5. Le système d’information
définitiond’unsystèmed’information
-unensembleorganiséderessources(personnes,matériels,logicielsetprocédures)permettantd’acquérir,de traiter, de stocker, de diffuser des
informations(sousformededonnées,textes,images,sons,...)dansetentreles organisations.
Qu’est-cequ’un système d’information?
6. Le système d’information
diversitédescomposantsd’unsystèmed’information
-basesdedonnées
-logiciels(ERP,CRM,…)propriétaireset/oulibres
-internet,intranet,extranet
-postesdetravail, ordinateursportables,tablettes,serveurs,imprimantes
-dispositifsdestockage(BYOD)
-téléphonesmobiles
-dispositifsdesécurité(badges,video-surveillance,contrôlebiométrique,…)
-messagerieélectronique
-réseauxsociaux
-extensionsdusystèmed’information(cloud,…)
-utilisateurs
Qu’est-cequ’un système d’information?
7. Organiserle système d’information
descontratssouventcomplexes,parfoisinternationaux,dansunenvironnementévoluantrapidement
-informationprécontractuelle
-interprétation: préambule,définitions
-périmètrecontractuel:étendue,évolution
-mécanismesd’ajustement:imprévision,modesalternatifsderèglementdesdifférends,recoursà unexpert,…
-la signatureparleclientd’unprocès-verbalderecettedéfinitivesans réservenelibèrepasleprestatairedeson obligation de délivrance conforme;
l’obligationdedélivrancedeproduitscomplexesn’estpleinementexécutée qu’une fois réalisée la mise au point effective de la chose vendue (Cass. Com., 26 novembre 2013, n°12-
25191)
Contratsdes systèmes d’information
8. Organiserle système d’information
quelquesexemplesdecontratsdifférents,mais avecsouventdesproblématiquescommunes
-infrastructures(matériels,…)
-hébergeur: niveaudeservice(SLA)
-conceptionetréalisationdesiteinternet
-fournisseurd’accèsà Internet
-éditeur(logicielscomplexes,…)
-externalisation
niveaudeservice(disponibilité),garantie,localisationdesdonnées,sauvegardes,réversibilité,…
Contratsdes systèmes d’information
12. Sécuriser lesactifs incorporels
respectdesformalitésobligatoires
-toutfichierinformatisécontenantdesdonnéesà caractèrepersonneldoitfairel'objetd'unedéclarationauprèsdela CNIL et la vente par la société […] d'un tel
fichierqui,n'ayantpas étédéclaré,n'étaitpas danslecommerce,avait un objetillicite.(Cass.com.,25juin2013, n°12-17037)
Laprotectiondes actifs incorporels
13. Prendre encompte la protection des données
personnelles
définition : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée"); est réputée être une "personne physique
identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de
localisation,unidentifiantenligne,ouà unouplusieursélémentsspécifiquespropresàsonidentitéphysique,physiologique,génétique,psychique,économique,culturelleousociale.(article4)
-adresseIP:L’adresseIPestunedonnéepersonnelle(Cass,Civ,1ère,3novembre2016, n°15-22595; CJUE,aff. C-70/10, 24 novembre 2011, point 51;
CJUE,aff.C-582/14, 16octobre2016)
Attention:LenouveauRèglementGénéralsurlaProtectiondesDonnées
seraapplicablele25mai 2018
Donnéepersonnelle
16. Controler l’activité des salariés
Il est dans la fonction des administrateurs de réseaux d’assurer le fonctionnement normal et la sécurité des réseaux et systèmes d’information, ce qui entraine qu’ils aient accès aux
messageriesetà leurcontenu,pourlesdébloquerouéviterdesdémarcheshostiles.(CAParis,11e Ch.Sect.A17 décembre2001, n°00-07565)
Roleetpouvoirs del’administrateurdes réseaux
17. Contrôler l’activité des salariés
respectdesprincipesfondamentaux,ycomprisautempsetau lieudetravail
-toutsalariéa droitau respectdesa vieprivéeetdesa libertéd’expression
-l'employeurnepeutapporterauxdroitsdespersonnesetauxlibertésindividuellesetcollectivesderestrictionsqui ne seraient pas justifiées par la nature de
la tâcheà accomplirniproportionnéesau butrecherché
interdictiond’unesurveillanceconstanteetpermanentesurl’activitéinformatiquedessalariés
-interdictiondel’utilisationd’un“keylogger”
Controlede l’activitédes salariés
18. Contrôler l’activité des salariés
contrôledesconnexionsinternetdessalariés;lesconnexionssontprésuméesavoiruncaractèreprofessionnel
interdiction de mettre en oeuvre un traitement de données personnellesrelatives à des infractions pénales ou destinées à en établir l’existence (CE, 11 mai 2015, n°375669, logiciel
permettantdedétecterdesinfractionsà caractèrepédopornographique)
usage abusif d’Internet sur le temps de travail (Cass. Soc., 9 juillet 2008, n°06-45800; Cass. Soc., 9 février2010, n°08-45253; Cass. Soc., 18 mars 2009, n°07-44247; Cass. Soc.,
16 mai 2007, n°05-43455, ; Cass. Soc., 26 février 2013, n°11-27372; Cass. Soc., 21 septembre 2011, n°10-14869; Cass. Soc., 10 mai 2012, n°10-28585; Cass. Soc., 23 novembre 2011,
n°10-30833; Cass.Soc.,18décembre2013, n°12-17832)
traçage informatique(Cass.Soc.18 juillet2000, n°98-43485)
Controlede l’utilisationd’Internet
19. Contrôler l’activité des salariés
contrôledesfichiersidentifiéscommepersonnelsstockésdanslesystèmed’information
- deux conditions alternatives : (1) présence ou information du salarié, ou (2) existence d’un risque ou d’un événement particulier pour l’organisation (Cass. Soc., 17 mai
2005, n°03-40017; Cass.Soc.,11décembre2001, n°99-43030; Cass.Soc.,8décembre2009, n°08-42097)
présomption du caractère professionnel des fichiers stockés dans le système d’information (Cass. Soc., 18 octobre 2006, n°04-48025; Cass. Soc., 18 octobre 2006, n°04-47400;
Cass. Soc., 21 octobre 2009, n°07-43877; Cass. Soc., 8 décembre 2009, n°08-44840; Cass. Soc., 15 décembre 2009, n°07-44264; Cass. Soc., 10 mai 2012, n°11-13884; Cass. Soc., 4
juillet2012, n°11-12502; Cass.Soc.,19juin2013, n°12-12138 et12-12139; Cass. Soc.,12 février2013, n°11-28649)
sanctiondusalariéquistockedesfichiersillicites(Cass.Soc.,16 mai 2007, n°05-43455; Cass. Soc.,15 décembre2010, n°09-42691)
Controledes fichiers informatiques
20. Contrôler l’activité des salariés
Contrôledel’usagedela messagerieélectroniquepar lessalariés
- conditions (information préalable des salariés, consultation des IRP, déclaration à la CNIL) : Cass. Soc. 22 mai 1995, n°93-44078; Cass. Soc., 8 octobre 2014, n°13-
14991); présomption de caractère professionnel, sauf pour les messages personnels identifiés comme tels; contenu des messages : impossibilité d’utiliser les messages relevant de la vie privée
mêmenonidentifiéscommepersonnels
- emails personnels et correspondance privée : Cass. Soc., 2 octobre 2001, n°99-42942; Cass. Soc., 15 décembre 2010, n°08-42486; Cass. Soc., 18 octobre 2011,
n°10-26782; Cass. Soc., 26 juin 2012, n°11-14022; Cass. Soc., 16 mai 2013, n°12-11866; Cass. Soc., 26 juin 2012, n°11-15310; Cass. Soc., 5 juillet 2011, n°10-17284; Cass. Soc., 18
décembre 2013, n°12-17832; Cass. Soc., 18 octobre 2011, n°10-25706; Cass. Soc., 10 mai 2012, n°11-11252; Cass. Soc., 15 décembre 2009, n°07-44264; Cass. Soc., 2 février 2011,
n°09-72313; Cass.Soc.,2février2011, n°09-72449; Cass.Soc.,16 mai2013, n°12-13372)
-contrôledelamessageriepersonnelledusalariéCass.Soc.,26 janvier2016, n°14-15360; Cass.Soc.,7avril2016, n°14-27949
Controlede lamessagerieélectronique
21. Contrôler l’activité des salariés
ContrôledesSMS
-accès auxSMS nonpersonnelsd’untelephoneprofessionnelCass. Soc.,23 mai 2007, n°06-43209; Cass. Soc.,10 février 2015, n°13-14779; Cass. Soc.
Avis,13novembre2014, n°13-14779
Controlede lamessagerieélectronique
22. Contrôler l’activité des salariés
possibilité de sanctionner des faits commis en dehors du temps de travail (CA Reims, 9 juin 2010, n°09-03209; CA Besançon, 15 novembre 2011, n°10-02642; CA reims, 24
octobre2012, n°11-01249)
Facebook : les propos publiés sur le mur Facebookdu profil privé d’un salarié, accessibles à ses seuls amis, en nombre très restraint, ne constituent pas une injure publique (Cass. Soc.,
10 avril2013, n°11-19530)
caractèreprivédesproposéchangéssurFacebook?
contrôledel’utilisationdeTwittersurletempsdetravail (CAChambéry,25 février2016, n°15-01264)
Cas particulierdes réseauxsociaux
23. Contrôler l’activité des salariés
intérêtdela charte
forcecontraignantedelacharte
opposabilitédelacharte:consultationdesIRP,communicationà l’Inspectiondutravail,informationdessalariés
L’utilitéd’unecharted’utilisation
du système d’information
24. Contrôler l’activité des salariés
finalités pouvant justifier la mise en oeuvre d’un système de géolocalisation : respect d’une obligation légale ou réglementaire, suivi et facturation d’une prestation, sûreté ou sécurité
dusalariéouduvéhicule,meilleureallocationdesmoyenspourdesprestationsàaccomplirdansdeslieuxdispersés
-suividutempsdetravail :finalitéaccessoire,uniquementlorsquecesuivinepeutpas êtreréalisépard’autres moyens
typesdedonnéescollectées:identificationdusalarié,donnéesrelativesauxdéplacements,donnéescomplémentairesassociéesà l’utilisationduvéhicule
conditions:informationpréalabledessalaries,consultationdesIRP,déclarationà la CNIL
Géolocalisation
25. Protéger le système d’information
vol de données : le fait « d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier de manière frauduleuse les données (…) » contenues dans un STAD est puni
de5ans d’emprisonnementetde150 000€ d’amende(article323-3 duCodePénal)
aspirationdesdonnéesd’unsiteinternet(TGIParis,12e Ch.Corr.1, 20juin2016)
consultationd’unsiteinternetinsuffisammentsécurisé(CAParis,12e Ch.Sect.A,30 octobre2002)
attaquesdusystèmed’information:contamination(virus,vers,trojans,cryptolocker,…),paralysie(dénideservice),détournement(fishing,fraudeau Président)
(articles323-1 etsuivantsduCodePénal
Piratage
26. Protéger le système d’information
Liens
- unhyperlien sur un siteinternet, vers une œuvre protégéepar le droit d’auteuret publiéesans autorisationde l’auteur, ne constituepas une «communication aupublic»si
la personnequiinsèrel’hyperlienagit sans butlucratifetsans connaîtrel’illégalitédela publicationdecetteœuvre(CJUE,8septembre2016, aff.C-160/15)
Référencement
-Googleadwords(CJUE,23mars 2010, aff.C-236/08, C-237/08 etC-238/08; CJUE,22 septembre2011, n°C-323/09; Cass. Com.,25septembre2012)
Basesdedonnées
-extractiondedonnéesd’unebasededonnées(Cass.Com.,23mars 2010; Cass.Com.,10février2015, n°12-26023).
Contrefaçon