DSI, RSSI, que risquez-vous en cas de non-implémentation d’outils de gestion d’accès aux contenus (filtrage web)
L’usage d’Internet au sein des entreprises se complexifie année après année avec le développement des nouveaux usages et des nouvelles menaces qui leurs sont liées : Shadow IT, déchiffrement SSL, BYOD, Saas, Cloud Act, télétravail, RGPD …
Les DSI et les RSSI se posent de nombreuses questions juridiques dans le cadre de leurs missions de protection des intérêts de leurs organisations :
– Est-il obligatoire de mettre en place du filtrage d’accès aux contenus web ?
– Faut-il ou peut-on filtrer les accès publics au web ?
– Existe-t-il un régime juridique différent entre les entreprises privées et les acteurs publics
– Comment filtrer tout en préservant la vie privée résiduelle des salariés et le respect du RGPD ?
– Peut-on sanctionner un collaborateur sur la foi des données restituées par l’outil de filtrage ?
– L’outil de filtrage est-il autorisé alors qu’il collecte de nombreuses données à caractère
personnel ? Faut-il informer le personnel, les personnes extérieures, les deux ?
Est-il obligatoire de mettre en place du filtrage web ?
Le filtrage web est un processus de contrôle des contenus accessibles sur Internet. Il vise à bloquer ou autoriser l’accès à des sites web en fonction de critères prédéfinis, tels que la cybersécurité, la conformité aux politiques de l’entreprise, ou la protection contre des contenus inappropriés ou illicites. Cela permet de garantir la sécurité en ligne, d’optimiser la productivité et de prévenir l’accès à des sites malveillants.
Bien que non-obligatoire, les entités compétentes (ANSSI etc.) en recommandent activement l’usage et l’implémentation. Il faut également souligner que la version 2022 de la norme ISO 27001 rend le filtrage obligatoire pour l’obtention du certificat.
Il est à noter, que la loi impose pour certains acteurs, notamment les personnes (morales ou physiques) dont l’activité est d’offrir un accès à des services de communication au public en ligne, de mettre en oeuvre « des moyens techniques permettant de restreindre l’accès à certains services ou de les sélectionner ». Il s’agit de filtrage web, même si cela est implicite.
Que risque-t-on au regard de la loi si on ne met pas en oeuvre le filtrage ?
Risque de responsabilité pénale
Selon l’article général 121-2 du Code pénal, l’employeur est responsable des actes de ses salariés au pénal si l’entreprise est bénéficiaire de l’acte illicite. L’entreprise pourrait donc voir sa responsabilité engagée, notamment en tant que complice (fournisseur de moyens), pour des accès illicites, par ses organes ou représentants et pour le compte de l’entreprise, si les contenus suivants sont consultés:
– Les contenus pédopornographiques
– Les sites de jeux en ligne illégaux (ceux qui sont accessibles depuis le territoire français
alors qu’ils n’ont pas bénéficié de l’agrément délivré par l’Autorité de régulation des jeux en
ligne)
– Les sites contrefaisants portant atteinte à la protection des auteurs
– A des sites faisant l’apologie du terrorisme
– Des logiciels permettant de porter atteinte à un système de traitement automatisé de
données
– Des logiciels de contournement de mesures techniques de protection ou d’information
– A des sites au regard des produits et services qu’ils commercialisent tels que notamment :
– Des organes et produits du corps humain
– Des drogues
– Des objets à caractère pédophile
– Des armes à feu et explosifs
– Des médicaments
– Du tabac
– De l’alcool
Risque de responsabilité civile
Selon l’article 1242 alinéa 5 du code civil, le risque civil consiste à devoir répondre des préjudices causés et donc de réparer le dommage causé. Par conséquent, l’employeur est responsable des dommages causés par ses salariés dans l’exercice de leurs fonctions et d’indemniser la victime par le paiement de dommages et intérêts.
Le sujet porte essentiellement sur le niveau de responsabilité de l’employeur face à un usage illicite de l’Internet par ses employés et lorsqu’il donne accès à Internet à des tiers.
Par exemple, La Cour d’appel d’Aix-en-Provence a condamné une personne pour contrefaçon de marque ainsi que son entreprise aux motifs que le site internet litigieux a été créé sur le lieu de travail du salarié avec les moyens informatiques que son employeur lui a fournis. L’entreprise a été déclarée responsable en sa qualité de commettant de la création par son salarié d’un site internet personnel illicite.
Dans la même veine, le TGI de Marseille a condamné l’employeur d’un salarié ayant créé un site Internet litigieux, pour avoir mis à disposition de son salarié les moyens techniques nécessaires à la mise en ligne du site en question, peu importe que le salarié ait agi en dehors de ses attributions professionnelles.
Y-a-t-il une différence entre administrations et collectivités territoriales
Dans l’hypothèse où une collectivité territoriale n’a pas mis en place des mesures nécessaires
pour la sécurité et le contrôle d’Internet utilisé par son personnel, et notamment pas utilisé de logiciel de filtrage, sa responsabilité pénale n’est pas forcément engagée du fait de la commission d’une infraction par l’un des membres de son personnel.
En effet, l’hypothèse n’entrant pas dans les prévisions de l’article 121-2 du Code pénal, l’absence de
mise en place de mesures de filtrage pour sécuriser l’utilisation d’Internet par son personnel ne fait pas partie des activités dans lesquelles la responsabilité pénale de celle-ci peut être engagée.
Néanmoins, sa responsabilité pourra être engagée en tant que commettant de son préposé si les
conditions sont remplies. Pour s’en défendre, l’administration devra prouver les trois éléments cumulatifs suivants, à savoir que l’agent a agi :
• Hors du cadre de ses fonctions
• Sans autorisation
• En dehors de ses attributions
Mais cela n’exclura pas toujours sa responsabilité. En effet, depuis l’arrêt Lemonnier, les mêmes faits peuvent constituer à la fois une faute personnelle de l’agent et une faute de service pour laquelle l’administration devra rendre des comptes.
A ce titre, la doctrine précise qu’à partir du moment où la faute a un lien avec le service, cette faute personnelle apparait comme « non dépourvue de tout lien avec le service », du fait qu’elle avait été
réalisée soit pendant l’exercice des fonctions de l’agent, soit parce que l’exercice de sa mission avait pu faciliter sa commission d’une quelconque manière.
Conclusion
Bien que non-obligatoire, à l’exception d’une catégorie d’entreprises bien définie, le filtrage web apporte un cadre et une protection juridique permettant aux DSI/RSSI de gérer les accès des collaborateurs de manière à minimiser le risque légal.
Nous verrons dans un prochain article comment déployer une solution de filtrage tout en respectant le cadre juridique et le droit du travail.
Pour approfondir le sujet, Olfeo a écrit en collaboration avec le cabinet d’avocats spécialisé Lexing Bensoussan, un livre blanc complet pour couvrir l’ensemble des aspects juridiques de ce sujet. Nous vous invitons à le télécharger pour avoir une couverture complète du sujet.