Se protéger des risques de l'Internet

Les flux d’informations entrant et sortant qui accompagnent la généralisation de l’Internet dans les entreprises exposent ces dernières à de nouveaux risques juridiques sanctionnés par le Code Pénal.

L’avènement d’Internet a bouleversé les relations au sein de l’entreprise. Auparavant, l’entreprise disposait d’un réseau informatique fermé appelé réseau local ou LAN qui reliait les différents postes de travail, leur permettait de partager des ressources et des données. Avec Internet, le réseau s’est ouvert sur l’extérieur avec, notamment, l’email et le Web. Cette ouverture s’est accompagnée de flux entrant et sortant qui s’échangent à partir ou à destination du système d’information de l’entreprise. Ces flux sont parfois porteurs de contenus illégaux.

Des sanctions lourdes pour les auteurs et pour l’entreprise

Ici, tel salarié a téléchargé des images pédophiles stockées sur le serveur de l’entreprise. Là, le fichier clients a été exporté illégalement, attaché à un email, et fourni à un concurrent. Or, ces flux sont porteurs de risques non seulement pour leurs auteurs, mais aussi … pour l’entreprise elle-même. L’article 227-23 du Code Pénal sanctionne de 3 ans de prison et 75.000 euros d’amende « Le fait de (…) fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur lorsque cette image ou cette représentation présente un caractère pornographique ». Mais le simple fait « de détenir une telle image ou représentation » est aussi puni de deux ans d’emprisonnement et 30.000 euros d’amende. Si c’est le salarié qui télécharge l’image pédophile, qui la détient si ce n’est l’entreprise sur ses serveurs ? S’agissant du fichier clients pillé, l’article 226-22 du Code Pénal sanctionne de cinq ans d’emprisonnement et de 300.000 euros d’amende le fait de n’avoir pas pris « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Or, c’est bien le salarié qui a pillé mais l’entreprise n’aurait-elle pas dû prendre toutes « précautions utiles » ?

La cybersurveillance, une pratique légale sous trois conditions

Ce ne sont ici que quelques illustrations exemplaires de ce nouveau risque juridique. En réaction, les entreprises ont institué deux nouvelles pratiques. Dans les moyennes et grandes entreprises, c’est d’abord la rédaction de chartes d’usage d’Internet qui rappellent aux salariés leurs droits et obligations par rapport à ce nouvel outil. Pour toutes les entreprises, c’est ensuite la surveillance des salariés dans leur usage d’Internet, la cybersurveillance. La Cnil et les tribunaux la considèrent comme légale, dès l’instant que trois conditions sont remplies. L’existence de la cybersurveillance doit d’abord avoir été portée à la connaissance des salariés, soit par voie d’affichage soit par note de services : les représentants du personnel doivent avoir été consultés pour simple avis. Enfin, elle doit être justifiée (proportionnalité) et limitée à une surveillance de flux (volume de trafic, type de fichiers échangés, filtrage url, etc. …) sans accéder aux contenus des courriers électroniques du salarié sous peine d’être poursuivi pour violation de correspondance privée, ni aux répertoires identifiés comme « personnel » sur le disque dur du poste de travail du salarié.

Olivier ITEANU


Olivier ITEANU est avocat à la cour d’appel de Paris et chargé d’enseignement à l’université de Paris XI.

Il est l’auteur du premier ouvrage de droit français sur Internet « Internet et le droit » Ed. Eyrolles Avril 1996. Son dernier ouvrage paru : « Tous Cybercriminels » Ed. JML Mai 2004.

Il anime un cabinet d’avocats dont l’activité est dédiée aux technologies de l’information.