En amont des Rencontres Parlementaires de la Cybersécurité #RPCyber du 21 octobre 2015, où il sera l’un des intervenants de la master class, François COUPEZ, Avocat à la Cour, Associé du cabinet ATIPIC Avocat, partage son expertise sur les chartes informatiques, qui sont aujourd’hui l’un des piliers fondamentaux d’une politique de sécurité numérique de l’entreprise optimisée et cohérente.
Maître François COUPEZ est titulaire du certificat de spécialisation en droit des nouvelles technologies, chargé d’enseignement à l’Université Paris II et au CELSA.
Pas un jour ne passe sans qu’une nouvelle étude ne soit publiée sur la cybercriminalité et le coût que celle-ci occasionne pour les entreprises (risque de perte de données, atteinte au patrimoine informationnel, risque en terme d’image et de réputation, voire surtout risque pour la continuité même de l’activité et donc de la survie de l’entreprise). Sensibilisées depuis plusieurs années sur l’importance du sujet et donc de la sécurisation de leurs systèmes d’information, rattrapées par les actualités récentes développant à l’envie des exemples de cyberattaques de grandes entreprises réussies, peu rassurées en la matière par les pratiques de leurs sous-traitants voire sous-sous-traitants (dont les défauts de sécurité sont à l’origine de la réussite de certaines de ces attaques), les entreprises françaises sont également l’objet de contraintes légales et réglementaires de plus en plus fortes les obligeant en pratique à mettre en œuvre des mesures de sécurité toujours plus élaborées pour répondre à ces enjeux.
Ainsi, le projet de « règlement sur la protection des données », destiné à unifier dès sa mise en application en 2017 ou 2018 le droit de tous les pays de l’Union européenne en la matière prévoit-il notamment des exigences drastiques de traçabilité des opérations effectuées sur les données à caractère personnel, leur sécurité, la notification au régulateur voire au public des cas de « piratage » de ces données, le tout assorti de sanctions financières pouvant aller, suivant les versions du texte actuellement en phase de finalisation, jusqu’à 5% du montant du CA mondial de l’entreprise.
De plus en plus conscientes des impacts majeurs qu’une atteinte à leur patrimoine informationnel voire à leur outil de production via un piratage informatique pourrait causer, elles investissent donc massivement dans les solutions techniques (SIEM, DLP, etc.) ou encore organisationnelles (mise en place d’un SMSI, certification ISO 27001, voire mise en place de CSIRT, SOC, etc.) afin de mettre en place des stratégies de protection efficaces.
Pourtant, certaines entreprises, en s’arrêtant à ces seuls éléments, négligent un aspect fondamental de la réponse à incident.
PSSI et chartes, même combat ?
En la matière, les conseils sont unanimes : il faut se préparer aux attaques qui passeraient les mailles du filet défensif, mettre en place des systèmes de contrôle afin de limiter les surfaces d’attaque, et déterminer comment les détecter et y mettre fin.
Or, quand la PSSI et ses directives d’application fixent le cadre de la cybersécurité à mettre en œuvre dans l’entreprise et surtout des contrôles afin de s’en assurer et répondre à ces défis, la mise en œuvre de ces textes peut s’avérer pour l’entreprise beaucoup plus compliquée dans la pratique ; En particulier si l’incident de sécurité provient de l’intérieur de l’entreprise.
Par exemple, si une alerte de sécurité permet de remonter jusqu’aux agissements d’un compte utilisé par un salarié de l’entreprise, et qu’au final, celui-ci est sanctionné par l’employeur, l’effet obtenu risque d’être contraire à l’effet recherché : si l’employeur n’a pas, dès la mise en place du système de traçabilité (SIEM, etc.), effectué un parcours formaliste spécifique (passage devant le comité d’entreprise voire le CHSCT[1], information des salariés, formalités CNIL), la preuve sera considérée comme nulle et non avenue devant les juridictions prud’homales et le salarié indûment sanctionné obtiendra une juste indemnisation.
C’est donc dès l’origine de la mise en place des solutions de cybersécurité de l’entreprise qu’il convient de prévoir la cohérence avec les formalismes impératifs du droit social et de la protection des données à caractère personnel : une PSSI n’a qu’un objectif d’organisation interne, elle ne pourra prévoir des règles directement opposables aux salariés et sanctionnables en cas de manquement.
En pratique, afin de réussir à prévoir cette opposabilité, il faudra inclure dans le règlement intérieur (ou de sa modification sur ce point) des règles spécifiques afférentes à la sécurité des systèmes d’information, que la pratique a désignées sous le terme de « charte utilisateurs ». En parallèle, cette charte peut intégrer des dispositions relatives à l’utilisation des réseaux sociaux. Des règles spécifiques à l’utilisation d’outils personnels (smartphones, tablettes, montres connectées, etc.) peuvent également y être prévues ou faire l’objet d’accords spécifiques. Des documents de sensibilisation et de rappel des règles dédiées aux « administrateurs », c’est-à-dire des utilisateurs ayant des droits d’accès privilégiés sur le SI, se révèlent également d’une importance majeure et se retrouvent sous la forme de « charte administrateurs ».
La charte « utilisateur », outre sa fonction de « courroie d’opposabilité » des règles de sécurité prévues dans la PSSI et des directives d’application, aura également le mérite d’aménager la bonne foi lors de l’utilisation du système d’information par le salarié et le contrôle de cette utilisation par l’employeur. Elle pourra ainsi prévoir l’établissement d’une séparation nette et objective entre les données professionnelles d’une part et les données extra-professionnelles de l’autre (quand l’employeur reconnaît la possibilité d’un usage privé des moyens mis à disposition).
Une charte indispensable… mais une charte qui doit être mûrement réfléchie et minutieusement rédigée
Compte tenu d’une part de l’intrication des règles posées avec l’usage par tous du système d’information de l’entreprise et d’autre part de l’opposabilité des règles au salarié que l’on recherche, la « charte utilisateur » devra être rédigée avec grande attention.
Elle devra tout d’abord parfaitement s’insérer dans l‘écosystème des documents, politiques et règles gouvernant l’usage des systèmes d’information de l’entreprise, afin que les règles qu’elles se proposent de faire appliquer soient parfaitement cohérentes avec le contenu des documents existants. Et cette cohérence est à rechercher dans nombre de documents ! (PCA, PRA, procédures en cas de décès d’un salarié, Politique de Knowledge Management, de BYOD, d’usage des Réseaux sociaux internes, usage éventuel par les représentants du personnel du SI de l’employeur, Politique de confidentialité, etc.).
La « charte utilisateur » devra ensuite rester parfaitement cohérente avec ce qui a été indiqué à l’occasion des formalités CNIL accomplies (que ce soit directement auprès d’elle ou via le registre d’un CIL[1] interne). Exemple parmi tant d’autres, il convient tout particulièrement d’éviter que la directive d’application de la PSSI sur la conservation des logs indique une durée différente de la conservation des logs indiquée à la CNIL.
Enfin, si elle doit être fréquemment mise à jour pour s’adapter aux nouvelles contraintes législatives, elle aura surtout l’obligation absolue d’être rédigée en prenant en compte la très riche jurisprudence sur le thème afin d’être adaptée, parfaitement applicable, et ne pas entraîner de condamnation de l’employeur dès sa mise en œuvre à l’occasion d’une sanction.
La chambre sociale de la Cour de cassation, dans un arrêt du 26 juin 2012 a eu ainsi l’occasion d’en donner un exemple, en rappelant qu’en vertu du principe de faveur, l’employeur est tenu de se plier aux moindres règles qu’il a pu édicter dans ce document, opposables aux salariés comme à lui.
En l’occurrence, l’employeur avait prévu des règles strictes pour l’accès aux messages du salarié, mais sans opérer de distinction entre les messages professionnels (auxquels la jurisprudence lui permet d’accéder sans difficulté) et les messages extra-professionnels du salarié. Accédant à des messages professionnels sans respecter les règles qu’il s’était lui-même imposées, la Cour de cassation n’a pu que considérer que la preuve qui en était tirée était nulle.
Suivi de l’actualité, étude attentive de la jurisprudence, anticipation des évolutions à venir, connaissances des mesures de sécurité en oeuvre sont donc des pré-requis essentiels pour la rédaction de ces chartes et ainsi éviter que la moindre réaction sérieuse face à une alerte de sécurité ne se finisse, devant les tribunaux, et surtout au détriment de l’entreprise…
[1] Correspondant Informatique et Libertés que l’entreprise peut choisir – selon la loi actuellement applicable – de désigner en son sein, ce qui notamment la dispense de certaines formalités.