Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Quizz Olfeo : 1500 DSI testent leurs connaissances juridiques et vous ?

janvier 2008 par Marc Jacob

Le métier premier des DSI ou RSSI (…) n’étant pas le droit, ils se sentent parfois désarmés et délaissés par leur dirigeant et DRH face à la législation d’Internet au bureau.

Olfeo a donc proposé à 1500 DSI RSSI ... clients et prospects de tester leurs connaissances juridiques à travers un quizz de 10 questions qui compilent l’essentiel des questions juridiques autour d’Internet au bureau.
En voici les résultats et les réponses.

Les questions abordées par le quizz :

Qui est responsable des actes illicites sur Internet d’un salarié au sein de l’entreprise ?
Une entreprise étrangère sur le sol français est-elle soumise à la législation française ?
_ Les sites de jeux d’argent en ligne sont-ils reconnus comme des sites illégaux en France ?
_ La mise en place d’une Charte Internet est-elle obligatoire ?
_ La Charte Internet doit-elle obligatoirement autoriser l’usage personnel d’Internet ?
_ Lorsque que la DSI récolte des données à caractère personnel, les salariés doivent-ils en être informés ?
_ Toute collecte de données à caractère personnel doit-elle faire l’objet d’une déclaration à la CNIL ?
Le DSI a-t-il le droit de consulter les logs individuels après une déclaration préalable à la CNIL ?
_ La DSI peut-elle donner des informations sur le temps de surf d’un salarié en particulier à la demande du dirigeant ou d’un responsable de service ?
_ Combien de temps les entreprises doivent-elles conserver les logs ?

A l’issu de ce quizz la moyenne est de 6.5/10, en voici les résultats et une synthèse des réponses apportées par Olfeo.

1) Qui est responsable des actes illicites sur Internet d’un salarié au sein de l’entreprise ?
71% des participants pensent à raison que l’employé, le dirigeant et la DSI engagent leur responsabilité.

« Article 121-2 du code pénal du 9 mars 2004 stipule que « les personnes morales sont responsables pénalement, […], des infractions commises, pour leur compte, par leurs organes ou représentants.
La responsabilité pénale des personnes morales n’exclut pas celle des personnes physiques auteurs ou complices des mêmes faits. »
Autrement dit le dirigeant peut être poursuivi en vertu de sa qualité de dirigeant, ceci même s’il n’a pas personnellement pris part à la commission de l’infraction.
Et si le salarié peut être également poursuivi, le Directeur informatique qu’il ait ou non une délégation de pouvoir est notamment soumis à ce risque au vu de sa fonction qui est de pallier aux menaces internes et externe qui peuvent passer par son système d’information.

2) Une entreprise étrangère sur le sol français est-elle soumise à la législation française ?
93.9% des participants pensent à raison que une entreprise étrangère sur le sol français est soumise à la législation du pays.

« Article L 113-2 du Code pénal du 17 Septembre 2001 : La loi pénale française est applicable aux infractions commises sur le territoire de la République.
L’infraction est réputée commise sur le territoire de la République dès lors qu’un de ses faits constitutifs a eu lieu sur ce territoire. »

Autrement dit, le fait de diffuser du contenu à partir d’un serveur étranger n’affranchit pas le respect des lois du pays où l’entreprise se situe. Pour prendre un exemple plus concret : on ne roule pas à droite en Angleterre, on se plie à la réglementation routière du pays où l’on circule.

3) Les sites de jeux d’argent en ligne sont-ils reconnus comme des sites illégaux en France ?
63.6% des participants pensent à raison que les casinos virtuels sont illicites en France sauf la française des jeux et le PMU.

« Article L 121-6 et L 121-7 du Code Pénal, loi n° 82-652 du 29 juillet 1982. La notion de "maison de jeux" ayant vocation à s’appliquer aux établissements de jeux de hasard organisés sur l’Internet, les casinos virtuels sont considérés comme irréguliers en France, même si leur activité est exercée à partir d’un pays où ils sont légaux (Antigua, Australie, Mexique…)
Seuls la Française des jeux et le PMU qui relève d’un monopole d’Etat ont une dérogation à cette règle. »

Autrement dit, les jeux d’argents en ligne sont bien illégaux en France même si leur fréquentation est en explosion en France.
Néanmoins c’est un principe qui est remis en cause par la commission européenne pour concurrence déloyale.

4) La mise en place d’une Charte Internet est-elle obligatoire ?

47.8% des participants pensent que cela dépend de la volonté du dirigeant.

Hors dans ce cas, le caractère obligatoire, n’a pas lieu d’être.
En revanche, 24.7% ont bien répondu à la question : la charte Internet est obligatoire quand la DSI récolte des données à caractère personnel.
Article 121-8 du code du travail. « Aucune information concernant un salarié (…) ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance dur salarié. »

Autrement dit, à partir du moment où l’entreprise collecte des données à caractère personnel, elle doit en informer ses salariés dans la charte Internet qui a pour objectif de fixer les règles relatives aux usages liés à Internet, le courrier électronique, l’Intranet ou l’ensemble des ressources informatiques.

5) La Charte Internet doit-elle obligatoirement autoriser l’usage personnel d’Internet ?
50.6 % des participants pensent que la Charte Internet peut complètement interdire l’usage personnel d’Internet sur le lieu de travail.
Hors elle doit respecter ce droit au nom de la liberté résiduelle de chaque. (42% de bonnes réponses)

Selon la CNIL : Pour être valide, la charte Internet doit obligatoirement autoriser l’usage personnel d’Internet sur le lieu de travail dans les limites du « raisonnable », au nom du droit à sa liberté résiduelle.
Si la Charte Internet ne respecte pas ce droit, elle est caduque.
6) Lorsque que la DSI récolte des données à caractère personnel, les salariés doivent-ils en être informés ?
95 % des participants pensent à raison que les salariés doivent en être informé.

« Article L121-8 « Principe de transparence » du code du travail : « Aucune information concernant personnellement un salarié (…) ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié » »

Autrement dit, à partir du moment où l’entreprise collecte des données à caractère personnel, elle doit en informer ses salariés
Cela signifie que lors de l’informatisation d’une société, les employés doivent être clairement informés des objectifs poursuivis, du caractère obligatoire ou facultatif de leurs réponses, des modalités de l’exercice de leurs droits.

7) Toute collecte de données à caractère personnel doit-elle faire l’objet d’une déclaration à la CNIL ?
88 % des participants pensent à raison que la collecte de données à caractère personnel doit faire l’objet d’une déclaration CNIL sauf si l’entreprise possède un Correspondant Informatique et Liberté.

« Article 36 de la loi informatique et liberté : [...] Les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés. [...] »

Toutefois, si l’entreprise possède un Correspondant Informatique et Liberté, la loi informatique et liberté prévoient un allègement de ses obligations déclaratives dès lors qu’il aura désigné un correspondant à la protection des données à caractère personnel.

8) Le DSI a-t-il le droit de consulter les logs individuels après une déclaration préalable à la CNIL ?
59 % des participants pensent à raison que oui si cela relève des objectifs de sécurité.
A la suite de l’arrêt en date du 17 décembre 2001, la Cour d’appel de Paris a apporté un éclairage nouveau qui contribue à définir le rôle de l’administrateur réseau dans toutes entreprises.
Selon cet arrêt, il relève donc bien de la fonction d’administrateur réseau d’en contrôler l’usage d’Internet, ce qui implique nécessairement l’accès à des données personnelles et à leur contenu, mais dans une certaine limite.

9) La DSI peut-elle donner des informations sur le temps de surf d’un salarié en particulier à la demande du dirigeant ou d’un responsable de service ?
57 % des participants pensent à raison que non.

A la suite de l’arrêt en date du 17 décembre 2001, la Cour d’appel de Paris a également apporté des réponses concernant les limites dans les fonctions de l’administrateur.
La divulgation des contenus, y compris à la demande de son employeur […] ne relève pas des objectifs de sécurité du réseau et peut engager la responsabilité pénale de l’administrateur.

Autrement dit : l’administrateur a le droit d’accédez aux données personnelles pour mener à bien sa mission concernant la sécurité de son réseau mais ne peut en aucun cas divulguer une information sur une personne précise à la demande de son employeur.
En revanche, sur demande il peut fournir les statistiques globales de la navigation web de tout un service.

10) Combien de temps les entreprises doivent-elles conserver les logs ?
_ 56 % des participants pensent à raison que la conservation des logs est de 1an.
La loi n° 2006-64 du 23 janvier pour la lutte contre le terrorisme de Nicolas Sarkozy, prévoit notamment « l’obligation de conserver les données de connexion des clients, appelées "logs", des opérateurs télécoms, des fournisseurs d’accès Internet, et des entreprises, pendant une durée maximale d’un an.
Ces logs pourront être demandés par requête judiciaire ou par la police. Les entreprises, FAI ou administration seront tenus de les fournir. »
Autrement dit : Les logs doivent être conservés durant un an et les entreprises peuvent être condamnée pour ne pas être en mesure de les fournir suite à une réquisition judiciaire. C’est d’ailleurs le cas de BNP Paribas qui se trouvait dans l’incapacité technique de fournir les logs de connexion d’un de ses salariés et qui a été condamné pour responsabilité délictuelle.

Accèdez au quizz : cliquez ici


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants