Quizz juridique Olfeo : Internet en entreprise et filtrage 2000 ...

25 sept. 2012 - o La levée de confidentialité quant au surf d'un salarié. Voici le détail des résultats et les précisions d'Olfeo : Question 1 - Qui est responsable ...
Télécharger le PDF
170KB taille 17 téléchargements 327 vues
commentaire
Report
Communiqué de presse

Quizz juridique Olfeo : Internet en entreprise et filtrage 2000 responsables informatiques (DSI, RSSI…) ont testés leurs connaissances juridiques Paris, le 25 septembre 2012, Olfeo, éditeur d’une solution de proxy et filtrage de contenus permettant de sécuriser, optimiser et analyser les accès Internet, propose aux responsables informatiques de tester leurs connaissances juridiques sur le thème du filtrage des accès Internet en entreprise. Plus de 2000 responsables informatiques (DSI, RSSI…) ont ainsi répondu à 10 questions du quizz Olfeo sur des sujets telles que la charte, les logs, les données à caractère personnel, … (quizz juridique Olfeo.) Zoom sur les résultats :  5% des participants ont fait un sans-faute au questionnaire  23% des participants n’ont pas obtenu la moyenne (5/10)  2 sujets semblent moins maîtrisés : o La charte Internet o La levée de confidentialité quant au surf d’un salarié Voici le détail des résultats et les précisions d’Olfeo : Question 1 - Qui est responsable des actes illicites sur Internet d’un salarié au sein de l'entreprise ?

82,7 %

des participants pensent que l’employé, le dirigeant et la DSI engagent leur

responsabilité.

9,7 % pensent que seul l’employé est responsable 7,6 % pensent que seule la DSI est responsable Quelques précisions : Responsabilité du dirigeant : Responsabilité civile (art. 1384 alinéa 5 du code civil) : « On est responsable (…) des dommages que l'on cause de son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre (…) » Responsabilité pénale (art. 121-1 et 2 du code pénal) : 121-2 : « Les personnes morales, à l'exclusion de l'Etat, sont responsables pénalement (….) des infractions commises, pour leur compte, par les organes dirigeants ou représentants »

Communiqué de presse

Responsabilité de l'employé : Responsabilité civile (art. 1383 du code civil) : « Chacun est responsable du dommage qu'il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence » Responsabilité pénale (art. 121-1 du code pénal) : « Nul n'est responsable que de son propre fait » Responsabilité de la DSI : La DSI est responsable au civil comme au pénal comme tous les salariés. Mais en plus, la DSI peut être poursuivi pour négligence fautive de ne pas avoir informé et mis en œuvre les moyens pour limiter les responsabilités de l'entreprise et du dirigeant. En résumé : Le dirigeant peut donc être poursuivi en vertu de sa qualité de dirigeant, ceci même s'il n'a pas personnellement pris part à la commission de l'infraction. Le salarié également peut être poursuivi, encore faut-il prouver qu'il est bien l'auteur des actes et qu'il a agi sans autorisation, hors du cadre de ses fonctions et hors du cadre de ses attributions. Quant au personnel informatique, il peut être poursuivi pour ne pas avoir informé des risques et des moyens à mettre en œuvre pour éviter des comportements déviants.

Question 2 - Une entreprise étrangère sur le sol français est-elle soumise à la législation française ?

60,5 %

des participants pensent qu’une entreprise étrangère sur le sol français est soumise

à la législation française.

22,4 % pensent que c’est le cas, seulement si Internet est hébergé à l’étranger 17,1 % pensent que seule la législation du pays d’origine de l’entreprise compte Quelques précisions : Au civil, l'article 3 de la loi n° 66-537 du 24 juillet 1966 sur les sociétés commerciales et à l'article 1837 du Code civil disposent que « Toute société dont le siège est situé sur le territoire français est soumise aux dispositions de la loi française. Les tiers peuvent se prévaloir du siège statutaire, mais celui-ci ne leur est pas opposable par la société si le siège réel est situé en un autre lieu. » Au plan pénal la chose est toute aussi simple et fixée par l'article L 113-2 du code pénal qui précise que « La loi pénale française est applicable aux infractions commises sur le territoire de la République. L'infraction est réputée commise sur le territoire de la République dès lors qu'un de ses faits constitutifs a eu lieu sur ce territoire ».

Communiqué de presse Question 3 : Les sites de jeux d'argent en ligne sont-ils reconnus comme des sites illégaux en France ?

76,3 %

des participants pensent que les sites de jeux d’argent en ligne sont illégaux en

France à l’exception des sites labellisés par l’Arjel.

15,2 % pensent que les sites de jeux d’argent en ligne ne sont pas illégaux 8,5 % pensent que les sites de jeux d’argent en ligne sont tous illégaux Quelques précisions : L'article 1 et 3 de la loi n° 2010-476 du 12 mai 2010 relative à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne : « Les jeux d'argent et de hasard ne sont ni un commerce ordinaire, ni un service ordinaire ; dans le respect du principe de subsidiarité, ils font l'objet d'un encadrement strict au regard des enjeux d'ordre public, de sécurité publique et de protection de la santé et des mineurs. » « La politique de l'Etat en matière de jeux d'argent et de hasard a pour objectif de limiter et d'encadrer l'offre et la consommation des jeux [...] » En résumé : Seul les jeux d'argent en ligne labellisés par l'ARJEL sont reconnus licites en France.

Question 4 : La mise en place d'une Charte Internet est-elle obligatoire ?

42,3 % des participants pensent que cela dépend de la volonté du dirigeant. 34,1 % pensent que la mise en place d’une charte est obligatoire lorsque la DSI collecte des données à caractère personnel

23,6 % pensent que ce n’est pas obligatoire Quelques précisions : Article L. 1222-4 du code du travail : « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance. » En résumé : La charte Internet est obligatoire uniquement dans le cas où l'entreprise collecte des données à caractère personnel sur les salariés : logs de connexion, durée de connexion à certains sites, archivage de messagerie…

Communiqué de presse Question 5 : La Charte Internet doit-elle obligatoirement autoriser l'usage personnel d'Internet ?

49,8 %

des participants pensent que la Charte Internet peut complètement interdire

l’usage personnel d’Internet sur le lieu de travail.

48,2 % pensent qu’elle peut autoriser l’usage personnel d’Internet dans les limites du « raisonnable »

2 % pensent qu’elle doit obligatoirement l’autoriser Quelques précisions : Selon la CNIL : Pour être valide, la charte Internet doit obligatoirement autoriser l'usage personnel d'Internet sur le lieu de travail dans les limites du « raisonnable », au nom du droit à sa liberté résiduelle. Si la Charte Internet ne respecte pas ce droit, elle est caduque.

Question 6 : Lorsque que la DSI récolte des données à caractère personnel, les salariés doivent-ils en être informés ?

41,6 % des participants pensent qu’il suffit d’informer le Comité d’entreprise.

39,2 % pensent que les salariés doivent être informés 19,2 % pensent que les salariés ne doivent pas être informés Quelques précisions : Article L. 1222-4 du code du travail : « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance. » En résumé : Cela signifie que lors de l'introduction d'une nouvelle technologie qui collecte des données à caractère personnels, le salarié doit obligatoirement être informé des objectifs poursuivis, du caractère obligatoire ou facultatif de leurs réponses, des modalités de l'exercice de leurs droits.

Communiqué de presse

Question 7 : Toute collecte de données à caractère personnel doit-elle faire l'objet d'une déclaration à la CNIL ?

54.2 %

des participants pensent que la collecte de données à caractère personnel doit

faire l’objet d’une déclaration CNIL sauf si l’entreprise possède un Correspondant Informatique et Liberté.

36,7% pensent que cela ne concerne que les entreprises de plus de 200 salariés 9,1% pensent que l’entreprise doit faire une déclaration à la CNIL même en présence d’un CIL Quelques précisions : Article 22 de la loi informatique et liberté : « (...) les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés.» Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités (...) Question 8 : Le DSI a-t-il le droit de consulter les logs individuels après une déclaration préalable à la CNIL ?

51,1 % des participants pensent que oui, si cela relève des objectifs de sécurité. 29,7 % pensent qu’il en a le droit, dans tous les cas 19,2 % pensent qu’il n’en a pas le droit Quelques précisions : Selon la CNIL : L'accès aux données (…) ne peut être justifié que dans les cas où le bon fonctionnement des systèmes informatiques ne pourrait être assuré par d'autres moyens moins intrusifs. De même, les administrateurs de réseaux et systèmes ne doivent pas divulguer des informations qu'ils auraient été amenés à connaître dans le cadre de leurs fonctions, et en particulier lorsque celles-ci sont couvertes par le secret des correspondances ou relèvent de la vie privée des utilisateurs et ne mettent en cause ni le bon fonctionnement technique des applications, ni leur sécurité, ni l'intérêt de l'entreprise. C'est également la conclusion de l'arrêt en date du 17 décembre 2001. La Cour d'appel de Paris a apporté un éclairage nouveau qui contribue à définir le rôle de l'administrateur réseau dans toutes entreprises. Selon cet arrêt, il relève donc bien de la fonction d'administrateur réseau d'en contrôler l'usage d'Internet, ce qui implique nécessairement l'accès à des données personnelles et à leur contenu.

Communiqué de presse

Question 9 : La DSI peut-elle donner des informations sur le temps de surf d'un salarié en particulier à la demande de l’employeur ?

55,6% des participants pensent que cela est autorisé, si un dossier de licenciement est en cours.

43,2 % des participants pensent que cela est illégal 1,2 % des pensent que la DSI en a le droit Quelques précisions : Selon la CNIL, il y a levé de confidentialité si les comportements des utilisateurs ne remettent pas en cause le bon fonctionnement technique des applications, ni leur sécurité, ni l'intérêt de l'entreprise. On peut donc s'interroger sur le fait qu'un comportement illicite sur Internet, voir une utilisation abusive d'Internet puisse nuire à l'intérêt de l'entreprise. par conséquent il y aurait levée de confidentialité dans ces cas au regard de la CNIL. Le cas de jurisprudence Martin de 2008 apporte également un éclairage nouveau - Cass. Soc., 09-07 2008. Selon ce jugement, les données de connexions à Internet ne relèvent pas du domaine de la vie privées sur le lieu de travail et sont présumées professionnelles. Par conséquent, le personnel informatique serait en droit de divulguer des informations concernant l'utilisation d'Internet d'un salarié au dirigeant puisque ces données ne relèvent pas de la vie privé et que sur le lieu de travail, elles sont présumées être professionnelles. En résumé : La DSI a tout intérêt à avoir mis en garde un guide des opérations de contrôle et de maintenance pour savoir comment réagir par rapport à son obligation de confidentialité : Information au DG ou une autre personne selon ce qui est statué sur le transfert de responsabilité, décision, … conservation des preuves, plainte si besoin afin de se protéger de situation grave.

Communiqué de presse Question 10 : Combien de temps les entreprises doivent-elles conserver les logs ?

52,9 % des participants pensent que la conservation des logs est de 1 an. 42,8 % pensent que les logs doivent être conservés 3 ans 4,3 % pensent que 6 mois suffisent Quelques précisions : En matière de logs, il existe une combinaison de plusieurs dispositions qui stipulent des durées de conservation variables : La directive européenne prévoit une durée minimale de 6 mois et maximal de 2 ans. -> L'article 6 de la loi pour la confiance dans l'économie numérique prévoit une durée de 1 an. -> La Loi relative à la lutte contre le terrorisme préconise 1 an. -> La CNIL recommande 6 mois à des fins de contrôle des utilisateurs. En résumé : Dans le respect des lois françaises et au vu du cas de jurisprudence BNP, condamnée pour ne pas avoir pu fournir les logs nominatifs lors d'une réquisition judiciaire, il est recommandé de conserver 365 jours de logs de connexion.

Conclusion Le cadre juridique d’Internet tend à se préciser au fil du temps et des nouveaux cas de jurisprudence ne cessent de faire évoluer l’encadrement de l’utilisation d’Internet au bureau. Une chose est certaine en matière d’Internet au bureau, au regard des dernières lois et jurisprudences, si l’entreprise se conforme au droit, elle dispose d’important levier de contrôle et de sanction envers les salariés.

A propos d’Olfeo : Olfeo, éditeur français d’une solution de proxy et de filtrage de contenus Internet est une société indépendante basée à Paris et Bordeaux. Créée en 2003, l’entreprise développe une solution adaptée aux besoins des entreprises et des administrations françaises grâce à une approche innovante basée sur la proximité culturelle. L’entreprise garantit ainsi à ses clients une protection juridique optimale (grâce à une collaboration étroite avec Maître Eric Barbry, avocat au barreau de Paris et directeur du pôle « Droit du numérique » du cabinet Alain Bensoussan*), une qualité de filtrage inégalée, une haute sécurité du système d’information et l’association des utilisateurs à la politique de sécurité. La solution Olfeo permet de maitriser l’ensemble des accès et l’utilisation d’Internet en entreprise grâce à une suite de 5 produits complémentaires : le Filtrage d’url, le Filtrage protocolaire, le Proxy cache QoS, l’Antivirus de flux, et le Portail public. Grâce à sa console d’administration unique, Olfeo dispose d’une grande richesse fonctionnelle et d’une administration simplifiée. Disponible sous format appliance, virtuelle, logicielle et Saas, la solution s’intègre facilement aux architectures existantes. Olfeo compte actuellement plus de 1.000 clients satisfaits, représentant plus de 2 millions d’utilisateurs. Pour plus d’informations : www.olfeo.com

Communiqué de presse * Ce pôle regroupe les départements « Internet Conseil », « Internet Contentieux », « sécurité des systèmes d’information », « Informatique & libertés privé », « informatique et libertés public » et « marketing & publicité électronique ».

Contacts presse OLFEO Emilie NEIGE Responsable communication +33 1 78 09 67 91 [email protected]

Agence RP : CYMBIOZ Laëtitia Berché + 33 1 42 97 93 30 + 33 6 14 48 02 95 [email protected]