Enjeux

Utilisation du web

Les menaces

Pénal

Sécurité

Productivité

Bande passante

Fuite d informations

Les contraintes juridiques

Les catégories de sites illégales

Plan de deploiement légal du filtrage

La Charte Internet

Les contraintes propres à l administrateur

La conservation des logs

La solution locale

Quizz Juridique Olfeo

Les contraintes propres à l'administrateur

Les entreprises se trouvent dans une situation où la jurisprudence impose la conservation des données de connexion de leurs employés mais doivent également se soumettre aux obligations du code du travail et de la Loi Informatique et Libertés. Dans cette situation on peut se demander quel va être le rôle de l'administrateur ?

L'administrateur, dans le cadre de ses fonctions, doit assurer d'une part le fonctionnement optimal des ressources informatiques dont il a la charge mais doit également assurer la sécurité de l'entreprise et des données personnelles qu'il conserve.

Pour atteindre cet objectif, l'administrateur doit notamment empêcher :
  • Toute intrusion susceptible de modifier, de détruire ou de révéler l'information à des tiers qui ne doivent pas en avoir connaissance,
  • L'introduction de programmes malveillants au sein de l'organisme (Malware),
  • Les usages abusifs des outils informatiques qui peuvent impacter leur bon fonctionnement.
Son action doit donc se placer dans un cadre légal précis, il doit notamment respecter :
  • Le code du travail,
  • La loi Informatique et Liberté,
  • Les lois sur la conservation des logs.
L'administrateur se doit donc de surveiller l'utilisation d'Internet, et par conséquent « accéder » à des données personnelles, pour pouvoir répondre à ses fonctions.

Alinéa 2 de l'article 432-9 du code pénal :
« l'administrateur a le droit d' “ accéder ” aux données personnelles, mais il ne peut les « intercepter »»

Si il a le « droit » d' “ accéder ” aux données personnelles pour se prémunir des attaques et des menaces pesant sur l'entreprise, il doit le faire dans un cadre juridique strict qui lui impose certaines contraintes incontournables.

A la suite de l'arrêt en date du 17 décembre 2001, la Cour d'appel de Paris a apporté un éclairage nouveau qui contribue à définir le rôle de l'administrateur réseau dans toutes entreprises.
Selon cet arrêt, il relève donc bien de la fonction d'administrateur réseau d'en contrôler l'usage d'Internet, ce qui implique nécessairement l'accès à des données personnelles et à leur contenu, mais dans une certaine limite : la divulgation des contenus, y compris à la demande de son employeur […] ne relève pas des objectifs de sécurité du réseau et peut engager la responsabilité pénale de l'administrateur sur les fondements de l'article 226-15 du code pénal.

Parallèlement, le rapport sur la cybersurveillance au travail du 11 février 2002 de la CNIL a tenté de préciser le rôle des administrateurs réseau.
Selon ce rapport, l'administrateur réseau n'est pas tenu au secret professionnel dans deux cas :
  • Mise en cause du bon fonctionnement des systèmes et de l'intérêt de l'entreprise.
  • “Dispositions législatives particulières” pouvant contraindre les administrateurs réseau à dévoiler des informations.
Dans ces seules circonstances, l'activité professionnelle d'un salarié peut être divulguée à l'employeur.

L'administrateur a donc un rôle central dans la protection de l'entreprise au sens large.

Il doit à la fois :
  • Protéger l'entreprise par une plus grande traçabilité des données
  • Respecter les contraintes juridiques liées à la liberté résiduelle des employés
Copyright Olfeo 2009 - Tous droits réservés