Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

« Les Ambassadeurs de la Sécurité » : le RSSI, fossoyeur de la vie privée en entreprise ?

octobre 2011 par Emmanuelle Lamandé

A l’occasion de la 4ème édition du cycle « Les Ambassadeurs de la Sécurité », organisé par Trustport, Maître Etienne Drouard* est revenu sur les principales réglementations et obligations qui régissent la protection de la vie privée en entreprise. Il a ainsi rappelé que toute politique de sécurité doit reposer sur un juste équilibre entre objectifs, moyens et finalité.

* Maître Etienne Drouard, Avocat à la cour spécialisé en droit des nouvelles technologies

Les nouvelles technologies et canaux de communication numériques qui s’invitent aujourd’hui en entreprise rendent de plus en plus floues les frontières entre sphères personnelle et professionnelle. Les risques liés à ces nouveaux usages, notamment de fuites d’informations et de compromissions de données, sont majeurs et représentent un véritable casse-tête pour les responsables des parcs informatiques qui doivent en assurer la sécurité.

Quels sont alors les outils de sécurité et les moyens de contrôle qu’un RSSI peut mettre en œuvre dans son entreprise, sans risquer de porter atteinte aux libertés individuelles de ses salariés ? Comment peut-il assurer la sécurité du système d’information tout en respectant les réglementations nationales et internationales qui régissent la protection de la vie privée en entreprise ?

Me Etienne Drouard rappelle, dans un premier temps, qu’une politique d’évaluation et de contrôle de l’activité des salariés est propre à chaque organisation. Il faut donc adapter les moyens de contrôle à l’entreprise. Pour ce faire, il s’agit tout d’abord d’identifier et évaluer le patrimoine immatériel de l’entreprise, ainsi que les risques internes et externes, puis de définir des objectifs et moyens adaptés. La politique de sécurité doit donc reposer sur un juste équilibre entre objectifs et moyens de sécurité.

En matière de sécurité, traçabilité et protection des données personnelles, chaque entreprise française est soumise à un cadre juridique national et international très strict. Au niveau international, on notera principalement la Directive 95/46/CE du 24/10/95, qui a défini dès 1995 la notion de données personnelles au niveau européen. Une révision de ce texte est prévue en 2012, et devrait notamment rendre obligatoire la notification des failles de sécurité pour toutes les entreprises. On peut également citer, entre autres, la Directive 2006/24/CE du 15/03/06, concernant la « Conservation des données de communication ».

Au niveau national, on retrouve bien sûr l’incontournable Loi « Informatique et libertés » du 6 janvier 1978, modifiée en 2004, la Loi n° 91-646 du 10/07/91 relative au « Secret des correspondances », la LCEN (Loi pour la Confiance en l’économie numérique) du 21/06/2004..., et plus récemment l’Ordonnance n° 2011-1012 du 24/08/11, venue transposer le « Paquet Telecom ». Celle-ci prévoit d’ores et déjà l’obligation de notification des failles de sécurité pour les fournisseurs de services de communications électroniques. Sans oublier, bien entendu, le Code pénal (articles 226-15 à 226-24 et article 432-9) et le Code du travail (articles L. 1121-1, L. 1221-9, L. 1222-4 et L. 2323-32).

Afin d’être conforme à ces différentes réglementations, Me Etienne Drouard conseille, entre autres, d’appliquer conjointement le Code du travail et la loi Informatique et Libertés. Parmi les principales exigences à respecter, on notera :

 La proportionnalité de la durée de conservation : aucuns messages, fichiers ou données, ne doivent être conservés, s’il n’y a pas nécessité d’y recourir. De plus, la finalité de l’archivage ne justifie qu’une durée de conservation « proportionnée et légitime ».

 Tout traitement de données à caractère personnel et mise en place d’un système de surveillance des salariés nécessite au préalable une notification à la CNIL, sous peine de sanctions pouvant aller jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende. Toutefois, la désignation d’un CIL (Correspondant Informatique et Libertés) permet au responsable de traitement d’alléger ses obligations de déclaration auprès de la CNIL. Le CIL sera chargé de tenir un registre des traitements mis en œuvre au sein de l’organisme, et de veiller au respect des dispositions de la Loi « Informatique et Libertés ». En contrepartie, l’organisme qui a désigné un CIL n’a plus à effectuer les formalités pour les traitements qui relèvent du régime de la déclaration.

 L’information des salariés s’avère également fondamentale pour l’entreprise. Elle marquera d’ailleurs la première étape du respect de la loi (éviter le délit d’entrave, les sanctions CNIL) et de la bonne foi de l’entreprise. Elle permettra, en outre, de rendre les preuves recevables devant la justice en cas de fraude, contentieux…En clair, dans la plupart des cas, « si je dis ce que je fais, j’ai le droit de faire ce que je dis ».

La charte informatique est un très bon « premier » moyen d’informer les salariés de ce qu’il est autorisé ou non de faire en entreprise, mais aussi des moyens de contrôle mis en œuvre au sein de la structure. Néanmoins, il conseille de ne pas viser l’exhaustivité et le détail dans la rédaction de cette charte, pour la simple et bonne raison que vous ne pourrez jamais prévoir à l’avance tous les cas de figure. Mieux vaut donc rester relativement généraliste.

Pour conclure, il a rappelé que le RSSI est rarement responsable aux yeux de la loi. En effet, même s’il est le plus souvent l’instigateur des solutions de sécurité, de cybersurveillance, traçabilité… seul le dirigeant de l’entreprise, ou le responsable du traitement s’il est différent, est responsable devant la loi, en cas de manquement aux obligations réglementaires. Le RSSI, quant à lui, sauf en cas de faute intentionnelle, n’encoure généralement pas de responsabilité civile ou pénale. Enfin, il ne faut pas oublier que le RSSI n’est pas un professionnel du droit ; il a donc besoin d’un soutien dans l’entreprise, notamment du département juridique. Cette interaction pourra, par exemple, lui conseiller la marche à suivre pour garantir la recevabilité des traces et des preuves devant un juge, en cas de fraude ou d’atteinte à la sécurité du système d’information.


Voir les articles précédents

    

Voir les articles suivants