Justice : un sysadmin ne peut pas se muer en justicier En raison de ses droits d’accès étendus, un administrateur réseau peut-il se muer en lanceur d’alertes ? Et si, oui comment ? A cette question, le tribunal correctionnel d’Annecy apporte un début de réponse dans une affaire opposant la société Téfal à un de ses anciens salariés et à une inspectrice du travail, à qui cet admin avait transmis des documents relatifs aux pratiques de son entreprise. L’affaire remonte à 2013 quand le sysadmin de Tefal, basé à Rumilly, en conflit avec son employeur sur le paiement d’heures supplémentaires, découvre que ce dernier envisagerait de le licencier par des moyens illégaux. A noter que, selon l’enquête, l’ex-employé de Tefal, qui avait un niveau d’administrateur d’infrastructure pour la France, se serait aussi introduit dans le système de messagerie, pour copier des éléments échangés par la direction des ressources humaines de son employeur. A lire aussi : Administrateurs des SI : pourquoi une charte spécifique s’impose (tribune)
Cadre juridique des administrateurs réseaux Les administrateurs réseaux assurent le fonctionnement normal et la sécurité du système informatique de leur employeur. Ils sont susceptibles d’avoir accès, dans l’exercice de cette mission, à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.). L’accès par les administrateurs aux données enregistrées par les salariés dans le système d’information est justifié par le bon fonctionnement dudit système, dès lors qu’aucun autre moyen moins intrusif ne peut être mis en place. Ils doivent dès lors s’abstenir de toute divulgation d’informations qu’ils auraient été amenés à connaître dans le cadre de l’exercice de leur mission, et en particulier les informations relevant de la vie privée des employés ou couvertes par le secret des correspondances, dès lors qu’elles ne remettent pas en cause le fonctionnement technique ou la sécurité des applications, ou encore l’intérêt de l’employeur.
Jurisprudences | Cour de cassation Chambre sociale Arrêt du 17 juin 2009 mercredi 17 juin 2009 Cour de cassation Chambre sociale Arrêt du 17 juin 2009 Sanofi / Joseph G.et Jean-Louis P. vie privée Attendu, selon l’arrêt attaqué (Aix-en-Provence, 20 novembre 2007), qu’en janvier 2006, des lettres anonymes ont été adressées à des responsables de la société Sanofi chimie comportant des renseignements démontrant que leur auteur avait eu accès à des courriers confidentiels et verrouillés de l’entreprise classée Seveso ; que la direction a demandé en conséquence à l’administrateur chargé du contrôle du service informatique de contrôler les postes informatiques de dix-sept salariés susceptibles d’avoir eu accès auxdites informations afin de rechercher l’auteur des courriers anonymes ; que MM. Sur le premier moyen : Et sur le second moyen : Par ces motifs : . . . Moyens produits par la SCP Gatineau et Fattaccini, avocat aux Conseils pour la société Sanofi chimie. Premier moyen de cassation Il est fait grief à l’arrêt attaqué d’avoir déclaré l’appel recevable ; 1. 2. 3.
Cour de Cassation, Chambre sociale, du 16 mai 2007, 05-43.455, Inédit | Legifrance Références Cour de cassation chambre sociale Audience publique du mercredi 16 mai 2007 N° de pourvoi: 05-43455 Non publié au bulletin Rejet Président : M. Texte intégral LA COUR DE CASSATION, CHAMBRE SOCIALE, a rendu l'arrêt suivant : Sur le moyen unique : Attendu, selon l'arrêt attaqué (Paris, 12 mai 2005), que M. Attendu que M. Mais attendu, d'abord, que la cour d'appel, qui n'avait ni à procéder à une recherche que ses constatations rendaient inutile ni à répondre à des conclusions inopérantes sur l'appellation usuelle d'un dossier informatique, a fait ressortir que les fichiers dont le contenu était reproché au salarié n'avaient pas été identifiés par lui comme personnels, ce dont il résultait que l'employeur pouvait en prendre connaissance sans qu'il soit présent ou appelé ; D'où il suit que le moyen n'est pas fondé ; REJETTE le pourvoi ; Condamne M. Vu l'article 700 du nouveau code de procédure civile, rejette les demandes ; Analyse
Administrateurs de réseaux : entre sécurité informatique et protection des salariés par Me Sylvain Staub et Stéphane Marletti L'administrateur de réseaux a en charge la mise en place, la maintenance et la sécurité des systèmes d'information de l'entreprise. Il cherche notamment à éviter les risques d'intrusions ou de virus, à prévenir les fuites de savoir-faire ou de fichiers clients, et à s'assurer d'une utilisation normale par les salariés des systèmes informatiques de l'entreprise. Lorsqu'il ne prend pas les mesures nécessaires à cette mission, il risque de manquer aux obligations définies dans son contrat de travail et d'engager sa responsabilité civile et pénale, tout comme celle de l'entreprise. Pour assurer cette sécurité, il est tenu de surveiller l'usage que font les salariés de la messagerie et de l'accès à internet mis à disposition par l'entreprise. Or, cette surveillance, autrement appelée "cybersurveillance", peut également dans certains cas engager sa responsabilité. En quelques années, le rôle et la responsabilité de l'administrateur de réseaux ont été largement précisés.
Un administrateur condamné pour abus de privilèges AVRIL 2014 Depuis un arrêt célèbre (Arrêt Nikon du 2 octobre 2001) les tribunaux reconnaissent au salarié un droit d’usage personnel de l’outil informatique mis à sa disposition par son employeur. Ce droit est encadré de différentes manières et peut schématiquement se résumer ainsi : Tous les messages adressés ou reçus par le salarié dans sa boite aux lettres électronique sont présumés professionnels, sauf s’ils sont identifiés comme personnels. L’employeur ne peut pas avoir accès aux messages personnels, mais le salarié ne doit pas abuser du droit qui lui est reconnu, notamment en apposant systématiquement la mention « personnel » sur tous les messages qu’il émet. L’administrateur du système (c’est-à-dire l’informaticien chargé d’assurer son bon fonctionnement), peut prendre connaissance librement de tous les messages, mais ne peut en révéler le contenu à l’employeur, lorsqu’ils présentent un caractère personnel. La Cour de Paris confirme ce jugement. Son analyse mérite d’être soulignée
Cour de cassation Demandeur(s) : la société Sanofi chimie Défendeur(s) : M. J… X… ; M. J… Y…. LA COUR DE CASSATION, CHAMBRE SOCIALE, a rendu l’arrêt suivant : Statuant sur le pourvoi formé par la société Sanofi chimie, société anonyme, contre l’arrêt rendu le 20 novembre 2007 par la cour d’appel d’Aix-en-Provence (18e chambre), dans le litige l’opposant : 1°/ à M. 2°/ à M. défendeurs à la cassation ; La demanderesse invoque, à l’appui de son pourvoi, les deux moyens de cassation annexés au présent arrêt ; Vu la communication faite au procureur général ; Sur le premier moyen : Et sur le second moyen : REJETTE le pourvoi ; Condamne la société Sanofi chimie aux dépens ; Vu l’article 700 du code de procédure civile, condamne la société Sanofi chimie à payer la somme globale de 2 500 euros à MM. Président : Mme Collomp Rapporteur : Mme Grivel Avocat général : M. Avocat(s) : SCP Gatineau et Fattaccini ; Me Blanc
Administrateurs des SI : une charte spécifique s’impose Le FIC 2015 l’a récemment rappelé : lorsque l’on s’intéresse à la sécurisation du système d’information (SI) d’une entreprise, la question de la formation et de la sensibilisation des utilisateurs apparaît comme un préalable indispensable. C’est la raison pour laquelle, en parallèle des formations des personnels, des règles d’utilisation du SI doivent être insérées dans le règlement intérieur des entreprises, en général par le biais d’une annexe appelée charte d’utilisation des moyens numériques (ou autre formulation équivalente). Petit rappel sur la charte « utilisateurs du SI » Rappelons ainsi que le règlement intérieur (annexes comprises) est un document écrit fixant exclusivement les mesures relatives à l’hygiène, à la sécurité, et à la discipline (art. Afin de pouvoir assurer la sécurité du SI de l’entreprise, l’employeur contrôle donc le respect des règles d’utilisation posées par la charte. « With great power comes great responsibility » Intérêts de la « charte administrateur »
JURISPRUDENCES | Tribunal de Grande instance de Créteil 11ème chambre correctionnelle Jugement du 23 avril 2013 mardi 23 avril 2013 Tribunal de Grande instance de Créteil 11ème chambre correctionnelle Jugement du 23 avril 2013 Ministère public / Olivier L. accès frauduleux - cybercriminalité - fraude informatique - sécurité - système de traitement automatisé de données - données - vol - maintien frauduleux - mot de passe Une convocation à l’audience du 23 avril 2013 a été notifiée à L. Conformément à l’article 390-1 du code de procédure pénale, cette convocation vaut citation à personne. L. Il est prévenu : Sur l’action publique Le 6 septembre 2012, l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses) représentée par Monsieur Nin K., informaticien, déposait plainte auprès des services de police de Maisons-Alfort (94) pour intrusion dans son système informatique et vol de données informatiques. La Direction Centrale du Renseignement Intérieur était chargée de la poursuite des investigations, l’Anses étant un opérateur d’Importance Vitale (OIV). .
L'affaire Bluetouff ou : NON, on ne peut pas être condamné pour utiliser Gogleu Le titre de ce billet peut paraître surprenant, mais il répond en fait à un titre d’article qu’un journal en ligne de la presse spécialisée, au demeurant excellent sur son secteur, a employé pour relater la présente affaire. Comme quoi la communauté geek sait avoir les mêmes réflexes corporatistes que n’importe quel autre groupe social ayant des intérêts communs assez forts. Heureusement, outre son goût pour les pizzas froides et la Guinness, ce qui la caractérise avant tout est le goût de comprendre, et je l’entends qui piaffe aux portes de ce blog. Faites entrer les fauves, on va faire du droit. Au-delà des aspects techniques de cette affaire, que nous allons aborder, on se retrouve dans une problématique récurrente lorsqu’on doit juger des délits commis dans un contexte technique complexe : que ce soit la finance, la médecine, la pharmacologie, ou la technologie : les prévenus regardent les juges comme des ignares car ils n’ont pas leurs connaissances, ni même parfois les bases.
La responsabilité des administrateurs système et réseaux | Web-sio.fr La responsabilité des administrateurs système et réseaux L'employeur souhaite protéger les intérêts de son entreprise en protégeant la fuite d'information stratégique en prévenant l'apparition de virus ou encore e empêchent la circulation de contenu illicite sur le réseaux cela passe par la sécurisation de son réseau. A l'inverse nombre de salarié revendique le droit à une vie privée sur le lieu de travail qui se matérialise par des connexions à internet à des fins personnels. Afin d'encadrer et de limiter un usage excessif de l'internet sur le lieu de travail, l'employeur dispose au titre de son pouvoir de direction d'un droit de contrôle et de surveillance sur ces salariés (dans les limites des principes du droit à la vie privée). L'administrateur réseau est au carrefour de ces deux logiques, il est la personne en charge d'assurer à la fois la sécurité du réseau et la sécurité des données personnel et professionnel des salariés Le rôle de l'administrateur réseaux
L'AFCDP attend le futur règlement européen sur les données personnelles de pied ferme Paul-Olivier Gibert est président de l'AFCDP (Association française des correspondants à la protection des données personnelles). Cette association a tenu son université annuelle le 27 janvier 2015, une occasion de détailler les enjeux pour les CIL. CIO : Pouvez-vous nous présenter l'AFCDP ? Article rédigé par Jurisprudences | Tribunal de grande instance de Vannes Jugement du 29 avril 2004 jeudi 29 avril 2004 Tribunal de grande instance de Vannes Jugement du 29 avril 2004 Ministère public, syndicats professionnels, sociétés de l’édition vidéo, sociétés de production et autres / Claude L.C. et autres recel - droit d’auteur - reproduction - contrefaçon - mise à disposition - telechargement - pénal - peer to peer * Ministère public, * Les syndicats professionnels : La Fédération nationale des distributeurs de films (Fndf), Le syndicat de l’édition vidéo (SEV) * Les sociétés d’édition vidéo : Twentieth Century Fox Home Entertainment France, Buena Vista Home Entertainment, Gaumont Columbia Tristar Home Video, Paramount Home Entertainment France, Universal Pictures Video, Warner Bros France * Les sociétés de production : Twentieth Century Fox Film Corporation, Columbia Pictures Industries, Disney Enterprises, Dreamworks, MGM Entertainment, Paramount Pictures Corporation, Tristar Pictures, Universal City Studios, Warner Bros, * Autres Sacem, Sdrm Et prévenus de : Sur l’action publique . . .