La conférence aborde la cyber-criminalité sous l'angle de l'employeur, mettant en lumière la vulnérabilité des entreprises face à des fraudes internes, souvent perpétrées par des employés ayant accès aux données. Des cas jurisprudentiels soulignent l'importance d'une protection interne rigoureuse contre la soustraction de données, car les dispositifs de sécurité actuels se révèlent souvent insuffisants. Enfin, la nécessité d'un changement d'attitude des employeurs est soulignée, privilégiant des mesures préventives plutôt qu'une surveillance intrusives des employés.

1. La cyber-criminalité du point de vue de
l’employeur
Conférence du 16 novembre 2011
1

2. Prolégomènes:
• L’employeur a un rôle ingrat, car il doit être à l’écoute des employés,
tout en s’assurant de leur loyauté (
• La connaissance de l’employé est une nécessité: la loyauté des
collaborateurs diminue, 85% des fraudeurs n’ont aucun passé
judiciaire, un employé sur deux conserve des données liées à son
précédent poste de travail (Le Temps, 11 avril 2011).
• Les fraudes commises le sont désormais également par des cadres et
des membres de la direction de l’entreprise.
• La tendance naturelle est celle de protéger l’infrastructure contre
des personnes extérieures à l’entreprise, ce qui est une grave erreur;
exemple: réseau où les brevets sont accessibles à tous.
2

3. Casus introductif:
• Le Tribunal cantonal valaisan
a jugé que celui qui, au bénéfice d un
mot de passe communiqué par son employeur, accède à des serveurs
lui permettant de disposer de données spécifiques ne se rend pas
coupable de soustraction de données, ceci à défaut de protection
spécifique!
• En étant simplement au bénéfice du mot de passe lui permettant de
s'acquitter de ses obligations contractuelles, X. a pu accéder aux
serveurs contenant les données dont il s'est ensuite emparé. Bien que
lesdits serveurs aient fait l'objet de diverses protections contre des
intrusions de l'extérieur (chambre forte, contrôles d'accès
biométriques, pare-feu), cet employé n'a rencontré aucune mesure
de sécurité spécifique lui entravant l'accès aux logiciels du "Back
Office" recherchés ou encore aux données d'Y. SA relatives aux
adresses e-mail des abonnés au service de messagerie A.ch, de même
que celles afférentes à la liste des clients du site B., le tout "logins"
et mots de passe compris.
3

4. Casus introductif:
• Il importe peu qu'en fonction de la formation ou des capacités de
celui-ci, voire des renseignements fournis par des collègues mieux
aguerris en ce domaine, l'employé indélicat ait mis plus ou moins de
temps pour trouver le chemin des données recherchées, dès lors
l'intéressé n'a dû surmonter aucun obstacle de sécurité mis en œuvre
volontairement par son employeur.
• Au contraire, faisant prévaloir des raisons de rentabilité dont il
n'appartient pas à la cour de vérifier le bien-fondé, les organes d'Y.
SA ont opté pour une barrière dite morale, qui ne suffit évidemment
pas à réunir les réquisits posés à l'art. 143 CP, alors même - tel que
déjà évoqué en droit - que cette barrière aurait été assortie
d'instructions voire d'interdictions orales ou écrites.
4

5. Casus introductif:
• Avec la société lésée, on peut s'interroger sur le sens de la protection
pénale restreinte ainsi accordée par le législateur, dans sa volonté de
renoncer à réprimer ce qui équivaut à un abus de confiance au sens
large du terme. C'est bien la raison pour laquelle ont déjà été relevés
le peu d'incidence pratique de l'art. 143 CP et même le caractère
dépassé des moyens légaux mis en œuvre dès 1995 pour lutter contre
la criminalité informatique. Il suit de là qu'un renvoi en jugement
fondé sur l'art. 143 CP ne saurait se justifier.
• Pour des motifs similaires, l'application de l'art. 143bis CP n'entre pas
en ligne de compte, outre que l'activité de l'employé X. ne peut être
assimilée à celle d'un "hacker" qui visite le site d'autrui en vue d'en
percer les défenses et d'en violer le domicile informatique.
5

6. Casus introductif:
• La cause pénale concernant X. a en revanche été renvoyée à
jugement s'agissant de la violation du secret des postes et des
télécommunications.
• Ainsi, celui-ci ne semble pas avoir échappé à une sanction justifiée;
toutefois, cet arrêt signifie clairement que pour éviter tout problème
ultérieur, mieux vaut sécuriser «en interne» vos systèmes
informatiques.
• À défaut, toute poursuite pénale fondée sur l article 143 du Code
pénal risque fort d être vouée à l échec!
6

7. Enseignements:
• L es instructions et/ou interdictions orales ou écrites sont
insuffisantes. Une barrière électronique et des contre-mesures sont
nécessaires.
• Le règlement informatique et les clauses contractuelles ne sont
donc, du point de vue pénal, d aucun secours pour démontrer la
réalisation des conditions objectives d infractions, telles que la
soustraction de données ou l accès indu à un système informatique.
• Elles pourront, par contre, fonder une action civile.
• Les erreurs de vos employés vous seront imputées; ex: un client
d une banque voit ses données communiquées au fisc de son pays et
dépose une plainte contre X. Il existe un risque que l employeur
doive justifier des mesures de sécurité prises et de grands risques
qu il doive assumer les conséquences civiles du comportement illicite
soient à sa charge (action récursoire possible).
7

8. Enseignements:
• Ne comptez sur personne pour vous aider en cas de pépin: la Suisse
va probablement ratifier la Convention du Conseil de l Europe sur la
cybercriminalité signée en 2001… en 2011.
• Aucun article juridique, ni aucun jugement n ont été publiés en
matière de DLP à ce jour!
• Il n y a qu un DIEU informatique, c est le responsable de la sécurité
des données de vos clients et de vos données!
• Ni un juge, ni un policier, ni un politicien ne pourront rétablir une
réputation ternie et vous permettre de vous soustraire aux
procédures qui ne manqueront pas d être diligentées (ex: procédure
disciplinaire contre un avocat dont l épouse a subtilisé les données
client pour démontrer le niveau de revenu… avant de demander le
divorce!).
8

9. Introduction - notion:
• Le Data Loss Prevention (DLP) est un concept qui peut être défini
téléologiquement de la manière suivante: il vise à identifier,
surveiller et protéger les données, qu’elles soient stockées, en cours
d’utilisation ou en mouvement et ce, quel qu’en soit le support.
• Il s agit donc, brièvement dit, d un ensemble de techniques de
protection contre la fuite d information, qu il s agisse de vol ou de
fuite par mégarde.
• Ces techniques peuvent trouver application:
- au niveau du réseau (analyse de trafic);
- au niveau du serveur;
- au niveau de l identification de données sensibles.
9

10. Introduction - contexte:
• Selon le dernier rapport de la Central d enregistrement et d analyse
pour la sûreté de l information (Melani, rapport semestriel 2010/1):
• Les affaires d espionnage et de vols de données ont augmenté au
premier semestre 2010 sur le plan mondial.
• Selon les études de sinistralité conduites notamment par Melani, plus
d une personne sur deux a déjà perdu des données stockées sur des
PC portables ou sur des médias amovibles (cf. étude sécurité
informatique dans les entreprises suisses, Zurich, août 2006).
• Les programmes d espionnage et de vols de données sont en
constante augmentation: les logiciels espions ont connu une
augmentation de 51% depuis le 2ème semestre 2009 (Gdata
SecurityLabs, 7 septembre 2010).
10

11. DLP & contraintes légales:
• Les solutions DLP sont soumises aux règles légales ordinaires, tant du
point de vue du droit civil ou administratif que du droit pénal ou
disciplinaires.
• Ainsi, les règles de protection de la personnalité des employés
figurant à l article 328 CO trouvent-elles application (surveillance du
travailleur par l employeur), de même que celles en matière de
protection des données.
• Exemples: en principe, l employeur n a pas le droit de lire et de
contrôler les courriels et les recherches sur internet d un travailleur,
puisqu il risque de pouvoir accéder à des éléments et informations de
la sphère privée et de découvrir ainsi des faits et gestes qui ne le
regardent pas.
11

12. DLP & contraintes légales:
• La surveillance de la part d un supérieur n est admissible que si elle
ne permet pas d obtenir un contenu ou un renseignement strictement
personnel. Cette règle s applique aussi bien au courrier électronique
qu à la navigation sur internet.
• Avant d effectuer un contrôle justifié, l employeur doit annoncer au
travailleur qu il a l intention d examiner son usage e-mail et internet
privé et qu il entend sanctionner d éventuelles incorrections que son
intervention permettra de découvrir. Même lorsqu il existe des
indices concrets d emploi abusif, le devoir d avertissement préalable
subsiste pour l employeur (JU-TRAV 2005 p. 14).
• Le Préposé fédéral à la protection des données a édité un guide
relatif à la surveillance d internet et du courrier électronique au lieu
de travail.
12

13. DLP & contraintes légales:
• Lorsqu un employeur suspecte une personne d avoir transmis des
secrets commerciaux à un tiers, il doit se demander comment
préserver physiquement les preuves de nature privée et s il a le droit
d en consulter le contenu et, dans l affirmative, selon quelles
modalités.
• Deux conditions cumulatives doivent être remplies pour que la
consultation soit possible:
• il doit exister un motif justificatif (accord de l employé ou
intérêt prépondérant);
• le soupçon d infraction doit reposer sur un motif, un indice concret.
Si l accord de la personne ne peut être obtenu, il faut faire appel à des
professionnels (forensic scientists).
13

14. DLP & contraintes légales:
• L article 328b CO trouve également application. Cet article a trait au
respect des normes en matière de traitement des données par
l employeur et renvoie à la LPD.
• Le Préposé indique clairement que l heure est désormais venue pour
l employeur de changer d attitude; il lui faut désormais concentrer
ses efforts sur la prévention technique: plutôt que de surveiller ses
employés, il mettra en oeuvre les mesures d ordre technique
permettant de contenir les abus et de protéger l entreprise. Il ne
sera autorisé à analyser nominativement les fichiers journaux que si
les mesures prises s avèrent inefficaces.
• L employeur a donc un rôle désagréable et ingrat: garantir la sécurité
des données (art. 7 LPD et 8 OPD) et sévir à juste titre.
14

15. DLP & contraintes légales:
• Selon l article 8 OPD, celui qui traite des données personnelles,
protège les systèmes notamment contre les risques de destruction
accidentelle ou non autorisée, perte accidentelle, erreurs
techniques, falsification, vol ou utilisation illicite, modification,
copie, accès ou autre traitement non autorisés.
• Plus les données sont sensibles et plus les mesures à prendre seront
nombreuses, strictes, et, revers de la médaille, intrusives.
• Le principe de proportionnalité prend tout son sens dans un tel
environnement.
• Ces contraintes légales ne prennent pas en considération les
spécificités liées à certaines activités (ex: evernote pour les
avocats).
15

16. DLP & contraintes légales: quelques pistes de
réflexion
• Celui qui ne met pas en place les dernières technologies se verra
reprocher sa passivité à prévenir les pertes et fuites d information;
• Celui qui est trop prospectif et intrusif se verra reprocher de violer le
droit à la vie privée et le droit de la personnalité;
• La voie médiane passe par un usage accru de technologies
susceptibles de collecter de manière automatisée les indices pour
pouvoir ensuite intervenir dans le respect des conditions cumulatives
fixées;
• L intervention automatisée ne pourra se voir reprocher d être
orientée…
16

17. Mesures de surveillance
• Un employeur suspecte l’un des collaborateurs qui va quitter
l’entreprise de vouloir emporter avec lui la liste des clients et des
secrets d’affaires;
• Il craint en particulier l’utilisation d’une clé USB pour s’emparer de
ces données à son insu;
• Cet employeur vous consulte et sollicite que vous l’orientiez sur la
licéité du procédé qu’il entend adopter, respectivement que vous lui
indiquiez si un logiciel de surveillance peut être implémenté;
• Selon vous, l’employé doit-il être informé préalablement?
• Pouvez-vous invoquer une disposition légale pour passer outre cette
information?
17

18. Mesures de surveillance
• Que risque cet employeur s’il agit sans en informer l’employé?
• En cas de vol avéré, cela change-t-il quelque chose?
• Si vous êtes l’avocat de l’employé que pouvez-vous entreprendre?
18

19. Usurpation d identité - introduction - notion:
• Il s agit du fait de prendre délibérément l identité d une autre
personne, généralement dans le but de réaliser une action
frauduleuse, comme accéder aux finances de la personne usurpée, ou
de commettre en son nom un délit ou un crime, ou d accéder à des
droits de façon indue.
• Dans le monde virtuel, les attributs de la personnalité ne sont
octroyés par aucune autorité publique. La seule identification
effective sur Internet est l adresse de chaque machine connectée au
réseau, dite adresse IP, constituée d une suite de chiffres séparée de
points.
• Selon la jurisprudence du Tribunal fédéral (Logistep), l’adresse IP est
une donnée personnelle.
• En France, plus de 210’000 personnes sont victimes d’une telle
usurpation chaque année (coût moyen 2’229 euros).
19

20. Usurpation d identité – régime légal applicable:
• L’usurpation d’identité est punie sévèrement tant en France (Loopsi
2) qu’en Angleterre.
• En Suisse, l’usurpation d’identité est un composant d’infraction et
non une infraction en tant que telle. Ex: un aigrefin pirate le compte
e-mail d’un notaire et d’un agent immobilier pour se faire verser
grâce à Western Union une partie du prix de vente en Angleterre;
seul le vol entre en considération.
• Les trois mots de passe les plus utilisés sont: 123456; password et
12345678.
• La signature électronique permet d’éviter nombre de cas
d’usurpation d’identité. Depuis le 1er janvier 2011, elle peut
également être utilisée dans les échanges avec les tribunaux
notamment.
20

21. Responsabilité de l entreprise
• Complicité liée à un défaut de sécurité?
• Une entreprise possède un site avec possibilité de laisser des
commentaires sur chaque article de leur shop on-line. Mal sécurisé,
le site permet l’insertion de code malveillant qui infecte (virus) les
personnes qui visitent le site en question. Négligente l’entreprise ne
fait pas les démarches qui s’imposent pour garantir la sécurité. Est-
elle responsable?
• Une entreprise confie le mandat à une agence de réaliser un site web
clefs en main. L’agence choisit la solution d’hébergement, mais cela
ne fait pas partie du contrat. L’entreprise ne met pas à jour le site
qui se fait pirater, une image illicite étant publiée. Qui est
responsable?
21

22. Cyber-espionnage industriel
• Les entreprises sont plus exposées du fait de la généralisation des
réseaux de communication.
• Le social engineering n’a pas fait l’objet d’une jurisprudence à ce
jour et certains auteurs considèrent que ce comportement ne tombe
pas sous le coup d’une norme pénale.
• Si l’espion soustrait des secrets de fabrication (information connue
d’un nombre restreint de personnes) ou d’affaires (listes de clients,
accords avec les fournisseurs) et les utilise il se rend coupable d’un
comportement déloyal au sens de l’article 6 LCD.
• Si les secrets n’ont pas encore été utilisés, l’entreprise peut exiger la
restitution des données volées par le biais d’une action civile (art. 9
al. 1 LCD). À défaut, il faut faire constater l’illicéité et tenter
d’obtenir des dommages et intérêts.
22

23. Expertise psychiatrique et protection des données
• Un fonctionnaire suicidaire fait exploser son lieu de travail en
allumant une cigarette alors qu’il avait isolé la pièce et opéré une
modification relativement à une conduite de gaz dans le but de
mourir par ce biais.
• Le dommage au bâtiment dépasse le million de francs.
• Dans le cadre de la procédure pénale qui s’ensuit, le Juge
d’instruction pénale sollicite l’établissement d’une expertise
psychiatrique.
• Le résultat de cette expertise ne convient pas à l’ex-employeur dans
la mesure où l’expert considère que le fonctionnaire était au moment
des faits incapable de discernement.
23

24. Expertise psychiatrique et protection des données
• L’ex-employeur adresse ne sollicite aucune surexpertise dans la
procédure pénale, mais adresse cette expertise à un expert-
psychiatre travaillant sur mandat.
• Le fonctionnaire n’est jamais informé de cette transmission de
données personnelles.
• Le médecin mandaté par l’ex-employeur rend un rapport sans avoir
jamais eu en consultation le fonctionnaire.
• Selon ce rapport, le fonctionnaire est pleinement capable de
discernement et doit être condamné civilement et pénalement.
24

25. Expertise psychiatrique et protection des données
• Quelles sont les normes légales applicables à ce casus?
• À qui vous adressez-vous si vous souhaitez alléguer une violation des
règles en matière de protection des données?
• De quel type de procédure s’agit-il?
• Les différents magistrats saisis de la cause sont-ils tenus par le
résultat des instructions de leurs confrères?
• Quelle serait votre décision si vous étiez saisi comme Préposé?
25

26. Réseaux sociaux et protection des données
• Un employé se fait porter pâle alors qu’il doit effectuer en qualité de
chauffeur un transport de supporters lors d’un match de Super
League.
• Régulièrement, des déprédations et des violences sont commises lors
de ces transports et une crainte s’est installée.
• L’employeur connaît les appréhensions de ses collaborateurs et il de
plus en plus de peine à organiser un tournus pour ces événements à
risque.
• Les bus sont pourtant équipés de caméras de surveillance.
• L’employeur est informé par un autre collaborateur que sur son mur
Facebook, l’employé a mentionné qu’il avait pris la «biturée du
siècle» le soir du match.
26

27. Réseaux sociaux et protection des données
• L’employeur sûr de son bon droit vous consulte et veut licencier avec
effet immédiat son collaborateur.
• Il vous remet les print screen du mur Facebook et sur un ton taquin
vous informe que le collaborateur qui lui a remis ces preuves a été
accepté comme ami sur FB en se prévalant d’une fausse identité.
• L’installation de caméras de surveillance dans les bus vous paraît-elle
licite?
• Combien de temps les images peuvent-elles être conservées?
• Le mur FB est-il un espace privé si les paramètres de confidentialité
n’autorisent sa consultation que par des amis FB?
27

28. Réseaux sociaux et protection des données
• L’employeur peut-il se prévaloir des preuves qui lui sont remises?
• Respectivement s’agit-il de preuves licites?
• Cela influerait-il sur votre raisonnement si le collaborateur cafteur
avait été admis de manière fair parmi les amis FB de celui qui s’est
fallacieusement fait porter pâle?
• Les réseaux sociaux en tant que leur exploitant n’a aucun siège en CH
peuvent-ils être sollicités de collaborer à l’établissement de la vérité?
• Le licenciement immédiat est-il justifié?
• Peut-on évoquer un délit pénal et si oui, lequel?
28

29. Conclusions:
• Le renforcement des normes est la tendance actuelle.
• Les entreprises doivent prévenir l’introduction de ces normes en se
montrant proactives (veille juridique, intégrer à toute réflexion
relative au domaine informatique et technologique la dimension
protection des données, etc.).
• La sécurité des systèmes d’information est un enjeu stratégique
majeur. Dans un environnement très concurrentiel, les dommages
consécutifs à une perte ou à un vol de données peuvent s’avérer
fatals.
• Les investissements liés à la sécurité des données et leur protection
doivent être proportionnés à la sensibilité des données traitées et
aux moyens de l’entreprise.
29