HiBou

Veille sur vous

RGPD / Administrateur réseaux

You are here:
  • Main
  • RGPD
  • RGPD / Administrateur rĂ©seaux
< All Topics

source : https://www.murielle-cahen.com/publications/p_reseau.asp

Pouvant ĂŞtre sujet d’attaques internes comme externes, les entreprises et leurs rĂ©seaux ont besoin d’une cybersurveillance des administrateurs de rĂ©seaux.

Cependant la cybersurveillance et les administrateurs de réseaux doivent obéir à différentes règles notamment le respect à la vie privée et le secret des correspondances. Avant de pouvoir rentrer dans les détails, nous allons définir la cybersurveillance et les administrateurs de réseaux dans un premier temps.

Dans un second temps, nous allons prĂ©senter les obligations qui pèsent sur les administrateurs rĂ©seaux lorsqu’ils font de la cybersurveillance.   gĂ©nĂ©ralisĂ©e de rĂ©seaux au sein des entreprises. Ces rĂ©seaux permettent de faciliter le travail des salariĂ©s, mais aussi leurs Ă©changes. Tout rĂ©seau doit ĂŞtre entretenu, mais aussi surveillĂ© pour Ă©viter sa dĂ©gradation.

Cette surveillance, appelĂ©e cybersurveillance est rĂ©alisĂ©e par les administrateurs de rĂ©seaux et implique plusieurs choses car la relation cybersurveillance et administrateurs rĂ©seaux doit se faire dans le respect des droits des salariĂ©s, mais aussi des intĂ©rĂŞts de l’entreprise. La cybersurveillance peut ĂŞtre dĂ©finie comme tout moyen de contrĂ´le technique, sur une personne ou un processus, liĂ© aux nouvelles technologies et plus particulièrement aux rĂ©seaux numĂ©riques de communication.

Plus précisément, la cybersurveillance regroupe les voies et moyens aboutissant à l’accès des données ou signaux transmis par voie électronique ainsi que le contrôle des moyens techniques permettant ces transmissions.

La cybersurveillance se fait techniquement, au moyen de logiciels de surveillance permettant d’enregistrer tous les évènements ou messages survenus pendant un temps donné et à un endroit déterminé. Les écoutes téléphoniques font partie intégrante de la cybersurveillance, tout comme le traçage d’internautes sur le web ou encore sur un réseau Intranet.

La surveillance et l’interception de courriers électroniques sont considérése comme de la cybersurveillance.

La cybersurveillance peut être utile, tant pour des raisons de sécurité et de bonne gestion d’un système informatique que pour des raisons de vérification de la bonne transmission de correspondances. Elle est le fait de l’administrateur réseau. Celui ci a plusieurs fonctions au sein de l’entreprise :

Il gère l’utilisation du réseau en s’occupant de toutes les instructions qui réglementent l’accès au système d’information

Il gère la configuration du réseau, il fait évoluer l’architecture conçue par l’ingénieur en fonction des besoins des usagers

Il participe Ă  la gestion technique des Ă©quipements. C’est Ă  dire qu’il rĂ©ceptionne les matĂ©riels d’informatiques et de tĂ©lĂ©communications, il les teste, les adapte, les insère dans le rĂ©seau en fonctionnement et effectue le suivi du parc de matĂ©riel

Il a un rôle de conseil, il informe l’utilisateur des performances des matériels et logiciels et lui sert de guide en cas de difficulté

Il est responsable de l’enregistrement des nouveaux utilisateurs et de la rĂ©partition des droits d’accès ainsi que de l’installation du système d’exploitation rĂ©seau et de la sĂ©curitĂ© des donnĂ©es sur l’ensemble du rĂ©seau.

Il peut accĂ©der, une fois qu’il est inscrit comme utilisateur privilĂ©giĂ© du rĂ©seau, Ă  toutes les fonctionnalitĂ©s du système (par exemple accès en lecture et en Ă©criture Ă  toutes les donnĂ©es ou bien modification du profil des utilisateurs).

L’administrateur rĂ©seau peut ainsi, dans le cadre d’une cybersurveillance, accĂ©der Ă  toutes les correspondances privĂ©es ou non des utilisateurs du rĂ©seau puisque le rĂ©seau est une structure permettant Ă  plusieurs entitĂ©s d’Ă©changer des informations. En matière de correspondances privĂ©es et plus prĂ©cisĂ©ment de messagerie Ă©lectronique des utilisateurs du rĂ©seau , l’administrateur Ă  donc un large pouvoir de contrĂ´le.

L’on peut donc s’interroger sur la portée et les limites des pouvoirs de l’administrateur réseau dans la cybersurveillance. Comment concilier l’objectif de sécurité du réseau et la non atteinte à la vie privée des utilisateurs ?

I. Le courrier électronique doit être considéré comme une correspondance privée

L’arrĂŞt Nikon de la Cour de Cassation en date du 2 octobre 2001, considĂ©rĂ© comme un arrĂŞt de principe par la doctrine, a Ă©rigĂ© au rang de correspondance privĂ©e le courrier Ă©lectronique, devant bĂ©nĂ©ficier Ă  ce titre de la protection de la loi du 10 juillet 1991 sur les tĂ©lĂ©communications. La Cour de Cassation a rendu sa dĂ©cision en se fondant sur l’article 8 de la Convention europĂ©enne de sauvegarde des droits de l’homme et des libertĂ©s fondamentales, l’article 9 du Code civil, l’article 9 du nouveau Code de procĂ©dure civile et l’article L. 120-2 du Code du travail(ancien).

Dans cette affaire, un employeur avait pris connaissance des messages électroniques personnels de l’un de ses salariés.

La Cour de Cassation a considĂ©rĂ© que ” le salariĂ© a droit, mĂŞme au temps et au lieu de travail, au respect de l’intimitĂ© de sa vie privĂ©e ; que celle-ci implique en particulier le secret des correspondances ; que l’employeur ne peut dès lors sans violation de cette libertĂ© fondamentale prendre connaissance des messages personnels Ă©mis par le salariĂ© et reçus par lui grâce Ă  un outil informatique mis Ă  sa disposition pour son travail et ceci mĂŞme au cas oĂą l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur ” qualifiant ainsi implicitement le courrier Ă©lectronique de correspondance privĂ©e.

Un arrĂŞt en date du 17 dĂ©cembre 2001 de la Cour d’appel de Paris a apportĂ© un Ă©clairage nouveau sur l’utilisation de la messagerie Ă©lectronique après l’arrĂŞt Nikon et a contribuĂ© Ă  dĂ©finir le rĂ´le de l’administrateur rĂ©seau dans toutes entreprises, et non plus seulement dans une relation employeur – employĂ©.

Dans cette affaire, plusieurs incidents étaient intervenus au sein du laboratoire de l’Ecole supérieure de physique – chimie de Paris. Des soupçons sur un étudiant ont conduit trois cadres de l’école à exercer une surveillance des courriers électroniques de l’étudiant.

Les faits poursuivis se sont passĂ©s dans le cadre de l’utilisation d’un rĂ©seau de tĂ©lĂ©communication Internet et relevaient donc des dispositions de l’article 432-9 du Code pĂ©nal disposant que ” Le fait, par une personne dĂ©positaire de l’autoritĂ© publique ou chargĂ©e d’une mission de service public, agissant dans l’exercice ou Ă  l’occasion de l’exercice de ses fonctions ou de sa mission, d’ordonner, de commettre ou de faciliter, hors les cas prĂ©vus par la loi, le dĂ©tournement, la suppression ou l’ouverture de correspondances ou la rĂ©vĂ©lation du contenu de ces correspondances, est puni de trois ans d’emprisonnement et de 45000 euros d’amende.
Est puni des mĂŞmes peines le fait, par une personne visĂ©e Ă  l’alinĂ©a prĂ©cĂ©dent ou un agent d’un exploitant de rĂ©seau de tĂ©lĂ©communications autorisĂ© en vertu de l’article L. 33-1 du code des postes et tĂ©lĂ©communications ou d’un fournisseur de services de tĂ©lĂ©communications, agissant dans l’exercice de ses fonctions, d’ordonner, de commettre ou de faciliter, hors les cas prĂ©vus par la loi, l’interception ou le dĂ©tournement des correspondances Ă©mises, transmises ou reçues par la voie des tĂ©lĂ©communications, l’utilisation ou la divulgation de leur contenu “.

La Cour d’appel a considĂ©rĂ© qu’il y avait divulgation de correspondances Ă©mises, transmises ou reçues par voie de tĂ©lĂ©communication. Elle a confirmĂ© le jugement de première instance du TGI de Paris dans ses dispositions pĂ©nales tout en les assortissant du sursis, considĂ©rant notamment que les prĂ©venus Ă©taient ” confrontĂ©s Ă  une situation inĂ©dite qui perturbait gravement le fonctionnement d’un laboratoire scientifique de haut niveau “.

Il résulte de ces dispositions une nécessaire mais difficile cohabitation entre l’objectif de sécurité du réseau de l’administrateur et la non atteinte à la vie privée par l’interception et la divulgation de correspondances électroniques.

II. L’objectif de sĂ©curitĂ© du rĂ©seau face Ă  la vie privĂ©e des utilisateurs

L’administrateur rĂ©seau, dans le cadre de son travail, peut ĂŞtre amenĂ© Ă  prendre connaissance des messages privĂ©s des utilisateurs du rĂ©seau. La Cour d’appel a rappelĂ© qu’ ” il est dans la fonction des administrateurs de rĂ©seaux d’assurer le fonctionnement normal de ceux-ci ainsi que leur sĂ©curitĂ© ce qui entraĂ®ne , entre autre, qu’ils aient accès aux messageries et Ă  leur contenu, ne serait ce que pour les dĂ©bloquer ou Ă©viter des dĂ©marches hostiles “

De ce fait, ” la prĂ©occupation de la sĂ©curitĂ© du rĂ©seau justifiait que les administrateurs de systèmes et de rĂ©seaux fassent usage de leurs positions et des possibilitĂ©s techniques dont ils disposaient pour mener les investigations et prendre les mesures que cette sĂ©curitĂ© imposait “, de la mĂŞme façon que la Poste doit rĂ©agir Ă  un colis ou une lettre suspecte. NĂ©anmoins l’accès aux messages et l’interception de ceux ci est diffĂ©rent. Si l’administrateur rĂ©seau peut ” accĂ©der ” aux messages Ă©lectroniques, il ne peut les intercepter, conformĂ©ment Ă  l’alinĂ©a 2 de l’article 432-9 du Code pĂ©nal.

La Cour d’appel, dans l’arrĂŞt prĂ©citĂ© du 17 dĂ©cembre 2001, a redĂ©finit la notion d’interception, infirmant sur ce point la dĂ©cision du tribunal de première instance qui s’était rĂ©fĂ©rĂ© Ă  une dĂ©finition de l’interception consistant en ” une prise de connaissance par surprise “. La Cour d’appel, elle, a adoptĂ© une conception restrictive de la notion d’interception, subordonnant sa qualification au recours Ă  des manĹ“uvres. Selon elle, il n’y a interception que lorsque la lecture et la retranscription de messages (qui peuvent ĂŞtre des e-mails) nĂ©cessitent une ” dĂ©rivation ” ou un ” branchement ” et est effectuĂ© avec un quelconque ” artifice ” ou ” stratagème “. En l’espèce, la Cour a jugĂ© que les actes incriminĂ©s ne rĂ©pondaient pas Ă  la qualification d’interception, l’administrateur rĂ©seau prenant connaissance des messages dans l’exercice de ses fonctions.

L’administrateur réseau est donc autorisé, dans le cadre de sa fonction et de son objectif de sécurité du réseau, à accéder aux messages des utilisateurs lorsque cet accès est légitimé par la nécessité d’assurer le bon fonctionnement dudit réseau.

Il ne peut cependant en aucun cas intercepter les messages privĂ©s, violant ainsi l’article 432-9 du code pĂ©nal dans le cas contraire. En outre il convient de relever que le laboratoire s’Ă©tait donnĂ© Ă  lui-mĂŞme la règle dĂ©ontologique de ne pas lire le contenu du courrier Ă©lectronique sauf mise en cause de la sĂ©curitĂ© du système, ce qui n’Ă©tait pas le cas en l’espèce.

L’arrĂŞt de la Cour d’appel est donc venu ” clarifier ” le rĂ´le de l’administrateur rĂ©seau dans le cadre d’une cybersurveillance. Il relève donc bien de la fonction d’administrateur rĂ©seau d’en contrĂ´ler l’usage (en l’espèce conformĂ©ment Ă  la charte RENATER), ce qui implique nĂ©cessairement l’accès aux messageries et Ă  leur contenu, mais dans une certaine limite.

En revanche, ” la divulgation du contenu des ces messages […] ” ne relevait pas des objectifs de sĂ©curitĂ© du rĂ©seau. C’est sur ce fondement que la Cour d’appel a condamnĂ© l’administrateur rĂ©seau, alors que le tribunal Ă©tait entrĂ© en voie de condamnation sur le fondement de l’interception de correspondances.

III. Non divulgation des messages et secret professionnel

C’est donc sur le fondement de la divulgation d’une correspondance privĂ©e que les administrateurs rĂ©seau ont Ă©tĂ© condamnĂ©s. Ceux ci ne peuvent pas divulguer les donnĂ©es auxquelles ils ont accès. Ils sont tenus au secret professionnel. Cependant, comme nous l’avons vu prĂ©cĂ©demment, les administrateurs rĂ©seau semblent avoir un droit de ” regard ” sur les contenus des messages, dans le souci d’une bonne gestion du rĂ©seau et de sa sĂ©curitĂ©, Ă  la condition de ne pas les divulguer.

L’arrĂŞt de la Cour d’appel contribue ainsi Ă  ” clarifier ” le rĂ´le et la responsabilitĂ© de l’administrateur rĂ©seau mais le place dans une situation dĂ©licate dès qu’il est portĂ© Ă  sa connaissance, dans le cadre de ses fonctions, des faits ou abus dont la seule rĂ©vĂ©lation est susceptible d’engager sa responsabilitĂ© pĂ©nale.

La jurisprudence se limite Ă  permettre Ă  l’administrateur rĂ©seau de prendre des mesures ” que la sĂ©curitĂ© impose “.

Or, la divulgation d’informations et de contenus de messages Ă  ses supĂ©rieurs hiĂ©rarchiques n’est elle pas une mesure que ” la sĂ©curitĂ© impose ” en cas d’atteinte grave, par exemple, Ă  la stratĂ©gie de l’entreprise par un salariĂ© ? L’arrĂŞt de la Cour d’appel ne prĂ©cise pas quelles doivent ĂŞtre ces mesures. Quel sens doit on donner au terme ” divulgation ” ?

Dans un second rapport sur la cybersurveillance au travail du 11 février 2002, la CNIL a tenté de préciser le rôle des administrateurs réseau. D’après le rapport, ces derniers n’ont pas à exploiter, volontairement ou sur ordre de leur hiérarchie, le contenu de la messagerie des salariés qui reste soumis au secret des correspondances. Cependant, toujours selon le rapport, les administrateurs réseau ne sont pas tenus au secret professionnel dans deux cas.

VI. Mise en cause du bon fonctionnement des systèmes et de l’intérêt de l’entreprise

” Dispositions lĂ©gislatives particulières ” pouvant contraindre les administrateurs rĂ©seau Ă  dĂ©voiler des informations

Malheureusement, ces exceptions restent très vastes et ne déterminent pas de façon précise la marge de manœuvre des administrateurs réseau et des employeurs.

S’agissant plus particulièrement du droit du travail, il est à noté que l’employeur a le droit de contrôler l’activité professionnelle de ses salariés dans certaines conditions :

– La confidentialitĂ© des messages personnels du salariĂ© doit ĂŞtre garantie
– L’employeur doit informer le salariĂ© des dispositifs de surveillance mis en place
– L’employeur doit informer le comitĂ© d’entreprise ou les dĂ©lĂ©guĂ©s du personnel
– Le recours au contrĂ´le doit ĂŞtre motivĂ© et proportionnel au but poursuivi (article L1222-4 du code du travail)

Une déclaration à la CNIL doit être effectuée en cas d’établissement d’une liste des connexions informatisées du salarié.

L’employeur doit ainsi assurer une certaine transparence lors du contrôle et de la surveillance d’un salarié.

En outre, un administrateur réseau doit-il répondre à la demande qui lui est faite de surveiller les courriers électroniques ou les fichiers des salariés ? Comme nous l’avons vu précédemment, bien qu’ayant accès à l’ensemble des données de l’entreprise dans l’exercice de ses fonctions, l’ administrateur réseau n’est pas libre de leur usage.

Ainsi, il ne peut divulguer le contenu d’un courrier personnel d’un salarié, y compris à la demande de l’employeur, au risque d’engager sa responsabilité pénale sur le fondement de l’article 226-15 du Code pénal ; cet article condamnant le fait d’ouvrir ou de prendre connaissance de mauvaise foi des correspondances destinées à autrui.

Il ressort de toutes ces dispositions que, même si le rôle de l’administrateur réseau dans la cybersurveillance a été éclairé par la jurisprudence de décembre 2001, certaines incertitudes subsistent. En effet, quelle devra être l’attitude d’un administrateur réseau face à un mail personnel d’un employé indélicat ? Ne devrait il pas lui même alerter l’employeur d’agissements déloyaux d’un salarié, conformément à son devoir de bonne administration du réseau, et donc de l’entreprise ?

Table of Contents