sur le fondement de l’interception de correspondances.

III. Non divulgation des messages et secret professionnel

C’est donc sur le fondement de la divulgation d’une correspondance privée que les administrateurs réseau ont été condamnés. Ceux ci ne peuvent pas divulguer les données auxquelles ils ont accès. Ils sont tenus au secret professionnel. Cependant, comme nous l’avons vu précédemment, les administrateurs réseau semblent avoir un droit de  » regard  » sur les contenus des messages, dans le souci d’une bonne gestion du réseau et de sa sécurité, à la condition de ne pas les divulguer.

L’arrêt de la Cour d’appel contribue ainsi à  » clarifier  » le rôle et la responsabilité de l’administrateur réseau mais le place dans une situation délicate dès qu’il est porté à sa connaissance, dans le cadre de ses fonctions, des faits ou abus dont la seule révélation est susceptible d’engager sa responsabilité pénale.

La jurisprudence se limite à permettre à l’administrateur réseau de prendre des mesures  » que la sécurité impose « .

Or, la divulgation d’informations et de contenus de messages à ses supérieurs hiérarchiques n’est elle pas une mesure que  » la sécurité impose  » en cas d’atteinte grave, par exemple, à la stratégie de l’entreprise par un salarié ? L’arrêt de la Cour d’appel ne précise pas quelles doivent être ces mesures. Quel sens doit on donner au terme  » divulgation  » ?

Dans un second rapport sur la cybersurveillance au travail du 11 février 2002, la CNIL a tenté de préciser le rôle des administrateurs réseau. D’après le rapport, ces derniers n’ont pas à exploiter, volontairement ou sur ordre de leur hiérarchie, le contenu de la messagerie des salariés qui reste soumis au secret des correspondances. Cependant, toujours selon le rapport, les administrateurs réseau ne sont pas tenus au secret professionnel dans deux cas.

VI. Mise en cause du bon fonctionnement des systèmes et de l’intérêt de l’entreprise

 » Dispositions législatives particulières  » pouvant contraindre les administrateurs réseau à dévoiler des informations

Malheureusement, ces exceptions restent très vastes et ne déterminent pas de façon précise la marge de manœuvre des administrateurs réseau et des employeurs.

S’agissant plus particulièrement du droit du travail, il est à noté que l’employeur a le droit de contrôler l’activité professionnelle de ses salariés dans certaines conditions :

– La confidentialitĂ© des messages personnels du salariĂ© doit ĂŞtre garantie
– L’employeur doit informer le salariĂ© des dispositifs de surveillance mis en place
– L’employeur doit informer le comitĂ© d’entreprise ou les dĂ©lĂ©guĂ©s du personnel
– Le recours au contrĂ´le doit ĂŞtre motivĂ© et proportionnel au but poursuivi (article L1222-4 du code du travail)

Une déclaration à la CNIL doit être effectuée en cas d’établissement d’une liste des connexions informatisées du salarié.

L’employeur doit ainsi assurer une certaine transparence lors du contrôle et de la surveillance d’un salarié.

En outre, un administrateur réseau doit-il répondre à la demande qui lui est faite de surveiller les courriers électroniques ou les fichiers des salariés ? Comme nous l’avons vu précédemment, bien qu’ayant accès à l’ensemble des données de l’entreprise dans l’exercice de ses fonctions, l’ administrateur réseau n’est pas libre de leur usage.

Ainsi, il ne peut divulguer le contenu d’un courrier personnel d’un salarié, y compris à la demande de l’employeur, au risque d’engager sa responsabilité pénale sur le fondement de l’article 226-15 du Code pénal ; cet article condamnant le fait d’ouvrir ou de prendre connaissance de mauvaise foi des correspondances destinées à autrui.

Il ressort de toutes ces dispositions que, même si le rôle de l’administrateur réseau dans la cybersurveillance a été éclairé par la jurisprudence de décembre 2001, certaines incertitudes subsistent. En effet, quelle devra être l’attitude d’un administrateur réseau face à un mail personnel d’un employé indélicat ? Ne devrait il pas lui même alerter l’employeur d’agissements déloyaux d’un salarié, conformément à son devoir de bonne administration du réseau, et donc de l’entreprise ?

Table of Contents