Close
  • Français
  • English

05/01/2015[Contribution] Traitement Juridique du B.Y.O.D. : La gouvernance des données au sein de l’entreprise connectée [par Pierre Lubet, Altana]

Encadrement juridique de la sécurité des données de l’entreprise connectée

L’utilisation de ressources informatiques externes – initialement non maîtrisées par l’entreprise – pour stocker des données professionnelles représente une source de risques, à la fois pour la sécurité des systèmes d’information, mais aussi dans le cadre de la gestion du capital humain de l’entreprise. Aussi, une gouvernance raisonnée impose à l’entreprise de respecter une conjonction de règles applicables à la portabilité des données professionnelles, préalablement à la mise en œuvre d’un contrôle patronal de l’utilisation desdites données par les salariés connectés.

Règles de sécurité applicables à la portabilité des données professionnelles

Lien entre la norme technique et la norme juridique.

(i) Panorama des solutions techniques adaptées à la portabilité des données professionnelles

L’hygiène informatique et portabilité.

Des modalités techniques de protection en réponse au risque sécuritaire.

Responsabilité de la direction des systèmes d’information.

(ii) renforcement des normes légales applicables à la portabilité des données professionnelles

Une origine et un développement sectoriel (principalement finances et banques)

Sécurité des traitements de données à caractère personnel

Notification des failles de sécurités et projet de règlement européen

Contrôle patronal de l’utilisation des données professionnelles par les salariés connectés

(i) contrôle de l’accès aux données et surveillance de l’activité du salarié connecté

Cybersurveillance à l’ère du BYOD

De la charte de bonne conduite à la charte informatique : principes généraux

Déclarations CNIL

Information et consultation des organes représentatifs du personnel

Information préalable du salarié

(ii) Contrôle du temps de travail du salarié connecté

Problématique du temps de travail

Risques liés au non respect des durées maximales de travail.

Risques liés aux heures supplémentaires étendus à certains cadres au forfait-jour

Risques psycho sociaux

Poursuite des atteintes à la sécurité des données de l’entreprise connectée

Malgré la mise en place de mesures de protection adéquates, l’entreprise peut demeurer vulnérable aux atteintes internes (méprise, maladresse ou malveillance d’un salarié) et/ou externes (malveillance d’un tiers). Un arsenal juridique de protection varié permet alors à l’entreprise d’assurer la défense de ses intérêts en justice dans un contexte de portabilité des données. Les mesures conservatoires et probatoires, précédant toute action au fond, permettent de réunir des moyens de preuve au soutien d’actions prudhommales et civiles à l’encontre du salarié fautif. Parallèlement, des voies de recours répressives permettent à l’entreprise de poursuivre pénalement les atteintes à son patrimoine informationnel

Mesures conservatoires et probatoires

Pour être en mesure de fonder ultérieurement ses prétentions, l’entreprise peut faire établir des constats en matière informatique afin de garantir le respect de la protection de la vie privée du salarié dans le cadre particulier de l’accès aux données professionnelles stockées sur des équipements nomades.

(i) Le respect de la protection de la vie privée du salarié

Admissibilité de la preuve en droit du travail.

Synthèse de la jurisprudence sur la protection de la vie privé.

Accès aux contenus privés du salarié.

(ii) L’accès aux données professionnelles stockées sur des équipements nomades

Portée de la problématique.

Position de la jurisprudence et perspectives.

(iii) les constats informatiques : investigations sur les données

Constat d’huissier

Recours à l’article 145 code de procédure civile.

 

Actions au fond à l’encontre du salaire fautif

L’atteinte portée à la sécurité et à la confidentialité des données de l’entreprise peut naturellement trouver son origine par la maladresse ou la malveillance d’un salarié, mais également par la malveillance d’un tiers, qui aura malicieusement exploité les failles de sécurité des systèmes d’information de l’entreprise, y compris les vulnérabilités liées à l’intégration des B.Y.O.D. Cependant, dans le cadre de cette étude des rapports internes à l’entreprise sur l’usage des B.Y.O.D, seules les actions à l’encontre du salarié fautif feront l’objet d’une analyse. Ainsi, en cas de malveillance du salarié dans l’accès aux données de l’entreprise, l’entreprise pourra saisir les juridictions prudhommales et/ou exercer une devant les juridictions pénales.

(i) Action prudhommale à l’encontre du salarié fautif

Le licenciement pour faute grave.

Procédure.

Applications jurisprudentielles.

(ii) Action répressive à l’encontre du salarié fautif

La divulgation intentionnelle d’éléments confidentiels du patrimoine informationnel de l’entreprise peut être sanctionnée sur la base de plusieurs fondements. Il n’est pas question ici d’en dresser un catalogue exhaustif mais de mettre l’accent sur des infractions particulièrement propices à la poursuite des atteintes à la sécurité des données de l’entreprise connectée.

Les notions de « vol de données » et d’ « abus de confiance ».

La notion d’ « atteintes aux systèmes de traitement automatisés de données ».

La notion d’ «atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques».

 

Pierre Lubet
Altana