Yves Bismuth est intervenu dans le cadre du Congrès EUROSEC

Il était modérateur de la session 19 intitulée : “Sécurité et vie privée” qui s'est déroulée comme suit :

. Fichiers de polices : qu'en est 'il exactement ? Virginie PRAT - CABINET ALAIN BENSOUSSAN
. L'organisation de la défense dans un procès pour criminalité informatique. Les aspects légaux. Andrea MONTI - STUDIO LEGALE MONTI et Stephen FIRTH
. Protection de la vie privée : contrainte ou opportunité pour l'industrie ? Pierre GIRARD -GEMPLUS

Vous pouvez prendre connaisance du programme en cliquant sur ce lien.

Charte d'utilisation des moyens informatiques : Une sécurité pour l'entreprise et ses employés . Aspects juridiques et conseils pratiques

Des entreprises de plus en plus nombreuses adoptent des “chartes d'utilisation ou d'information” précisant les mesures de sécurité prôner par l'entreprise et les usages que les salariés peuvent faire des outils informatiques mis à leur disposition. Ces chartes sont un moyen supplémentaire, au delà du contrat de travail ou du règlement intérieur de régir les rapports entre l'entreprise et ses salariés.
La CNIL soutient l'initiative lorsque ces “chartes” ou “guides des bons usages” se fixent pour objectif d'assurer une parfaite information des utilisateurs, de sensibiliser les salariés ou les agents publics aux exigences de sécurité, d'attirer leur attention sur certains comportements de nature à porter atteinte à l'intérêt collectif de l'entreprise ou de l'administration, ce qu'elle qualifie d'actes techniquement dangereux ou contre-productif et actes illicites.

L'objectif d'une charte doit être avant tout de clarifier les choses, d'instaurer un climat de confiance par l'énoncé de règles claires auxquelles les salariés peuvent se référer et doivent se conformer dans la limite de leur légalité. Ces chartes sont le moyen de définir, de manière largement consentie compte tenu de leurs modalités de mise en œuvre au sein de l'entreprise, ce qui appartient à la sphère de l'entreprise, de la sphère privée du salarié au sein de son entreprise.
Les objectifs d'une charte sont tout d'abord de prévenir les risques techniques, c'est à dire les dommages pouvant être provoqués par une mauvaise utilisation du matériel ou des programmes. Mais le bon usage de l'outil consistera aussi dans une vigilance permettant de prévenir les sinistres, tout autant que les attaques frauduleuses contre le système informatique. C'est le moyen le plus sûr de faire connaître et adhérer les salariés à la politique sécurité de l'entreprise, qui bien souvent dépend d'eux pour son application. La charte est aussi un outil juridique sur lequel pourra s'appuyer l'employeur afin d'éviter la mise en cause de sa responsabilité, ou afin de remplir certaines obligations légales en matière d'information aux salariés par exemple, ou encore afin de pouvoir sanctionner les comportements dangereux pour l'entreprise.

I - CONTENU DE LA CHARTE
Pour répondre aux attentes énoncées, la charte doit revêtir un contenu particulièrement riche, elle devra de manière générale être claire et pédagogique surtout dans les domaines touchant à la prévention des comportements à risque pour l'entreprise.

Rappelons que, comme nous le prouve l'activité virale de ces derniers mois (Mydoom, Doomjuice, NetSky), Internet est un milieu létal, où le danger est permanent lorsque la sécurité des systèmes professionnels est en jeu. Le premier rôle de la charte sera donc une identification de tous les outils informatiques mis à la disposition du salarié, aussi bien hardware que software (les postes de travail sont concernés, mais aussi l'usage des serveurs, les messageries, l'accès internet…). Cette identification a deux finalités : l'identification des moyens mis à disposition du salarié et par voie de conséquence des risques pouvant advenir de leur utilisation, et la définition plus précise de la sphère professionnelle et de la sphère privée du salarié.
Au-delà d'une simple suite de règles de bonne conduite de nature quasi déontologique parfois, la charte pourra contenir des interdictions, des droits, des devoirs auxquelles les utilisateurs du système devront se soumettre. Il s'agira d'une information des salariés quant aux mesures techniques limitant certaines utilisations des systèmes informatiques de l'entreprise afin d'assurer la sécurité technique et juridique mais aussi afin de contrôler le respect des règles édictées par la charte et les éventuelles sanctions découlant d'une violation de celles-ci.
L'employeur n'est cependant pas libre dans la nature et la portée des règles inscrite dans la charte. Le droit de du travail en particulier va imposer le respect du principe de proportionnalité, à savoir que les règles ainsi définies ne doivent pas relever du simple arbitraire, mais doivent être justifiées au regard des risques existants et de la nature de la tâche du salarié ou de l'activité de l'entreprise.
A ce principe de fond, vont venir se greffer d'autres obligations légales générées par les mesures de contrôle dont la charte fait l'objet.

II - PROCEDURE DE MISE EN PLACE La charte pourra se présenter soit sous la forme d'un document contractuel indépendant qui sera annexé au contrat de travail ou sous forme d'un avenant au contrat de travail. On pourra donc aussi trouver certaines clauses de la charte intégrées au règlement intérieur. Enfin la charte pourra être diffusée dans une note de service portée à la connaissance des salariés. Le principe est que pour être opposable au salarié, la charte doit être portée à sa connaissance. Suivant le contenu et la nature de la charte, les obligations en matière de consultation, déclaration, publicité sont différentes et peuvent être cumulatives.
Ainsi une surveillance de l'activité des salariés devra suivre un formalisme particulier, de même qu'une conservation de certaines données peut devoir faire l'objet d'une déclaration à la CNIL. De plus, il est certain que les clauses de la charte édictant des règles générales et permanentes seront de nature à être rattachées au règlement intérieur. Elles devront donc en respecter le formalisme.

III - UTILISATION POTENTIELLE DE LA CHARTE
Le non-respect de la charte est susceptible d'entraîner des sanctions à l'encontre du salarié. A l'inverse en cas d'absence de charte édictant des règles d'utilisation, l'usage sera difficilement considéré comme abusif par le salarié. Les règles de la charte constituent une loi interne à l'entreprise surtout si elles revêtent une nature générale et sont par conséquent intégrées au règlement intérieur. Son application peut-être souple mais cela ne l'empêchera pas d'être effective en cas de besoin. Il s'agit donc d'une mesure de prévention des abus et non forcément d'une répression systématique. La charte donne les moyens à l'employeur d'exercer son pouvoir de contrôle et de sanction d'une façon plus sûre et moins contestable, du fait de la transparence que permet la charte.
Toute sanction pour non-application de la charte suppose que l'employeur apporte la preuve de la violation des règles acceptées par le salarié. Cette preuve doit être licite sous peine d'irrecevabilité au regard des principes du secret des correspondances privées, du respect de la vie privée et de l'intimité du salarié. Néanmoins le respect de ces principes sera écarté en matière de preuve d'une infraction pénale.
En cas de violation de la charte, il conviendra de suivre une démarche stricte afin de se poser les bonnes questions avant d'engager toute action matérielle ou juridique, telles que : La règle est-elle prévue dans la charte ? La règle édictée par la charte est elle licite ? La violation de la règle constitue-t-elle une faute ? La violation est-elle prouvée licitement ….
Une charte d'utilisation n'est pas une solution qui se suffit à elle-même, mais constitue le premier des éléments à mettre en place en vue d'une sécurité juridique du fait de la mise à disposition de moyens informatiques par l'entreprise à ses salariés, par l'obligation de définition de règles consenties qu'elle suppose. De plus, une charte d'utilisation peut permettre de légitimer dans une certaine mesure les moyens de preuve tirés des technologies informatiques et ainsi d'obtenir pour l'entreprise un moyen de sanction des abus de ses salariés.