Encadrement juridique de la sécurité des données de l’entreprise connectée
L’utilisation de ressources informatiques externes – initialement non maîtrisées par l’entreprise – pour stocker des données professionnelles représente une source de risques, à la fois pour la sécurité des systèmes d’information, mais aussi dans le cadre de la gestion du capital humain de l’entreprise. Aussi, une gouvernance raisonnée impose à l’entreprise de respecter une conjonction de règles applicables à la portabilité des données professionnelles, préalablement à la mise en œuvre d’un contrôle patronal de l’utilisation desdites données par les salariés connectés.
Règles de sécurité applicables à la portabilité des données professionnelles
Lien entre la norme technique et la norme juridique.
(i) Panorama des solutions techniques adaptées à la portabilité des données professionnelles
L’hygiène informatique et portabilité.
Des modalités techniques de protection en réponse au risque sécuritaire.
Responsabilité de la direction des systèmes d’information.
(ii) renforcement des normes légales applicables à la portabilité des données professionnelles
Une origine et un développement sectoriel (principalement finances et banques)
Sécurité des traitements de données à caractère personnel
Notification des failles de sécurités et projet de règlement européen
Contrôle patronal de l’utilisation des données professionnelles par les salariés connectés
(i) contrôle de l’accès aux données et surveillance de l’activité du salarié connecté
Cybersurveillance à l’ère du BYOD
De la charte de bonne conduite à la charte informatique : principes généraux
Déclarations CNIL
Information et consultation des organes représentatifs du personnel
Information préalable du salarié
(ii) Contrôle du temps de travail du salarié connecté
Problématique du temps de travail
Risques liés au non respect des durées maximales de travail.
Risques liés aux heures supplémentaires étendus à certains cadres au forfait-jour
Risques psycho sociaux
Poursuite des atteintes à la sécurité des données de l’entreprise connectée
Malgré la mise en place de mesures de protection adéquates, l’entreprise peut demeurer vulnérable aux atteintes internes (méprise, maladresse ou malveillance d’un salarié) et/ou externes (malveillance d’un tiers). Un arsenal juridique de protection varié permet alors à l’entreprise d’assurer la défense de ses intérêts en justice dans un contexte de portabilité des données. Les mesures conservatoires et probatoires, précédant toute action au fond, permettent de réunir des moyens de preuve au soutien d’actions prudhommales et civiles à l’encontre du salarié fautif. Parallèlement, des voies de recours répressives permettent à l’entreprise de poursuivre pénalement les atteintes à son patrimoine informationnel
Mesures conservatoires et probatoires
Pour être en mesure de fonder ultérieurement ses prétentions, l’entreprise peut faire établir des constats en matière informatique afin de garantir le respect de la protection de la vie privée du salarié dans le cadre particulier de l’accès aux données professionnelles stockées sur des équipements nomades.
(i) Le respect de la protection de la vie privée du salarié
Admissibilité de la preuve en droit du travail.
Synthèse de la jurisprudence sur la protection de la vie privé.
Accès aux contenus privés du salarié.
(ii) L’accès aux données professionnelles stockées sur des équipements nomades
Portée de la problématique.
Position de la jurisprudence et perspectives.
(iii) les constats informatiques : investigations sur les données
Constat d’huissier
Recours à l’article 145 code de procédure civile.
Actions au fond à l’encontre du salaire fautif
L’atteinte portée à la sécurité et à la confidentialité des données de l’entreprise peut naturellement trouver son origine par la maladresse ou la malveillance d’un salarié, mais également par la malveillance d’un tiers, qui aura malicieusement exploité les failles de sécurité des systèmes d’information de l’entreprise, y compris les vulnérabilités liées à l’intégration des B.Y.O.D. Cependant, dans le cadre de cette étude des rapports internes à l’entreprise sur l’usage des B.Y.O.D, seules les actions à l’encontre du salarié fautif feront l’objet d’une analyse. Ainsi, en cas de malveillance du salarié dans l’accès aux données de l’entreprise, l’entreprise pourra saisir les juridictions prudhommales et/ou exercer une devant les juridictions pénales.
(i) Action prudhommale à l’encontre du salarié fautif
Le licenciement pour faute grave.
Procédure.
Applications jurisprudentielles.
(ii) Action répressive à l’encontre du salarié fautif
La divulgation intentionnelle d’éléments confidentiels du patrimoine informationnel de l’entreprise peut être sanctionnée sur la base de plusieurs fondements. Il n’est pas question ici d’en dresser un catalogue exhaustif mais de mettre l’accent sur des infractions particulièrement propices à la poursuite des atteintes à la sécurité des données de l’entreprise connectée.
Les notions de « vol de données » et d’ « abus de confiance ».
La notion d’ « atteintes aux systèmes de traitement automatisés de données ».
La notion d’ «atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques».
Pierre Lubet
Altana