Administrateurs des SI : une charte spécifique s'impose
Titulaires de privilèges importants sur le système d'information, les administrateurs doivent disposer d'une charte spécifique encadrant leurs pratiques, explique l'avocat François Coupez. Et ce, même si la jurisprudence est très claire quant aux sanctions qu'encourent lesdits 'admin' en cas d'abus.
Le FIC 2015 l'a récemment rappelé : lorsque l'on s'intéresse à la sécurisation du système d'information (SI) d'une entreprise, la question de la formation et de la sensibilisation des utilisateurs apparaît comme un préalable indispensable. C'est la raison pour laquelle, en parallèle des formations des personnels, des règles d'utilisation du SI doivent être insérées dans le règlement intérieur des entreprises, en général par le biais d'une annexe appelée charte d'utilisation des moyens numériques (ou autre formulation équivalente).
Petit rappel sur la charte « utilisateurs du SI »
Rappelons ainsi que le règlement intérieur (annexes comprises) est un document écrit fixant exclusivement les mesures relatives à l'hygiène, à la sécurité, et à la discipline (art. L. 1321-1 du Code du travail) et qui répond à des procédures formelles d'adoption strictes afin d'être opposable.
Afin de pouvoir assurer la sécurité du SI de l'entreprise, l'employeur contrôle donc le respect des règles d'utilisation posées par la charte. Ce n'est en rien illégal d'ailleurs : la jurisprudence a spécifiquement reconnu à l'employeur le pouvoir de surveiller l'exécution des tâches qu'il confie à son salarié, et donc également la manière dont il les accomplit grâce aux moyens numériques mis à sa disposition.
Ce pouvoir de contrôle n'est toutefois jamais absolu : il doit répondre aux objectifs de transparence et de proportionnalité notamment posés par la loi du 6 janvier 1978 (dite « Informatique et Libertés ») et le Code du travail. En pratique, un contrôle général, statistique et anonyme est mis en place, et c'est dans le cadre notamment d'une alerte de sécurité ou encore d'une présomption d'utilisation non conforme qu'une analyse plus poussée va pouvoir être menée, s'appuyant sur des procédures d'application de la charte. Ce contrôle pourra être nominatif, en supposant que les formalités CNIL et que les formulations de la charte l'aient préalablement prévu. C'est dire l'importance de la rédaction de celle-ci, d'autant :
- qu'une disposition qui rendrait en pratique impossible tout contrôle s'impose à l'employeur qui devra la respecter ;
- que ce sont l'inobservation des règles directement posées dans la charte qui servent très souvent de fondement à la sanction.
Or ce contrôle n'est pas réalisé directement par l'employeur, mais par délégation le plus souvent via les informaticiens en charge selon les cas de la sécurité ou du bon fonctionnement du système informatique de l'entreprise (administrateurs systèmes, réseaux, messagerie, RSSI, etc.).
« With great power comes great responsibility »
Mais que se passe-t-il quand ces salariés, titulaires de droits privilégiés sur le système d'information, en abusent ? Paradoxalement, disposer d'une charte « administrateurs » n'est pas une nécessité pour réprimer ces comportements. Ceux-ci deviennent sanctionnables en tant que tels, car ils révèlent un manquement du salarié aux obligations inhérentes à ses fonctions dans l'entreprise.
Concernant ce type de personnel en effet, la jurisprudence est très claire et ne se fonde plus en tant que tel sur les interdictions formulées dans le règlement intérieur, mais plus largement sur la confiance de l'employeur qui a été abusée. Et la sanction n'en est que plus lourde. On peut ainsi citer la décision du Tribunal de grande instance de Rennes (chambre correctionnelle) du 21 février 2008 : « (X) exerce à ce jour une profession qui place ses partenaires dans un état de réelle dépendance et suppose en conséquence qu'ils puissent lui accorder une totale confiance ; Que de tels faits, commis dans le cadre d'une profession qui lui conférait des obligations à la mesure de ses pouvoirs d'intrusion, sont d'une particulière gravité ». Il y a quelques jours à peine, le 4 février 2015, c'est la Cour d'appel de Versailles qui confirmait le licenciement pour faute grave d'un Responsable Informatique et des Systèmes d'information. Celui-ci, à l'insu de son employeur et contrairement à ce que les formalités CNIL effectuées et la charte « utilisateurs » prévoyaient, avait notamment multiplié les manipulations techniques lui permettant d'avoir accès, de façon clandestine, aux contenus privés des salariés de l'entreprise (messages électroniques, conversations téléphoniques, SMS et numéros appelés ou reçus des téléphones portables de l'entreprise, voire plus via une télémaintenance des postes informatiques activable à l'insu du salarié).
Intérêts de la « charte administrateur »
Dans tous les cas, la rédaction et l'inclusion d'une telle charte spécifique aux administrateurs dans le règlement intérieur restent fondamentales, et ce pour plusieurs raisons :
- du point de vue de l'utilisateur du SI, elle permet de déterminer ce que des services identifiés dans l'entreprise peuvent entreprendre en matière de contrôle, de manière transparente ;
- la CNIL insiste sur le fait que ce document doit rappeler l'existence et l'importance du secret professionnel applicable aux administrateurs, précision étant faite que le respect de ce secret professionnel ne doit pas contrevenir aux intérêts de l'entreprise ou à sa sécurité ;
- du point de vue des administrateurs du SI, la charte joue un rôle pédagogique très fort concernant deux aspects complémentaires. D'une part, elle a pour rôle d'insister particulièrement sur les règles de sécurité qu'ils doivent respecter. Ceci se justifie par le fait que leurs droits d'accès privilégiés au SI font d'eux des cibles pour les hackers de tout poil. D'autre part, du fait de ces pouvoirs, cette charte doit rappeler aux administrateurs le but de leur intervention sur le SI, mais surtout les limites qu'ils ne doivent pas dépasser. Comme on l'a vu, eux plus que quiconque ont le devoir de respecter les règles posées ;
- En parallèle, disposer d'une charte spécifique permet d'indiquer clairement ce qu'ils sont parfaitement en droit d'effectuer pour la bonne marche du SI de l'entreprise ! En leur donnant cette visibilité, elle permet de rassurer tout un chacun sur la légalité et la légitimité de tel ou tel comportement, face à un environnement médiatique et social pouvant parfois semer le doute sur leurs réels moyens d'action.
Un outil contre l'arbitraire et la mauvaise foi
Pour conclure sur l'intérêt de ce document, citons une décision récente de la Cour d'appel de Colmar : dans cette affaire, le responsable de l'assistance informatique d'une société avait été licencié pour faute grave, un salarié l'accusant d'avoir accédé à ses fichiers « personnels privés ». Or ce n'est qu'après avoir détaillé avec minutie les attributions dudit responsable, ses actions passées et les logiciels qu'il a utilisés que la Cour a reconnu qu'il n'avait fait qu'analyser la volumétrie de fichiers réseau conformément à ses missions, dans des répertoires professionnels et avec des outils ne donnant pas accès au contenu des fichiers. Elle juge donc son licenciement « sans cause réelle ni sérieuse ». Une charte « administrateurs », venant en complément d'une charte « utilisateurs » elle aussi annexée au règlement intérieur, aurait à ce titre permis de clarifier la situation.
Par ailleurs, si la charte « administrateurs », rédigée en complément de la charte « utilisateurs », semble une évidence, l'entreprise fait également face, en droit social comme en tant d'autres
matières, au choc de la transformation numérique entendue largement : lors de la rédaction de telles chartes, la prise en compte des pratiques de télétravail, de BYOD, ou encore d'objets connectés utilisés à titre professionnel dans l'entreprise se doivent d'être abordés, sous réserve d'adopter des documents à l'obsolescence (très vite) programmée.
Par François Coupez, Avocat à la Cour, Associé du cabinet ATIPIC Avocat et titulaire du certificat de spécialisation en droit des nouvelles technologies
A lire aussi : les précédentes tribunes de François Coupez
Encadrement juridique du Cloud : peut-on éviter l'orage ?
Hacker les hackers : la « légitime défense numérique » existe-t-elle ?
Crédit photo : Dmitry Kalinovsky / Shutterstock
Sur le même thème
Voir tous les articles Actualités