Le rôle de l’administrateur réseau dans la cybersurveillance, par Murielle Cahen, avocate.
Publication : lundi 3 novembre 2003.
La cybersurveillance peut être définie comme tout moyen de contrôle technique, sur une personne ou un processus, lié aux nouvelles technologies et plus particulièrement aux réseaux numériques de communication. Plus précisément, la cybersurveillance regroupe les voies et moyens aboutissant à l’accès des données ou signaux transmis par voie électronique ainsi que le contrôle des moyens techniques permettant ces transmissions. La cybersurveillance se fait techniquement, au moyen de logiciels de surveillance permettant d’enregistrer tous les évènements ou messages survenus pendant un temps donné et à un endroit déterminé. Les écoutes téléphoniques font partie intégrante de la cybersurveillance, tout comme le traçage d’internautes sur le web ou encore sur un réseau Intranet. La surveillance et l’interception de courriers électroniques sont considérés comme de la cybersurveillance.
La cybersurveillance peut être utile, tant pour des raisons de sécurité et de bonne gestion d’un système informatique que pour des raisons de vérification de la bonne transmission de correspondances. Elle est le fait de l’administrateur réseau. Celui ci a plusieurs fonctions au sein de l’entreprise :
- Il gère l’utilisation du réseau en s’occupant de toutes les instructions qui réglementent l’accès au système d’information
- Il gère la configuration du réseau, il fait évoluer l’architecture conçue par l’ingénieur en fonction des besoins des usagers
- Il participe à la gestion technique des équipements. Cet à dire qu’il réceptionne les matériels d’informatiques et de télécommunications, il les teste, les adapte, les insère dans le réseau en fonctionnement et effectue le suivi du parc de matériel
- Il a un rôle de conseil, il informe l’utilisateur des performances des matériels et logiciels et lui sert de guide en cas de difficulté
- Il est responsable de l’enregistrement des nouveaux utilisateurs et de la répartition des droits d’accès ainsi que de l’installation du système d’exploitation réseau et de la sécurité des données sur l’ensemble du réseau.
Il peut accéder, une fois qu’il est inscrit comme utilisateur privilégié du réseau, à toutes les fonctionnalités du système (par exemple accès en lecture et en écriture à toutes les données ou bien modification du profil des utilisateurs). L’administrateur réseau peut ainsi, dans le cadre d’une cybersurveillance, accéder à toutes les correspondances privées ou non des utilisateurs du réseau puisque le réseau est une structure permettant à plusieurs entités d’échanger des informations. En matière de correspondances privées et plus précisément de messagerie électronique des utilisateurs du réseau , l’administrateur à donc un large pouvoir de contrôle.
L’on peut donc s’interroger sur la portée et les limites des pouvoirs de l’administrateur réseau dans la cybersurveillance. Comment concilier l’objectif de sécurité du réseau et la non atteinte à la vie privée des utilisateurs ?
Le courrier électronique doit être considéré comme une correspondance privée
L’arrêt Nikon de la Cour de Cassation en date du 2 octobre 2001, considéré comme un arrêt de principe par la doctrine, a érigé au rang de correspondance privée le courrier électronique, devant bénéficier à ce titre de la protection de la loi du 10 juillet 1991 sur les télécommunications. La Cour de Cassation a rendu sa décision en se fondant sur l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, l’article 9 du Code civil, l’article 9 du nouveau Code de procédure civile et l’article L. 120-2 du Code du travail.
Dans cette affaire, un employeur avait pris connaissance des messages électroniques personnels de l’un de ses salariés. La Cour de Cassation a considéré que " le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l’employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur " qualifiant ainsi implicitement le courrier électronique de correspondance privée.
Un arrêt en date du 17 décembre 2001 de la Cour d’appel de Paris a apporté un éclairage nouveau sur l’utilisation de la messagerie électronique après l’arrêt Nikon et a contribué à définir le rôle de l’administrateur réseau dans toutes entreprises, et non plus seulement dans une relation employeur - employé. Dans cette affaire, plusieurs incidents étaient intervenus au sein du laboratoire de l’Ecole supérieure de physique - chimie de Paris. Des soupçons sur un étudiant ont conduit trois cadres de l’école à exercer une surveillance des courriers électroniques de l’étudiant. Les faits poursuivis se sont passés dans le cadre de l’utilisation d’un réseau de télécommunication Internet et relevaient donc des dispositions de l’article 432-9 du Code pénal disposant que " Le fait, par une personne dépositaire de l’autorité publique ou chargée d’une mission de service public, agissant dans l’exercice ou à l’occasion de l’exercice de ses fonctions ou de sa mission, d’ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, le détournement, la suppression ou l’ouverture de correspondances ou la révélation du contenu de ces correspondances, est puni de trois ans d’emprisonnement et de 45000 euros d’amende. Est puni des mêmes peines le fait, par une personne visée à l’alinéa précédent ou un agent d’un exploitant de réseau de télécommunications autorisé en vertu de l’article L. 33-1 du code des postes et télécommunications ou d’un fournisseur de services de télécommunications, agissant dans l’exercice de ses fonctions, d’ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, l’interception ou le détournement des correspondances émises, transmises ou reçues par la voie des télécommunications, l’utilisation ou la divulgation de leur contenu ".
La Cour d’appel a considéré qu’il y avait divulgation de correspondances émises, transmises ou reçues par voie de télécommunication. Elle a confirmé le jugement de première instance du TGI de Paris dans ses dispositions pénales tout en les assortissant du sursis, considérant notamment que les prévenus étaient " confrontés à une situation inédite qui perturbait gravement le fonctionnement d’un laboratoire scientifique de haut niveau ".
Il résulte de ces dispositions une nécessaire mais difficile cohabitation entre l’objectif de sécurité du réseau de l’administrateur et la non atteinte à la vie privée par l’interception et la divulgation de correspondances électroniques.
L’objectif de sécurité du réseau face à la vie privée des utilisateurs
L’administrateur réseau, dans le cadre de son travail, peut être amené à prendre connaissance des messages privées des utilisateurs du réseau. La Cour d’appel a rappelé qu’ " il est dans la fonction des administrateurs de réseaux d’assurer le fonctionnement normal de ceux-ci ainsi que leur sécurité ce qui entraîne , entre autre, qu’ils aient accès aux messageries et à leur contenu, ne serait ce que pour les débloquer ou éviter des démarches hostiles "
De ce fait, " la préoccupation de la sécurité du réseau justifiait que les administrateurs de systèmes et de réseaux fassent usage de leurs positions et des possibilités techniques dont ils disposaient pour mener les investigations et prendre les mesures que cette sécurité imposait", de la même façon que la Poste doit réagir à un colis ou une lettre suspecte. Néanmoins l’accès aux messages et l’interception de ceux ci est différent. Si l’administrateur réseau peut " accéder " aux messages électroniques, il ne peut les intercepter, conformément à l’alinéa 2 de l’article 432-9 du code pénal.
La Cour d’appel, dans l’arrêt précité du 17 décembre 2001, a redéfinit la notion d’interception, infirmant sur ce point la décision du tribunal de première instance qui s’était référé à une définition de l’interception consistant en " une prise de connaissance par surprise ". La Cour d’appel, elle, a adopté une conception restrictive de la notion d’interception, subordonnant sa qualification au recours à des manoeuvres. Selon elle, il n’y a interception que lorsque la lecture et la retranscription de messages (qui peuvent être des e-mails) nécessitent une " dérivation " ou un " branchement " et est effectué avec un quelconque "artifice " ou " stratagème ". En l’espèce, la Cour a jugé que les actes incriminés ne répondaient pas à la qualification d’interception, l’administrateur réseau prenant connaissance des messages dans l’exercice de ses fonctions.
L’administrateur réseau est donc autorisé, dans le cadre de sa fonction et de son objectif de sécurité du réseau, à accéder aux messages des utilisateurs lorsque cet accès est légitimé par la nécessité d’assurer le bon fonctionnement dudit réseau. Il ne peut cependant en aucun cas intercepter les messages privés, violant ainsi l’article 432-9 du code pénal dans le cas contraire. En outre il convient de relever que le laboratoire s’était donné à lui-même la règle déontologique de ne pas lire le contenu du courrier électronique sauf mise en cause de la sécurité du système, ce qui n’était pas le cas en l’espèce.
L’arrêt de la Cour d’appel est donc venu " clarifier " le rôle de l’administrateur réseau dans le cadre d’une cybersurveillance. Il relève donc bien de la fonction d’administrateur réseau d’en contrôler l’usage (en l’espèce conformément à la charte RENATER), ce qui implique nécessairement l’accès aux messageries et à leur contenu, mais dans une certaine limite. En revanche, " la divulgation du contenu des ces messages [...] " ne relevait pas des objectifs de sécurité du réseau. C’est sur ce fondement que la Cour d’appel a condamné l’administrateur réseau, alors que le tribunal était entré en voie de condamnation sur le fondement de l’interception de correspondances
Non divulgation des messages et secret professionne
C’est donc sur le fondement de la divulgation d’une correspondance privée que les administrateurs réseau ont été condamné. Ceux ci ne peuvent pas divulguer les données auxquelles ils ont accès. Ils sont tenus au secret professionnel. Cependant, comme nous l’avons vu précédemment, les administrateurs réseau semblent avoir un droit de " regard " sur les contenus des messages, dans le soucis d’une bonne gestion du réseau et de sa sécurité, à la condition de ne pas les divulguer.
L’arrêt de la Cour d’appel contribue ainsi à " clarifier " le rôle et la responsabilité de l’administrateur réseau mais le place dans une situation délicate dès qu’il est porté à sa connaissance, dans le cadre de ses fonctions, des faits ou abus dont la seule révélation est susceptible d’engager sa responsabilité pénale.
La jurisprudence se limite à permettre à l’administrateur réseau de prendre des mesures " que la sécurité impose ". Or, la divulgation d’informations et de contenus de messages à ses supérieurs hiérarchiques n’est elle pas une mesure que " la sécurité impose " en cas d’atteinte grave, par exemple, à la stratégie de l’entreprise par un salarié ? L’arrêt de la Cour d’appel ne précise pas quelles doivent être ces mesures. Quel sens doit on donner au terme " divulgation " ?
Dans un second rapport sur la cybersurveillance au travail du 11 février 2002, la CNIL a tenté de préciser le rôle des administrateurs réseau. D’après le rapport, ces derniers n’ont pas à exploiter, volontairement ou sur ordre de leur hiérarchie, le contenu de la messagerie des salariés qui reste soumis au secret des correspondances. Cependant, toujours selon le rapport, les administrateurs réseau ne sont pas tenus au secret professionnel dans deux cas :
- Mise en cause du bon fonctionnement des systèmes et de l’intérêt de l’entreprise
- " Dispositions législatives particulières " pouvant contraindre les administrateurs réseau à dévoiler des informations
Malheureusement, ces exceptions restent très vastes et ne déterminent pas de façon précise la marge de manoeuvre des administrateurs réseau et des employeurs.
S’agissant plus particulièrement du droit du travail, il est à noté que l’employeur a le droit de contrôler l’activité professionnelle de ses salariés dans certaines conditions :
- La confidentialité des messages personnels du salarié doit être garantie
- L’employeur doit informer le salarié des dispositifs de surveillance mis en place
- L’employeur doit informer le comité d’entreprise ou les délégués du personnel
- Le recours au contrôle doit être motivé et proportionnel au but poursuivi (article L 121-8 du code du travail)
- Une déclaration à la CNIL doit être effectuée en cas d’établissement d’une liste des connexions informatisées du salarié
L’employeur doit ainsi assurer une certaine transparence lors du contrôle et de la surveillance d’un salarié.
En outre, Un administrateur réseau doit-il répondre à la demande qui lui est faite de surveiller les courriers électroniques ou les fichiers des salariés ? Comme nous l’avons vu précédemment, bien qu’ayant accès à l’ensemble des données de l’entreprise dans l’exercice de ses fonctions, l’ administrateur réseau n’est pas libre de leur usage. Ainsi, il ne peut divulguer le contenu d’un courrier personnel d’un salarié, y compris à la demande de l’employeur, au risque d’engager sa responsabilité pénale sur le fondement de l’article 226-15 du code pénal ; cet article condamnant le fait d’ouvrir ou de prendre connaissance de mauvaise foi des correspondances destinées à autrui.
Il ressort de toutes ces dispositions que, même si le rôle de l’administrateur réseau dans la cybersurveillance a été éclairé par la jurisprudence de décembre 2001, certaines incertitudes subsistent. En effet, quelle devra être l’attitude d’un administrateur réseau face à un mail personnel d’un employé indélicat ? Ne devrait il pas lui même alerter l’employeur d’agissements déloyaux d’un salarié, conformément à son devoir de bonne administration du réseau, et donc de l’entreprise ?
Murielle-Isabelle CAHEN, avocate.
Cabinet d’avocat Murielle-Isabelle CAHEN
www.murielle-cahen.com
Administrateur Réseaux - légalité
Répondre avec citation
Partager