1. L’administrateur réseau : un voltigeur sans filet
Laurence Freyt-Caffin
GIP Renater
Responsable des affaires juridiques
151 Boulevard de l’Hôpital
75013 Paris
laurence.freyt@renater.fr
14.10.2003
Résumé
L’administrateur réseau : un voltigeur sans filet
L’administrateur réseau est à ce jour l’homme de toutes les situations. Il lui appartient d’assurer la sécurité du réseau au
risque de voir sa responsabilité engagée. Il doit en outre opérer ce contrôle tout en veillant au respect des données
personnelles des salariés couvertes par le secret des correspondances et par le droit à la vie privée.
C’est pourquoi la jurisprudence lui a conféré un statut particulier. Il doit toutefois agir dans la transparence, la loyauté et
avec cohérence et reste soumis à une obligation stricte de confidentialité même vis à vis de sa hiérarchie sur les données
auxquelles il pourrait avoir accès dans le cadre de sa mission. La mise en place d’une charte interne, si elle ne permet pas
de solutionner la lourde mission qui incombe à l’administrateur, permet tout de même de rappeler le cadre juridique
existant et les usages pratiqués dans l’entreprise.
Mots clefs :
Administrateur réseau, droit, statut, données personnelles, CNIL, divulgation, secret professionnel, cybersurveillance, vie
privée, divulgation, responsabilité, sécurité, loyauté, transparence, contrôle, secret, correspondances, fichiers.
Introduction
Des intérêts antinomiques mais légitimes sont à gérer dans une entreprise.
L’employeur souhaite protéger les intérêts de son entreprise en protégeant la fuite des informations stratégiques, en
prévenant l’apparition de virus ou encore en empêchant la circulation de contenus illicites notamment racistes ou
pornographiques sur le réseau. Cela passe par la sécurisation de son réseau.
A l’inverse nombre de salariés revendiquent le droit à une vie privée sur leur lieu de travail qui se matérialise par une
connexion à Internet à des fins personnelles. Cette opportunité est pour eux la contre-partie de la porosité entre la sphère
professionnelle et la sphère privée intensifiée par l’utilisation des nouvelles technologies.
Afin d’encadrer et de limiter un usage excessif de l’Internet sur le lieu de travail, l’employeur dispose au titre de son
pouvoir de direction d’un droit de contrôle et de surveillance sur ses salariés1
. Mais ce pouvoir reconnu à l’employeur ne
doit pas méconnaître les principes du droit à la vie privée et du secret des correspondances.
En effet, la Commission Nationale de l’Informatique et des Libertés (CNIL) a reconnu au salarié le droit à une vie privée au
travail en soulignant qu’il était à la fois irréaliste et disproportionné d’interdire strictement une utilisation d’Internet à des
fins personnelles.
L’administrateur réseau est au carrefour de ses deux logiques. En effet, il est la personne en charge d’assurer à la fois la
sécurité du réseau, à la demande de son autorité hiérarchique qui voit en lui un moyen de faire face aux situations
périlleuses, et la sécurité des données professionnelles et personnelles des salariés.
1
Cass. Soc 14 mars 2000 Dujardin c/ Sté Instinet
2. 1.Rôle de l’administrateur réseau
1.1 Missions de l’administrateur réseau
L’administrateur réseau est chargé de la mise en place du système d’information, de son suivi. Il prévient l’intrusion de
virus, veille à l’utilisation optimale du réseau et assure la sécurité des données de l’entreprise.
Les directives communautaires2
comme la « Loi Informatique et Liberté »3
lui confèrent l’obligation d’assurer la sécurité
des traitements informatiques. Au regard de l’article 29 de la loi précitée, il s’engage, vis-à-vis des personnes concernées, à
prendre toutes les précautions utiles afin de préserver la sécurité des informations et notamment d`empêcher qu’elles ne
soient déformées, endommagées ou communiquées à des tiers non-autorisés4
.
La loi prévoit donc une obligation de moyen alors que la directive 95/46 dans son article 17 semble énoncer une obligation
de moyen renforcée dans la mesure où le responsable sécurité « doit mettre en œuvre les mesures techniques et
d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la
perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des
transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ».
La question de la nature de l’obligation n’est pas solutionnée dans la directive 2002-58 du 12 juillet 2002 qui l’invite d’une
part à « prendre les mesures appropriées pour assurer la sécurité de leurs services » et d’autre part à « un devoir
d’information des risques encourus par les utilisateurs ».
1.2 Le statut de l’administrateur réseau
Il est incontestable que l’administrateur réseau ne peut garantir la sécurité du réseau ou des outils informatiques s’il ne
dispose pas à cet effet des moyens nécessaires à la réalisation de sa mission. Cela implique que celui-ci ait accès à toutes les
données contenues dans les messageries ou les fichiers des utilisateurs.
La Cour d’appel dans un arrêt du 17 décembre 2001, « ESPCI » (l'école supérieure de physique et chimie industrielle), a
énoncé « qu’il est dans la fonction des administrateurs réseaux d’assurer le fonctionnement normal de ceux-ci ainsi que leur
sécurité ce qui entraîne entre autre, qu’ils aient accès aux messageries et à leur contenu, ne serait-ce pour débloquer ou
éviter des démarches hostiles ».
Pour garantir la sécurité du réseau ou sa bonne utilisation, l’administrateur peut donc avoir accès aux informations des
utilisateurs à savoir leur messagerie, leurs connexions à Internet, les fichiers logs ou de journalisations.
Il dispose de plusieurs moyens de contrôle pour vérifier l’utilisation loyale du réseau ou des outils informatiques. Il peut
contrôler les débits, identifier la durée des connexions, répertorier les sites les plus fréquemment visités ou les tentatives de
connexion. Il peut également contrôler les extensions des pièces jointes d’un fichier, leurs volumes. Il possède à cet effet un
mot de passe administrateur qui lui permet d’accéder aux serveurs de fichier, aux serveurs web, aux serveurs de messagerie.
Il peut par conséquent avoir accès à l’ensemble des informations émises, reçues, crées par un salarié.
La CNIL a également souligné que « la possibilité pour les salariés ou agents publics de se connecter à Internet à des fins
autres que professionnelles peut s’accompagner de prescriptions légitimes dictées par l’exigence de sécurité de
l’entreprise » et « que des exigences de sécurité, de prévention ou de contrôle de l’encombrement du réseau peuvent
conduire les entreprises ou les administrations à mettre en place les outils de mesure de la fréquence ou de la taille des
fichiers transmis en pièces jointes aux messages électroniques ou encore l’archivage des messages échangés »5
2
Directives 95/46/CE relative à la protection des données personnelles et à la libre circulation de ces données et Directive 2002/58 concernant le
traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive "vie privée et
communications électroniques").
3
Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
4
Article 29 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
5
Rapport du 5 février 2002 de la CNIL sur la « Cybersurveillance sur les lieux de travail »
3. La CNIL a également rappelé6
le statut particulier des administrateurs qui sont conduits par leurs fonctions même à avoir
accès à l’ensemble des informations relatives aux utilisateurs… et qu’un tel accès, tout comme l’utilisation de logiciels de
télémaintenance, n’est contraire à aucune disposition de la Loi Informatique et Libertés du 6 janvier 19787
.
Il appartient à l’administrateur réseau d’user des moyens techniques mis à sa disposition pour assurer la sécurité du réseau et
il est tout à fait légitime que ce dernier s’en serve afin de déterminer la cause du problème.
Par conséquent la jurisprudence comme la CNIL reconnaissent un statut particulier à l’administrateur réseau en convenant
que par la nature même de sa fonction il peut avoir accès aux messageries ou connexions Internet afin de garantir la sécurité
du réseau – mission dont il est le garant.
Toutefois ce statut atypique est limité par le secret professionnel et par des modalités de contrôle encadrées.
2. Un contrôle limité et encadré
2.1 L’obligation de confidentialité
Qui dit confidentialité, dit données confidentielles c’est à dire vie privée.
L’arrêt Nikon de la cour de cassation du 2 octobre 20018
a reconnu le droit au salarié, « même au temps et lieu de travail, au
respect de l’intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l’employeur ne
peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié
et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l’employeur aurait
interdit une utilisation non professionnelle de l’ordinateur ».
La Cour se fonde sur les principes de l’article 8 de la Convention européenne de sauvegarde des Droits de L’Homme et des
Libertés fondamentales9
, de l’article 9 du Code civil10
, de l’article 9 du Nouveau code de procédure civile et l’article L120-2
du Code du travail.
La Cour applique aux messages électroniques les dispositions de l’article 226-15 du Code pénal11
.
L’administrateur est soumis au secret professionnel et ne peut divulguer les données personnelles auxquelles il a accès.
Cette obligation de confidentialité qui pèse sur lui concerne aussi bien le contenu d’un message personnel dont les
dispositions sont couvertes par le secret des correspondances qu’un fichier personnel dont les dispositions relèvent de la vie
privée des utilisateurs.
Si la jurisprudence reconnaît la possibilité à l’administrateur de lire les contenus des messages, il n’est pas en revanche
autorisé à les divulguer même à ses supérieurs hiérarchiques12
.
La question que tout administrateur est alors légitimement en droit de se poser est « comment réagir face à une situation
grave et préjudiciable pour l’entreprise ? ». L’arrêt ne formule pas de réponse précise en autorisant celui-ci à prendre les
dispositions « que la sécurité impose ».
Ainsi la délicate mission de l’administrateur sera de mettre fin au comportement frauduleux ou préjudiciable sans en
informer son supérieur hiérarchique qui dispose pourtant de l’autorité et du pouvoir de décision.
6
Rapport du 5 février 2002 de la CNIL concernant la « Cybersurveillance sur les lieux de travail »
7
Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
8
Cass. Soc. 2 octobre 2001 Nikon France SA c/ M. O
9
« Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance »
10
(Loi nº 94-653 du 29 juillet 1994 art. 1 I Journal Officiel du 30 juillet 1994)
Chacun a droit au respect de sa vie privée.
Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou
faire cesser une atteinte à l'intimité de la vie privée : ces mesures peuvent, s'il y a urgence, être ordonnées en référé.
11
(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
« Le fait, commis de mauvaise foi, d’ouvrir de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des
tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an ’emprisonnement et de 45000 euros d’amende. Est puni des mêmes faits, le fait
commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises et reçues par la voie des
télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions. ».
12
CA Paris, 17 décembre 2001, ESPCI
4. La Cour d’Appel a sanctionné un administrateur pour avoir informé ses supérieurs sur le contenu des messages auxquels il a
eu accès. L’arrêt précise que la divulgation du contenu des messages ne se rattache pas aux objectifs de sécurité des réseaux
et doit être sanctionnée sur le fondement de l’article 432-913
du Code pénal. La Cour d’appel n’a pas sanctionné en tant que
tel l’interception du message mais la divulgation de la correspondance privée bénéficiant à ce titre de la protection de la loi
du 10 juillet 1991 sur les télécommunications.
En cas de divulgation des informations, l’administrateur réseau risque d’engager sa responsabilité pénale au titre de l’article
216-15 du code pénal qui condamne le fait d’ouvrir ou de prendre connaissance de mauvaise foi des correspondances
destinées à autrui.
2.2 Le contrôle doit être loyal, transparent et proportionné.
Pour remplir son obligation de sécurisation sans entraver les droits des salariés, l’administrateur doit veiller à opérer un
contrôle loyal, transparent et proportionné.
Un contrôle loyal
La démarche de l’administrateur doit être impartiale et sincère. Il doit agir dans le cadre de ses fonctions et son action ne
doit pas découler d’une initiative personnelle ou d’un ordre hiérarchique mais d’une nécessité justifiée par des impératifs de
sécurité. Il appartient à l’administrateur d’agir dans le respect de la vie privée des salariés. Mais où commence la vie
professionnelle et où s’arrête la vie privée ? Comment distinguer le mail personnel du mail professionnel ?
La Cour de cassation a reconnu qu’un répertoire de messagerie intitulé personnel est présumé contenir des données
personnelles et bénéficie à ce titre de la protection de la vie privée. Il ne saurait être contrôlé par l’employeur.
Dans l’affaire Nikon, la société a licencié un employé en produisant comme élément de preuve un fichier intitulé
« personnel » récupéré dans sa messagerie. La Cour de Cassation a sanctionné la société. La CNIL considère qu’un message
est présumé professionnel sauf s'il est manifestement indiqué dans son intitulé qu’il s’agit d’un message personnel ou s’il a
été archivé dans un répertoire identifié comme tel.
Un contrôle transparent
La démarche de l’administrateur doit se faire dans une logique de transparence vis à vis des salariés. Ces derniers doivent
être informés par l’employeur de la mise en place d’un dispositif de contrôle soit en le spécifiant dans le contrat de travail
soit au moyen d’une charte informatique14
.
Le comité d’entreprise, ou à défaut les délégués du personnel, devra avoir été informé et consulté préalablement à la mise en
place d’un tel dispositif de contrôle15
.
Si le dispositif de contrôle constitue un traitement automatisé de données personnelles alors il doit faire l’objet d’une
déclaration simplifiée auprès de la CNIL préalablement à sa mise en œuvre. A ce sujet, la CNIL recommande un contrôle
statistique des sites Internet les plus visités par service sans qu’il soit nécessaire de faire un contrôle nominatif individualisé
des sites.
A défaut d’information préalable, la preuve rapportée ne sera pas licite et le mode ne preuve constatant l’abus du salarié ne
pourra justifier les sanctions prises par l’employeur.
13
(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
Le fait, par une personne dépositaire de l'autorité publique ou chargée d'une mission de service public, agissant dans l'exercice ou à l'occasion de l'exercice
de ses fonctions ou de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, le détournement, la suppression ou l'ouverture de
correspondances ou la révélation du contenu de ces correspondances, est puni de trois ans d'emprisonnement et de 45000 euros d'amende.
Est puni des mêmes peines le fait, par une personne visée à l'alinéa précédent ou un agent d'un exploitant de réseau de télécommunications autorisé en
vertu de l'article L. 33-1 du code des postes et télécommunications ou d'un fournisseur de services de télécommunications, agissant dans l'exercice de ses
fonctions, d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, l'interception ou le détournement des correspondances émises, transmises
ou reçues par la voie des télécommunications, l'utilisation ou la divulgation de leur contenu.
14
Article L.121-8-1 du Code du Travail : »aucune information concernant personnellement un salarié ou un candidat ne peut être collectée par un dispositif
qui n’a pas été porté préalablement à sa connaissance ».
15
Article L 432-2-1 du Code du Travail
Article L 432-2 du Code du travail : « le comité d’entreprise est informé et consulté préalablement à tout projet important d’instruction de nouvelles
technologies, lorsque celles-ci sont susceptibles d’avoir des conséquences sur les conditions de travail du personnel »
Article 432-2-1 du Code du travail :« le comité d’entreprise doit être informé et consulté préalablement à la décision de mise en œuvre dans l’entreprise,
sur les moyens ou techniques permettant un contrôle de l’activité des salariés ».
5. Un contrôle proportionné
Le contrôle qu’il soit effectué par le supérieur hiérarchique en vertu de son pouvoir hiérarchique ou par l’administrateur
réseau dans le cadre de sa fonction doit être proportionnel au but recherché16
. Il appartient à l’administrateur d’utiliser les
moyens permettant de remplir sa mission sans aller au-delà. Il n’y a pas lieu pour l’administrateur réseau de contrôler le
contenu même des messages émis ou reçus si le seul contrôle du volume des pièces jointes ou des extensions des fichiers
joints lui permet de vérifier l’utilisation optimale du réseau. Son action doit s’inscrire dans une logique cohérente.
A titre d’exemple, l’inscription à des forums de discussion ou le téléchargement des fichiers non autorisés ne requièrent pas
l’ouverture des mails pour prouver le manquement du salarié.
Ainsi afin d’opérer un contrôle efficace, l’administrateur doit suivre les principes énumérés ci-dessous.
3. La mise en place d’une charte ?
La mise en place d’une charte, si elle ne permet pas dans l’absolu de clarifier le statut même de l’administrateur réseau, a
toutefois pour objet d’informer les salariées sur le dispositif légal et sur l’usage toléré dans l’entreprise ou l’organisme.
Cette charte permet de formuler des recommandations.
Le contenu des chartes est très variable d’une entreprise à l’autre selon l’objectif recherché. Certaines constituent un rappel
des textes légaux alors que d’autres vont plus loin et dictent une ligne de conduite.
Elles sont alternativement annexées au règlement intérieur, portées à la connaissance des salariés. Selon les cas de figures,
l’entreprise demande l’acceptation par le salarié des stipulations intégrées dans la charte ou elle se contente de mettre à leur
portée l’information.
Toutefois, il est important de souligner que seule une charte établie selon les modalités du règlement intérieur peut donner
lieu à des sanctions disciplinaires. Les prescriptions impératives d’une charte doivent être adoptées selon les mêmes
formalités que le règlement intérieur dans la mesure où elle en constitue un additif 17
. Par conséquent la charte doit être
soumise au comité d’entreprise pour avis ou à défaut à l’avis des délégués du personnel voire au comité d’hygiène et de
sécurité. Elle doit également faire l’objet de publicité et être transmise à l’inspecteur du travail18
. Toute modification à la
présente charte doit s’effectuer selon le même processus.
Conclusion
En cas de constat de pratique illicite ou non conforme du réseau ou de doutes sérieux, l’administrateur réseau devra
constituer un dossier suffisamment complet pour attester de cette illégalité ou pour justifier la présomption d’utilisation
illicite du réseau. Il avertira ensuite son employeur sans toutefois lui révéler le contenu des messages ou fichiers qui
demandera par requête au tribunal compétent l’autorisation de faire procéder à la lecture et /ou à la saisine des fichiers visés.
En pratique, comment pourra-t-il susciter l’intérêt de sa hiérarchie en lui présentant seulement des bribes d’informations ?
Telle est la délicate mission de l’administrateur car s’il dévoile le contenu d’un fichier personnel, il verra sa responsabilité
pénale engagée.
Si l’employeur pense que l’infraction commise par un de ses salariés au moyen de l’outil mis à disposition par l’entreprise
est d’ordre pénale, il se tourner avers la voie pénale. Une plainte au procureur de la République, si elle repose sur des
éléments sérieux, entraînera une enquête préliminaire19
. Au cours de cette enquête, la police judiciaire à des perquisitions,
des interrogatoires, ou à la saisine de pièces.
Le forum des droits dans son rapport du 17 septembre 2002 sur la cybersurveillance, recommande que la loi reconnaisse à
l’administrateur réseau un véritable secret professionnel. Ce « secret » ne devrait pas couvrir le secret des correspondances
mais l’ensemble des contenus personnels du salarié comme ses fichiers. L’objectif étant de définir un réel statut de la
fonction même d’administrateur en clarifiant de façon expresse ses droits et obligations à la fois vis à vis des salariés et de
son supérieur hiérarchique.
16
Art L 120-2 du Code du Travail : « nul ne peut apporter au droit des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient
pas proportionnées au but recherché »
17
Article L.122-36 du Code du travail.
18
Article L. 122-36 du Code du travail
19
Article 75 et s. du Code de procédure pénale
6. La CNIL recommande la désignation d’un délégué à la protection des données en concertation avec les représentants du
personnel . Ce délégué serait en charge des questions relatives aux mesures de sécurité, au droit d’accès et à la protection
des données personnelles. Il pourrait travailler conjointement avec l’administrateur réseau.
La CNIL recommande aux salariés de distinguer leurs fichiers personnels de leurs fichiers professionnels car en dépit de
toute mention expresse du caractère personnel d’un message (ou fichier), celui-ci est présumé professionnel et pourra alors
être contrôlé par l’employeur. De plus, une telle démarche facilite la tâche de l’administrateur qui, s’il peut contrôler lesdits
fichiers, procèdera de façon à vérifier en dernier lieu le contenu des données personnelles.
Références
Textes de lois et règlements français: http://www.Legifrance.fr
Les journaux officiels : http://www.journal-officiel.gouv.fr/
http://www.cnil.fr/index.htm
http://www.droitdunet.fr/
http://www.foruminternet.org
http://www.clic-droit.com
http://www.droit-ntic.com/
Rapport du 5 février 2002 de la CNIL concernant la « Cybersurveillance sur les lieux de travail »
La lettre des Juristes d’Affaires, n°5094-5097, pp970-971
Semaine sociale Lamy, 15 octobre 2001-n°1046, pp 462-465 « Entretien avec Ariane Mole »
Jurisprudence :
CA Paris, 11ème
chambre, A, 17 décembre 2001, n°00/07565, Françoise V., Marc F. et Hans H. / ministère public, Tareg Al
B.
Cass. soc., 2 octobre 2001, pourvoi N°99-42.942 Nikon France SA c/ M. O
7. Version 1.0 - juillet 2012 1/6
Charte des Administrateurs Systèmes, Réseaux et
systèmes d’information des Établissements
Universitaires du PRES « Université de Grenoble »
Université Joseph Fourier
Université Pierre Mendes-France
Université Stendhal
Institut polytechnique de Grenoble
Institut d’Études Politiques de Grenoble
Université de Savoie
PRES « Université de Grenoble »
8. Version 1.0 - juillet 2012 2/6
Sommaire
Article I. Définitions .......................................................................................................................... 3
Section I.1 Administrateur............................................................................................................... 3
Section I.2 Correspondant sécurité ou chargé de sécurité ......................................................... 3
Section I.3 Responsable fonctionnel de système informatique.................................................. 3
Article II. Droits et devoirs spécifiques des administrateurs ........................................................ 4
Section II.1 Tout administrateur a le droit : .................................................................................... 4
Section II.2 Tout administrateur a le devoir : ................................................................................. 4
Section II.3 Le Correspondant Sécurité du Système d’Information a le droit : .......................... 5
Section II.4 Le Correspondant Sécurité du Système d’Information a le devoir : ....................... 5
Section II.5 Le responsable fonctionnel de système informatique a le droit : ........................... 5
Section II.6 Le responsable fonctionnel de système informatique a le devoir : ........................ 5
Annexe 6
Principales références législatives ....................................................................................................... 6
(a) Infractions prévues par le Nouveau Code pénal.......................................................................... 6
(b) Infractions de presse (loi 29 juillet 1881, modifiée)...................................................................... 6
(c) Infraction au Code de la propriété intellectuelle........................................................................... 6
Acronymes utilisés :
SSI Sécurité du Système d’Information
RSSI Responsable de la Sécurité du Système d’Information
9. Version 1.0 - juillet 2012 3/6
Préambule
La présente Charte des administrateurs systèmes, réseaux et systèmes d’information des Établissements
Universitaires du PRES « Université de Grenoble » est destinée à préciser les devoirs et les droits de
toutes personnes chargées de la gestion de ressources informatiques, de télécommunication ou
logicielles des dits établissements. Il s’agit d’une charte déontologique, elle n’a pas pour but de décrire les
métiers d’administrateurs systèmes, réseaux ou systèmes d’information.
Cette charte est promulguée en référence à la Charte d’usage du Système d’Information des
Établissements Universitaires du PRES « Université de Grenoble», qu’elle complète.
Par Établissements Universitaires du PRES « Université de Grenoble » s’entendent collectivement les
Universités Joseph Fourier, Pierre Mendes-France, Stendhal, l’Institut polytechnique de Grenoble, l’Institut
d’Études Politique de Grenoble, l’Université de Savoie et le PRES « Université de Grenoble » désignés
individuellement par « l’établissement ».
Article I. Définitions
Section I.1 Administrateur
L’administrateur systèmes, réseaux et systèmes d’information est toute personne, employée ou non par
l’établissement, à laquelle a été confiée la responsabilité d’un système informatique, d’un réseau,
d'équipements de téléphonie, de la maitrise d'œuvre d’application ou d'un traitement de données,
administrés par une entité de l’établissement, ou de plusieurs de ces éléments. Une personne à qui a été
conférée une telle responsabilité sera désignée dans la suite de ce document par le terme
« administrateur ».
L’ensemble des éléments sur lesquels s’exerce cette responsabilité constitue le périmètre d’activité de
l’administrateur.
L’administrateur est une personne possédant une compétence reconnue pour gérer tout ou partie des
systèmes d’information ou de télécommunications. Il possède des droits étendus quant à l’utilisation et à
la gestion des moyens informatiques ou de télécommunication. Dans le cadre de son activité, il pourra
être amené à avoir accès aux informations des autres utilisateurs, informations parfois confidentielles.
Section I.2 Correspondant sécurité ou chargé de sécurité
Le correspondant sécurité (parfois nommé chargé de sécurité) du système d’information est la personne
relais du responsable de sécurité du système d’information (RSSI) de l’établissement pour son entité.
Suivant la taille de l’entité, un ou plusieurs collaborateurs peuvent lui être adjoints.
De par son rôle dans la chaîne de sécurité du système d’information, il pourra être amené à avoir accès à
des informations des autres utilisateurs, informations parfois confidentielles.
Les règles de déontologie définies pour l’administrateur s’entendent également pour le correspondant
sécurité.
Section I.3 Responsable fonctionnel de système informatique
Le responsable fonctionnel est la personne en charge administrative de l’entité (directeur de laboratoire,
directeur d’UFR, chef de service…), et par extension, il a la responsabilité fonctionnelle du système
informatique de l’entité. En revanche cette responsabilité n’entraîne aucunement la détention de droits
d’administrateurs, et généralement, le responsable fonctionnel n’entre pas dans la chaîne de sécurité du
système d’information, sauf s’il a le rôle de correspondant SSI de l’entité.
10. Version 1.0 - juillet 2012 4/6
Article II. Droits et devoirs spécifiques des administrateurs
Section II.1 Tout administrateur a le droit :
Dans le cadre du respect de la Politique de Sécurité du Système d’Information d’établissement ;
d’être informé par sa hiérarchie des implications légales de son travail, en particulier des risques
qu’il court dans le cas où un utilisateur du système dont il a la charge commet une action
répréhensible ;
de mettre en place des moyens permettant de fournir des informations techniques
d’administration de réseau (métrologie, surveillance…) ;
de mettre en place toutes procédures appropriées pour vérifier la bonne application des règles de
contrôle d’accès aux systèmes et aux réseaux définies dans la Politique de Sécurité du Système
d’Information, en utilisant des outils autorisés ;
d’accéder, sur les systèmes qu’il administre, à tout type d’informations, uniquement à des fins de
diagnostic et d’administration du système, en respectant scrupuleusement la confidentialité de
ces informations, en s’efforçant - tant que la situation ne l’exige pas - de ne pas les altérer ;
d’établir des procédures de surveillance de toutes les tâches exécutées sur la machine, afin de
déceler les violations ou les tentatives de violation de la présente charte et de la charte d’usage
du système d’information, sous l’autorité de son responsable fonctionnel et en relation avec le
correspondant sécurité informatique ;
de prendre des mesures conservatoires si l’urgence l’impose, sans préjuger des sanctions
résultant des infractions aux différentes chartes. Mesures telles que restriction de la connectivité,
suppression de fichiers (après sauvegarde sur support isolé) qu’il estimerait susceptibles de
porter atteinte à l’intégrité, à la disponibilité, à la confidentialité et à la sécurité des systèmes
d’information ;
de ne pas intervenir sur du matériel n'appartenant pas à l'établissement, sauf à l'isoler du système
d’information et du réseau de l'établissement en cas de non-respect des consignes.
Section II.2 Tout administrateur a le devoir :
de respecter les dispositions légales et réglementaires concernant le système d’information
1
, et
pour se faire, de se renseigner, si nécessaire, auprès de sa hiérarchie, de la chaine fonctionnelle
SSI, ou des services juridiques de l’établissement.
de respecter la confidentialité des informations auxquelles il accède lors de ses tâches
d’administration ou lors d’audit de sécurité, quel qu'en soit le support (numérique, écrit, oral...), en
particulier :
les données à caractère personnel contenues dans le système d’information,
les fichiers utilisateurs,
les flux sur les réseaux,
les courriers électroniques,
les mots de passe,
les sorties imprimantes,
les traces des activités des utilisateurs ;
de n’effectuer des accès aux contenus marqués comme « privés » qu’en présence de l’utilisateur
ou avec son autorisation écrite, à l’exception des cas d’atteinte à la sécurité sous couvert
d’autorisation de la chaine SSI ou de l’utilisation d’outils automatiques qui ne visent pas
individuellement l’utilisateur (antivirus, inventaire logiciel…) ;
d’être transparent vis-à-vis des utilisateurs sur l’étendue des accès aux informations dont il
dispose techniquement de par sa fonction ;
d’informer les utilisateurs et de les sensibiliser aux problèmes de sécurité informatique inhérents
au système, de leur faire connaître les règles de sécurité à respecter, aidé par le responsable
fonctionnel ;
1
Loi Informatique et Liberté, LCEN, Code des postes et des communications électroniques, CPI, DADVSI, HADOPI…
11. Version 1.0 - juillet 2012 5/6
de garantir la transparence dans l'emploi d'outils de prise en main à distance ou toute autre
intervention sur l'environnement de travail individuel de l'utilisateur (notamment en cas d'utilisation
du mot de passe de l'utilisateur) : limitation de telles interventions au strict nécessaire avec accord
préalable de l'utilisateur ;
de s'assurer de l'identité et de l'habilitation de l'utilisateur lors de la remise de tout élément du
système d’information (information, fichier, compte d'accès, matériel...), en collaboration avec le
responsable fonctionnel ;
de se conformer à la politique de sécurité des systèmes d’information de l’établissement ;
de répondre favorablement, et dans les délais les plus courts, à toute consignes de surveillance,
de recueil d’information et d’audit émis par le RSSI ;
de traiter en première priorité toute violation des règles SSI et tout incident de sécurité qu’il est
amené à constater, puis d’informer sans délai le correspondant de sécurité informatique ou le
RSSI selon la procédure prévue par la chaine fonctionnelle de sécurité, et d’appliquer sans délai
les directives du RSSI pour le traitement de l'incident. L'administrateur peut ainsi être conduit à
communiquer des informations confidentielles ou soumises au secret des correspondances dont il
aurait eu connaissance, si elles mettent en cause le bon fonctionnement des systèmes
d’information ou leur sécurité, ou si elles tombent dans le champ de l’article 40 alinéa 2 du code
de procédure pénale
2
.
Section II.3 Le Correspondant Sécurité du Système d’Information a le droit :
d’accéder à toutes données du système d’information, notamment les journaux informatiques des
applications ou des systèmes, lorsque cet accès est rendu nécessaire par le traitement d’un
incident de sécurité ou sur demande de la chaine de sécurité du système d’information ;
de requérir toute l’aide nécessaire des administrateurs dans le déroulement de sa tâche de
chargé de sécurité. (cf Section II.1), lorsque cela s’avère indispensable (droit d’accès,
éloignement, temps de réaction, technicité…).
Section II.4 Le Correspondant Sécurité du Système d’Information a le devoir :
De respecter tous les devoirs des administrateurs lorsqu’il a accès au système d’information. (cf.
Section II.2).
Section II.5 Le responsable fonctionnel de système informatique a le droit :
d’interdire temporairement ou définitivement l’accès aux ressources informatiques à un utilisateur
qui ne respecte pas la charte d’usage du système d’informations, ainsi qu’à un administrateur qui
ne respecte pas la présente charte ;
de saisir l’autorité hiérarchique des manquements graves résultant du non respect de cette charte
pouvant déclencher des procédures disciplinaires ou judiciaires.
Section II.6 Le responsable fonctionnel de système informatique a le devoir :
d’informer tous les acteurs, de diffuser la présente charte par tous moyens appropriés; de veiller à
la bonne application de cette charte par tous les acteurs des systèmes d’informations.
2
« Toute autorité constituée, tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un
crime ou d'un délit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les
renseignements, procès-verbaux et actes qui y sont relatifs. »
12. Version 1.0 - juillet 2012 6/6
Annexe
Principales références législatives
(a) Infractions prévues par le Nouveau Code pénal
Crimes et délits contre les personnes
Atteintes à la personnalité : (Respect de la vie privée art. 9 du code civil)
Atteintes à la vie privée (art. 226-1 al. 2 ; 226-2 al. 2, art.432-9 modifié par la loi nº2004-669 du 9
juillet 2004) ; atteintes à la représentation de la personne (art. 226-8)
Dénonciation calomnieuse (art. 226-10)
Atteinte au secret professionnel (art. 226-13)
Atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques (art.
226-16 à 226-24, issus de la loi n° 2004-801 du 6 août 2004 relative à la protection des
personnes physiques à l'égard des traitements de données à caractère personnel et modifiant
la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Atteintes aux mineurs : (art. 227-23 ; 227-24 et 227-28).
Loi 2004- 575 du 21 juin 2004 (LCEN)
Crimes et délits contre les biens
Escroquerie (art. 313-1 et suite)
Atteintes aux systèmes de traitement automatisé de données (art. 323-1 à 323-7 modifiés par la
loi nº 2004-575 du 21 juin 2004).
Cryptologie
Art. 132-79 (inséré par loi nº 2004-575 du 21 juin 2004 art. 37)
(b) Infractions de presse (loi 29 juillet 1881, modifiée)
Provocation aux crimes et délits (art.23 et 24)
Apologie des crimes contre l’humanité, apologie et provocation au terrorisme, provocation à la
haine raciale, « négationnisme » contestation des crimes contre l’humanité (art. 24 et 24 bis)
Diffamation et injure (art. 30 à 33)
(c) Infraction au Code de la propriété intellectuelle
Contrefaçon d’une œuvre de l’esprit (y compris d’un logiciel) (art. 335-2 modifié par la loi nº
2004-204 du 9 mars 2004, art. 34 - et art. 335-3)
Contrefaçon d’un dessin ou d’un modèle (art. L521-4 modifiée par la loi nº 2004-204 du 9 mars
2004, art. 34)
Contrefaçon de marque (art. L716-9 - modifié par la loi nº 2004-204 du 9 mars 2004, art.34 -et
suivants)
Il est rappelé que cette liste n'est qu'indicative et que la législation est susceptible d'évolution.
13. Veille juridique : la responsabilité des administrateurs systèmes et réseaux
Définition : RESPONSABLE DES SERVEURS, CHARGÉ DE LA MISE EN PLACE ET DE
LA CONFIGURATION DES DIFFÉRENTS RÉSEAUX DE L’ENTREPRISE, ET GARANT
DE LEURS PERFORMANCES, L’ADMINISTRATEUR SYSTÈMES & RÉSEAUX EST
POLYVALENT.
Le périmètre de ses responsabilités est plus ou moins étendu, en fonction :
de la taille de l’entreprise,
de l’effectif de la Direction des Systèmes Informatiques (DSI) et le
du recours ou non à de l’externalisation.
Déf : l’externalisation consiste à demander à une société externe, spécialisée en informatique, de prendre en charge la gestion de l’informatique d’une entreprise).
Dans une petite ou moyenne structure, ce spécialiste devra souvent faire preuve de beaucoup de polyvalence, en remplissant par exemple des missions gérées dans de plus
grandes entreprises par le support utilisateurs.
L'administration de réseaux est une discipline de l'informatique qui peut éventuellement s'étendre à la téléphonie.
En bon gestionnaire de l'informatique, l'administrateur réseau veille à ce que tous les utilisateurs aient un accès rapide au système d'information de l'entreprise.
Il crée le réseau informatique pour l’entreprise et est souvent assisté d'un architecteréseau.
Au jour le jour, il gère l'utilisation du réseau. C'est lui qui donne l'autorisation aux nouveaux utilisateurs de se connecter. L’une de ses missions les plus importantes est de
veiller à la sécurité et à la sauvegarde des données sur le réseau complet.
Pour exercer ce métier, il faut avoir un sens de la logique, être minutieux et trouver une solution à des problèmes rapidement et le plus souvent à distance. Un
administrateur n’a généralement pas d’horaire fixe. Il travaille le plus souvent dans son bureau, c’est de là qu'il gère les problèmes qui surviennent dans l’entreprise. Il doit
réagir de toute urgence pour identifier la cause de l'incident, puis effectuer les réparations nécessaires dans les plus brefs délais. Il doit assurer une constante mise à jour
technologique, et tester des nouveaux matériels pour les insérer, si besoin, dans son système. Il travaille avec un ou plusieurs techniciens informatiques.
Ce métier est constitué en majorité d’hommes. Les demandes sont en forte hausse, notamment avec le complément compétence en sécurité.
Exemples de tâches qui peuvent être rattachées à l’Administrateur Systèmes et Réseaux :
• Installation et paramétrage des équipements et logiciels réseaux et télécoms
• Supervision et dépannage des systèmes et applications réseaux
• Conduite et participation à des projets relevant de son périmètre
• Gestion de la sécurité en l’absence de RSSI ou d’ingénieur dédié
• Déploiement et gestion des terminaux mobiles
Polyvalent, l’administrateur systèmes & réseaux doit posséder des connaissances de base dans de multiples domaines de l’informatique (Systèmes d’exploitation, réseau,
sécurité, stockage et sauvegarde…).
Les compétences requises sont :
• Connaissances matérielles (hardware)
• Couches du modèle OSI définissant les couches d'un réseau
• Protocoles de communication (TCP/IP étant le plus connu)
• Systèmes d’exploitation PC, serveurs et routeurs (Windows, Linux, Unix…)
• Réseaux (protocoles, routage, virtualisation, Wi-Fi…)
• Sécurité (contrôle d’accès, pare-feu, supervision…)
• Téléphonie sur IP
• Stockage (SAN, NAS, réplication…)
Qualités humaines et savoir-être : Compte tenu de la place croissante des réseaux dans les systèmes d’information, l’administrateur est très sollicité, notamment sur des
questions de performances et de disponibilité. Mais sa résistance au stress n’est pas la seule aptitude nécessaire à ce professionnel :
Écoute et capacité au dialogue
• Polyvalence
• Rigueur et capacité d’organisation
• Dynamisme
Avec ses compétences techniques diversifiées, l’administrateur systèmes et réseaux peut évoluer dans différents domaines de la technique et tendre avec l’expérience vers
des postes d’architecte, de directeur technique, ou encore de responsable de datacenter.
Mais il peut aussi se spécialiser sur certains aspects, par exemple le stockage et la sécurité, ou bien évoluer vers une fonction de responsable informatique (à dimension très
opérationnelle) dans une petite ou moyenne structure.
14. Reproduction interdite sur site web ou blog
Y. Barrau, L. Bernard Reproduction interdite sur tout autre site, blog ou plateforme
THÈME D6 La responsabilité des prestataires internes et externes du SI
D 6.3 La responsabilité des administrateurs systèmes et réseaux
Mots clés : Responsabilité légale ; administrateurs système
Fiche synthèse
Idée clé
→
La responsabilité des administrateurs systèmes et réseaux est engagée s’ils ne respectent pas le
cadre légal de leur activité
Donner du
sens →
L’administrateur système et réseau dispose de prérogatives étendues au sein de l’organisation. Il
peut mettre en œuvre tous les moyens utiles au soutien du système d’information.
1. Les missions de l’administrateur système et réseau (ASR) au sein de l’organisation
L’ASR est chargé de la mise en place et du suivi du SI au sein des grandes entreprises, des SSII ou des
administrations (la responsabilité des agents publics n’est pas abordée ici). Il a précisément pour mission de gérer
l’utilisation du réseau de l’organisation (performances, optimisation, migration, évolution, sécurité…),
les postes de travail (accès à internet, mots de passe, sauvegardes), d’intégrer les nouveaux équipements
au réseau. Il est important pour lui d’identifier clairement ses missions et ses responsabilités afin de
prendre toutes les mesures utiles pour ne pas encourir de risques.
L’ASR doit :
Informer, former, conseiller, alerter les acteurs de l’organisation pour tout ce qui concerne le système
informatique et notamment les risques encourus (atteinte aux fichiers, captation de données à
caractère personnel …). Il a en charge les bonnes pratiques informatiques. Une directive européenne
de 2002 précise le devoir d’information de l’administrateur système et réseau.
Sécuriser le système (article 29 de la LIL 2004). Il doit tout mettre en œuvre pour prévenir :
toute intrusion susceptible de détruire les données, de les modifier ou de les révéler à des tiers
non habilités (la Directive 200258 du 12/7/2002 précise que l’ASR doit prendre toutes les
« mesures appropriées » pour assurer la sécurité,
toute introduction de programmes malveillants.
Contrôler l’activité sur le réseau afin de prévenir les risques (à son initiative ou à la demande de
l’employeur).
Pratiquer une veille juridique (loi, directive européenne,jurisprudence, recommandations Cnil) afin
d’être toujours en conformité. Il doit également pratiquer une veille technique (évolution des outils et
des risques : biométrie, RFID…).
L’ASR bénéficie d’un statut particulier qui peut être attesté par une charte dédiée rédigée par
l’employeur. Celle-ci précise les responsabilités de l’ASR et prévoit les moyens spécifiques (on parle
même de moyens « privilégiés ») dont il disposera pour accomplir sa mission (accès administrateur,
droits étendus en matière de connexion à internet…).
2. Les obligations classiques de l’ASR
L’ASR dispose certes de moyens d’investigation (contrôle du débit, durée des connexions, sites web,
accès en sa qualité d’administrateur aux serveurs de fichiers, aux serveurs web et aux serveurs de
messagerie) mais il doit néanmoins agir en respectant des principes :
de loyauté : sa démarche doit être impartiale, sincère et être uniquement justifiée par un impératif de
sécurité. Elle doit être conforme à la finalité pour laquelle le contrôle a été décidé. Dans le cas
contraire, il engagerait sa responsabilité pénale et professionnelle.
de transparence : les acteurs internes à l’organisation ainsi que les tiers doivent être informés de
l’éventualité d’un contrôle. Le règlement intérieur et la charte informatique informent les acteurs de
l’entreprise des dispositifs de contrôle mis en œuvre. Les conditions d’intervention, de contrôle et les
Fiche
D 6.3
15. Reproduction interdite sur site web ou blog
Y. Barrau, L. Bernard Reproduction interdite sur tout autre site, blog ou plateforme
moyens utilisés par l’ASR pour investiguer doivent également et spécifiquement être portés à la
connaissance des institutions représentatives du personnel (CE, délégués du personnel…).
de confidentialité : l’ASR est tenu au secret professionnel : il a l’interdiction de diffuser à quiconque,
les informations qu’il aurait eu à connaître dans le cadre de ses fonctions. L’article 432-9 alinéa 2 du
code pénal prévoit en effet que, si l’ASR peut accéder aux données à caractère personnel des salariés,
il n’est cependant pas autorisé à les divulguer. À défaut, il mettrait en œuvre sa responsabilité pénale
en vertu de l’article 226.15 du code pénal. Cette obligation de confidentialité de l’administrateur
système et réseau fait également l’objet d’une clause dans son contrat de travail.
Remarque : L’ASR doit à la fois concilier les impératifs de l’organisation (impératifs de sécurité
notamment) et les droits des collaborateurs et des tiers (respect de la vie privée, protection des données
à caractère personnel…. Son rôle est complexe.
3. Les obligations spécifiques de l’ASR
Des circonstances particulières ou certains évènements peuvent contraindre l’ASR à agir :
En cas d’atteinte à la sécurité du réseau et aux intérêts de l’organisation : l’ASR a l’obligation
d’avertir le salarié à l’origine de l’atteinte afin de lui proposer des solutions. Il a également le droit
de supprimer des fichiers, mêmes personnels, illicites. Dans un second temps, l’employeur sera
informé et pourra prendre des sanctions à l’encontre du salarié négligent.
En cas de contenus illicites (atteinte à l’ordre public, à la sécurité intérieure du pays, menace d’actes
terroristes, contenus à caractère pédophile, incitation à la haine raciale…), l’ASR a une obligation de
dénonciation :
o auprès de son employeur,
o auprès des autorités : services de police, de justice, CNIL.
Un arrêt de la Cour d’appel d’Aix-en-Provence (17/12/2002) renforce le rôle des administrateurs
systèmes quant à la nécessité de surveiller le trafic sur les réseaux de leurs entreprises. La découverte
de la consultation par un salarié, de sites pédophiles s'est faite à l'occasion d'une opération ordinaire
de maintenance par l'administrateur système. Celui-ci a immédiatement informé son supérieur
hiérarchique ce qui a permis de mettre en œuvre une procédure disciplinaire* de licenciement
(Source : www.cadresonline.com) à l’encontre du salarié fautif lequel encourt également des poursuites
pénales.
En résumé :
L’ASR occupe une place déterminante dans l’entreprise dont l’objectif est d’optimiser l’utilisation des
ressources informatiques lesquelles sont perçues comme des outils de la compétitivité. Il dispose de
pouvoirs très étendus pour sécuriser le système informatique mais doit, dans le cadre de ses contrôles,
respecter le secret des correspondances ainsi que la vie privée de ses salariés. Son rôle et ses responsabilités
évoluent du fait de l’externalisation des SI.
Un exemple pour illustrer :
Récemment, l’audit du réseau d’une association a révélé la présence sur le poste de l’ASR, de fichiers en
provenance d’internet. La taille des fichiers stockés sur le disque dur du salarié était telle qu’elle laissait
présager d’un téléchargement 24 h/24 et 7 jours/7… Lors de cet audit, il a été découvert la présence d’un
logiciel de partage de données baptisé « GNUTELLA » qui a permis à l’administrateur de télécharger des
logiciels et fichiers MP3 en quantité impressionnante. L’audit a également révélé que l’administrateur avait
modifié les procédures de sécurité du réseau informatique de l’association afin de mettre en place ce type de
programme… (Ces modifications avaient mis en péril la sécurité du SI)... L’association a donc licencié son
administrateur réseau pour faute grave. La cour d’appel a confirmé le licenciement au motif que
l’administrateur réseau avait profité de ses fonctions et de l'accès privilégié au système informatique de son
employeur pour, à l'insu de celui-ci, utiliser ce système à des fins personnelles étrangères à l'activité de
l'association ». www.alain-bensoussan.com
16. Source : www.cnil.fr FICHE CNIL veille juridique
Page 1/2
Peut-on accéder à l’ordinateur d’un salarié en vacances ?
19 juillet 2010
En cette période de vacances, un employeur est susceptible de demander à l'administrateur réseau de l'entreprise de lui communiquer, pour des raisons de
continuité de service, le login/mot de passe d'un salarié absent. Comment l'administrateur réseau doit-il répondre à ce type de demande ?
Un administrateur réseau a-t-il le droit de communiquer à son employeur la liste des identifiants/mots de passe de ses employés ?
NON. Même si les fichiers contenus dans un ordinateur ont un caractère professionnel, et peuvent à ce titre être consultés par l'employeur, un administrateur réseau ne
doit pas communiquer de manière systématique l’ensemble des identifiants et des mots de passe des salariés de l’entreprise. Les mots de passes sont personnels et
permettent de savoir ce qu’un utilisateur donné à pu faire sur le réseau de l’entreprise. Le fait d'utiliser le mot de passe de quelqu'un d'autre peut être préjudiciable au
salarié.
Toutefois, les tribunaux considèrent que la communication du mot de passe d’un salarié à son employeur est possible dans certains cas particuliers.
Dans quels cas particuliers un employeur peut-il obtenir le mot de passe d'un salarié ?
L’employeur peut avoir connaissance du mot de passe d'un salarié absent, si ce dernier détient sur son poste informatique des informations nécessaires à la poursuite de
l’activité de l’entreprise et qu’il ne peut accéder à ces informations par d’autres moyens. .
L’employeur peut-il consulter l'intégralité du contenu d'un poste de travail?
Les tribunaux considèrent que tout fichier créé, envoyé ou reçu depuis le poste de travail mis à disposition par l’employeur a, par principe, un caractère professionnel.
Dans ce cas, l’employeur peut le consulter. Toutefois, si le fichier est identifié comme étant personnel, par exemple, si le répertoire dans lequel il est rangé ou le nom du
fichier précise clairement qu’il s’agit d’un message privé ou personnel, l’employeur ne doit pas en prendre connaissance.
L’employeur peut-il accéder aux fichiers qualifiés de « personnels » ?
Oui, à condition de le faire en présence du salarié ou après l’avoir invité à être présent, ou en cas de risque particulier pour l’entreprise.
Afin de respecter la vie privée des salariés qui peuvent être amenés à faire un usage privé des outils informatiques de l'entreprise, l’employeur doit fixer les conditions
d'accès au poste de travail des salariés en cas d’absence.
Comment mettre en place des règles ?
Elles peuvent par exemple figurer dans une charte informatique propre à l’entreprise.
Cette charte doit être connue de tous les salariés. Ils seront ainsi informés des modalités d'accès de leur poste informatique pendant leur absence.
La règle du jeu fixée à l’avance, en toute transparence, permet notamment d'éviter les risques de litige ultérieurs.
Que faire en cas de désaccord ?
Le principe reste la concertation entre le salarié et son employeur. Toutefois, si la relation de confiance est entamée, tout litige pourra être porté devant le juge qui
appréciera si l’employeur a ou non commis une atteinte à la vie privée du salarié.
10 conseils pour la sécurité de votre système d’information
12 octobre 2009
La loi "informatique et libertés" impose que les organismes mettant en œuvre des fichiers garantissent la sécurité des données qui y sont traitées. Cette exigence
se traduit par un ensemble de mesures que les détenteurs de fichiers doivent mettre en œuvre, essentiellement par l’intermédiaire de leur direction des systèmes
d’information (DSI) ou de leur responsable informatique.
1. Adopter une politique de mot de passe rigoureuse
L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à
deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de
passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par
exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Généralement attribué par
l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du
réseau doivent veiller à modifier les mots de passe qu’ils utilisent eux-mêmes.
2. Concevoir une procédure de création et de suppression des comptes utilisateurs
L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » (compta1, compta2…), afin de pouvoir
éventuellement être capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants. En effet, les comptes « génériques » ne
permettent pas d’identifier précisément une personne. Cette règle doit également s’appliquer aux comptes des administrateurs systèmes et réseaux et des autres agents
chargés de l’exploitation du système d’information.
3. Sécuriser les postes de travail
Les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum) ; les utilisateurs
doivent également être incités à verrouiller systématiquement leur poste dès qu’ils s’absentent de leur bureau. Ces dispositions sont de nature à restreindre les risques
d’une utilisation frauduleuse d’une application en cas d’absence momentanée de l’agent du poste concerné. Par ailleurs, le contrôle de l’usage des ports USB sur les
postes « sensibles », interdisant par exemple la copie de l’ensemble des données contenues dans un fichier, est fortement recommandé.
4. Identifier précisément qui peut avoir accès aux fichiers
L’accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l’exécution des missions qui
leur sont confiées. De cette analyse, dépend « le profil d’habilitation » de l’agent ou du salarié concerné. Pour chaque mouvement ou nouvelle affectation d’un salarié à
un poste, le supérieur hiérarchique concerné doit identifier le ou les fichiers auxquels celui-ci a besoin d’accéder et faire procéder à la mise à jour de ses droits d’accès.
Une vérification périodique des profils des applications et des droits d’accès aux répertoires sur les serveurs est donc nécessaire afin de s’assurer de l’adéquation des
droits offerts et de la réalité des fonctions occupées par chacun.
5. Veiller à la confidentialité des données vis-à-vis des prestataires
Les interventions des divers sous-traitants du système d’information d’un responsable de traitement doivent présenter les garanties suffisantes en terme de sécurité et de
confidentialité à l’égard des données auxquels ceux-ci peuvent, le cas échéant, avoir accès. La loi impose ainsi qu’une clause de confidentialité soit prévue dans les
contrats de sous-traitance. Les éventuelles interventions d’un prestataire sur des bases de données doivent se dérouler en présence d’un salarié du service informatique
et être consignées dans un registre. Les données qui peuvent être considérées « sensibles » au regard de la loi, par exemple des données de santé ou des données relatives
à des moyens de paiement, doivent au surplus faire l’objet d’un chiffrement.
« A noter » : l’administrateur systèmes et réseau n’est pas forcément habilité à accéder à l’ensemble des données de l’organisme. Pourtant, il a besoin d’accéder
aux plates-formes ou aux bases de données pour les administrer et les maintenir. En chiffrant les données avec une clé dont il n’a pas connaissance, et qui est
détenue par une personne qui n’a pas accès à ces données (le responsable de la sécurité par exemple), l’administrateur peut mener à bien ses missions et la
confidentialité est respectée.
17. Source : www.cnil.fr FICHE CNIL veille juridique
Page 2/2
6. Sécuriser le réseau local
Un système d’information doit être sécurisé vis-à-vis des attaques extérieures.
Un premier niveau de protection doit être assuré par des dispositifs de sécurité logique spécifiques tels que des routeurs filtrants (ACL), pare-feu, sonde anti intrusions,
etc. Une protection fiable contre les virus et logiciels espions suppose une veille constante pour mettre à jour ces outils, tant sur le serveur que sur les postes des agents.
La messagerie électronique doit évidemment faire l’objet d’une vigilance particulière. Les connexions entre les sites parfois distants d’une entreprise ou d’une collectivité
locale doivent s’effectuer de manière sécurisée, par l’intermédiaire des liaisons privées ou des canaux sécurisés par technique de « tunneling » ou VPN (réseau privé
virtuel). Il est également indispensable de sécuriser les réseaux sans fil compte tenu de la possibilité d’intercepter à distance les informations qui y circulent : utilisation
de clés de chiffrement, contrôle des adresses physiques des postes clients autorisés, etc. Enfin, les accès distants au système d’information par les postes nomades doivent
faire préalablement l’objet d’une authentification de l’utilisateur et du poste. Les accès par internet aux outils d’administration électronique nécessitent également des
mesures de sécurité fortes, notamment par l’utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS.
« A noter » : Un référentiel général de sécurité, relatif aux échanges électroniques entre les usagers et les autorités administratives (ordonnance 2005-1516), doit voir le
jour prochainement (voir projet sur le site www.ssi.gouv.fr). Il imposera à chacun des acteurs des mesures de sécurité spécifiques.
7. Sécuriser l’accès physique aux locaux
L’accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnels habilités. Ces locaux
doivent faire l’objet d’une sécurisation particulière : vérification des habilitations, gardiennage, portes fermées à clé, digicode, contrôle d’accès par badge nominatifs,
etc. La DSI ou le responsable informatique doit veiller à ce que les documentations techniques, plans d’adressages réseau, contrats, etc. soient eux aussi protégés.
8. Anticiper le risque de perte ou de divulgation des données
La perte ou la divulgation de données peut avoir plusieurs origines : erreur ou malveillance d’un salarié ou d’un agent, vol d’un ordinateur portable, panne matérielle,
ou encore conséquence d’un dégât des eaux ou d’un incendie. Il faut veiller à stocker les données sur des espaces serveurs prévus à cet effet et faisant l’objet de
sauvegardes régulières. Les supports de sauvegarde doivent être stockés dans un local distinct de celui qui héberge les serveurs, idéalement dans un coffre ignifugé. Les
serveurs hébergeant des données sensibles ou capitales pour l’activité l’organisme concerné doivent être sauvegardés et pourront être dotés d’un dispositif de tolérance
de panne. Il est recommandé d’écrire une procédure « urgence – secours » qui décrira comment remonter rapidement ces serveurs en cas de panne ou de sinistre majeur.
Les supports nomades (ordinateurs portables, clé USB, assistants personnels etc.) doivent faire l’objet d’une sécurisation particulière, par chiffrement, au regard de la
sensibilité des dossiers ou documents qu’ils peuvent stocker. Les matériels informatiques en fin de vie, tels que les ordinateurs ou les copieurs, doivent être physiquement
détruits avant d’être jetés, ou expurgés de leurs disques durs avant d’être donnés à des associations. Les disques durs et les périphériques de stockage amovibles en
réparation, réaffectés ou recyclés, doivent faire l’objet au préalable d’un formatage de bas niveau destiné à effacer les données qui peuvent y être stockées.
9. Anticiper et formaliser une politique de sécurité du système d’information
L’ensemble des règles relatives à la sécurité informatique doit être formalisé dans un document accessible à l’ensemble des agents ou des salariés. Sa rédaction requiert
l’inventaire préalable des éventuelles menaces et vulnérabilités qui pèsent sur un système d’information. Il convient de faire évoluer régulièrement ce document, au
regard des modifications des systèmes et outils informatiques utilisés par l’organisme concerné. Enfin, le paramètre « sécurité » doit être pris en compte en amont de tout
projet lié au système d’information.
10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi "informatique et libertés"
Le principal risque en matière de sécurité informatique est l’erreur humaine. Les utilisateurs du système d’information doivent donc être particulièrement sensibilisés
aux risques informatiques liés à l’utilisation de bases de données. Cette sensibilisation peut prendre la forme de formations, de diffusion de notes de service, ou de l’envoi
périodique de fiches pratiques. Elle sera également formalisée dans un document, de type « charte informatique », qui pourra préciser les règles à respecter en matière
de sécurité informatique, mais aussi celles relatives au bon usage de la téléphonie, de la messagerie électronique ou encore d’internet. Ce document devrait également
rappeler les conditions dans lesquelles un salarié ou un agent peut créer un fichier contenant des données personnelles, par exemple après avoir obtenu l’accord de son
responsable, du service juridique ou du CIL de l’entreprise ou de l’organisme dans lequel il travaille.
Ce document doit s’accompagner d’un engagement de responsabilité à signer par chaque utilisateur.
A noter : veiller à ce que les utilisateurs nettoient régulièrement leurs vieux documents et messages électroniques sur leurs postes. De même, nettoyer régulièrement le
répertoire d’échange partagé entre les différents services afin qu’il ne se transforme pas en espace « fourre-tout » (fichiers personnels des agents mélangés avec des
dossiers sensibles)
18. L'utilisation abusive des ressources informatiques de l'entreprise à des fins personnelles par un administrateur réseau est
constitutif d'une faute grave
Par Isabelle Tellier le 17 avril 2008
L'utilisation des ressources informatiques de l'entreprise à des fins personnelles est autorisé dans un cadre résiduel.
Mais, à partir du moment où le salarié en fait un usage abusif, il s'agit d'un manquement à ses obligations
contractuelles qui légitime un licenciement pour faute grave.
C'est en substance ce que vient de rappeler la cour d'appel de Paris [1] dans l'arrêt commenté ci-après. Néanmoins,
l'originalité de la décision rendue le 4 octobre 2007 réside dans le fait qu'elle concerne l'administrateur du réseau
informatique de l'association et se réfère à son contrat de travail en cette qualité.
Dans les faits, le litige opposait une association à l'un de ses salariés, en l'occurrence, administrateur système réseau. Au
cours d'un audit du réseau du système informatique de l'association, il a été notamment révélé la présence de fichiers en
provenance d'Internet sur le poste de l'administrateur. La taille des fichiers stockés sur le disque dur du salarié approchait
les 6 Go d'images, de sons, de vidéos et de progiciels, ce qui laissait présager d'un téléchargement 24 h/24 et 7 jours/7.
Lors de cet audit, il avait été découvert la présence d'un logiciel de partage de données baptisé « GNUTELLA » qui avait
permis à l'administrateur de télécharger des logiciels et fichiers MP3 en quantité impressionnante. Or, l'audit a révélé que
- pour mettre en place ce type de programme - l'administrateur avait modifié les procédures de sécurité du réseau
informatique de l'association. Néanmoins, celui-ci avait été mal configuré par l'administrateur ce qui rendait accessibles
aux autres utilisateurs du logiciel de téléchargement certains documents professionnels présents sur son poste
informatique et faisait courir à l'association un risque de fuite de ses données. L'association a donc licencié son
administrateur réseau pour faute grave. Ce dernier a porté l'affaire devant les tribunaux considérant son licenciement sans
cause réelle et sérieuse.
En première instance, le Conseil de prud'hommes de Paris [2] a jugé le licenciement justifié tout en le requalifiant en
licenciement pour cause réelle et sérieuse. Le salarié a interjeté appel. L'association a interjeté appel incident considérant
que le salarié avait commis une faute grave justifiant son licenciement. Selon la cour d'appel, le salarié « a profité de ses
fonctions et de l'accès privilégié au système informatique de son employeur pour, à l'insu de celui-ci, utiliser ce système
à des fins personnelles étrangères à l'activité de l'association et qu'il a aussi, ce faisant, rendu le système particulièrement
vulnérable aux intrusions extérieures malveillantes, au mépris des règles élémentaires de sécurité ». Les juges en ont
déduit « une violation des obligations découlant de son contrat de travail, d'une importance telle que son maintien dans
l'association (�) était impossible pendant la durée du préavis sans risque de compromettre les intérêts légitimes de
l'employeur » constitutive d'une faute grave. C'est donc principalement par rapport aux fonctions du salarié, en l'espèce
administrateur réseau de l'association, que la cour a motivé son arrêt.
L'arrêt rendu par la cour n'a rien de novateur dans la mesure où il s'inscrit dans le droit fil de la jurisprudence rendue
depuis quelques années en la matière selon laquelle l'utilisation des ressources informatiques de l'entreprise à des fins
personnelles est autorisée dans un cadre résiduel, c'est-à-dire à condition que l'usage privé des outils professionnels reste
raisonnable. Toutefois, la Cour tient compte de deux critères pour qualifier les faits de faute grave : la fonction du salarié
et donc son accès privilégié au système informatique qui constituent un facteur aggravant et les conséquences effectives
préjudiciables qui en ont résulté.
L'utilisation illicite des moyens de l'entreprise a été sanctionnée à plusieurs reprises, le licenciement était toutefois
généralement justifié par une cause réelle et sérieuse. Ainsi, il a été jugé [3] que reposait sur un caractère réel et sérieux
et non sur une faute grave le licenciement d'un salarié qui avait utilisé à des fins personnelles le matériel mis à sa
disposition pour son activité professionnelle ; le salarié effectuait notamment des opérations de bourse à titre personnel
pendant son temps de travail.
Dans une autre affaire, qui se rapproche des faits de l'espèce, un analyste programmeur a été licencié pour faute grave,
après que son employeur ait découvert - au cours d'opérations de contrôle de gestion sur son poste informatique mis à sa
disposition - un nombre important de fichiers à caractère pornographique représentant 509 292 989 octets. La Cour d'appel
de Paris, puis la haute juridiction [4], ont fait ressortir que les fichiers, dont les contenus étaient reprochés au salarié,
n'avaient pas été identifiés par lui comme personnels, ce dont il résultait que l'employeur pouvait en prendre connaissance
sans que celui-ci soit présent ou appelé. Dans cet arrêt, la faute grave a été retenue au motif que le stockage, la structuration,
le nombre conséquent des fichiers et le temps consacré à eux par le salarié attestaient d'une méconnaissance par celui-ci,
de son obligation d'exécuter les fonctions lui incombant. Ainsi, plus que les faits eux-mêmes, il semble que les critères
retenus par la jurisprudence pour qualifier de grave la faute retenue à l'encontre du salarié, sont la fonction qu'il occupe.
19. Note :
Salarié => Force de travail / Savoir faire
Lien de subordination
Employeur => salaire / contrepartie financière
20. Veille juridique BTS SI 32 – la responsabilité des administrateurs systèmes et réseau
MAJ : 24/11/2015
La responsabilité des administrateurs systèmes et réseaux (document) Fiche cours (Les missions – Les obligations classiques et spécifiques de l'ASR) - Réumé
Arrêt Cour d'Appel – Gnutella L'audit du réseau d'une association a révélé la présence sur le poste de l'ASR de fichiers en provenance
d'Internet. L'administrateur avait téléchargé des fichiers & logiciels MP3 en quantité impressionnante.
L'association a licencié son ARD pour faute grave. La cour d'appel a confirmé que l'ASR avait profité de ses
fonctions et de l'accès privilégié au système informatique de son employeur pour utiliser ce système à des fins
personnelles étrangères à l'activité de l'association. Gnutella : logiciel de partage
Charte des ASR – Universités de Grenoble Exemple de charte des ASR pour les universités de Grenoble
Compétences requises de l'ASR Savoir – Savoir-faire – Savoir-être de l'ASR sur le marché du travail
L'ASR un voltigeur sans filet – Laurent Freyt Caffin Missions de l'ASR – Le statut de l'ASR – Un contrôle limité et encadré – L’obligation de confidentialité – le
contrôle doit être loyal, transparent et proportionné – mise en place d'une charte ? - un véritable statut de l'ASR
Les aspects juridiques du métier d'ASR Référentiel légal du métier d'ASR – Ne pas ignorer le droit – Faire de veille juridique – Disposer d'une boîte à
outils juridiques – Ne pas faire ce que tu n'as pas le droit de le faire – ne pas être négligent fautif : informer –
contrôler – agir – respecter les règles de responsabilités civiles – Prouver que l'on fait bien son travail- savoir
coopérer avec les autorités compétentes : police – gendarmerie – CNIL – AMF – Procureur de la république –
Juge d'instruction – Tribunal correctionnel- DCRI)
Fiches CNIL
Peut-on accéder à l’ordinateur d’un salarié en vacances ? 10 conseils pour la sécurité de votre système d’information
