Le télétravail et la sécurité informatique

par email  imprimer  retour

Article de doctrine publié le samedi 28 avril 2001.
Rédigé par Pascal Alix et classé dans le thème Droit du Travail.

Le télétravail constitue un mode nouveau d'organisation du travail dans le cadre duquel les collaborateurs de l'entreprise ou "télétravailleurs" exécutent, de manière régulière, leur travail, soit en qualité de travailleur non-salarié, soit en qualité de salarié, hors des murs de l'entreprise donneuse d'ordres et de la présence physique des personnes chargées de contrôler leur production et ce par la réception et/ou l'envoi de données au moyen des nouvelles technologies de l'information et de la communication.

Le télétravail suppose, par conséquent, un usage constant de l'outil informatique et des moyens de télécommunication ainsi qu'un traitement, hors des murs de l'entreprise, de données sous forme numérique.

Si l'emploi d'outils informatiques de plus en plus sophistiqués et la dématérialisation croissante des biens échangés dans l'économie ainsi que des supports de l'information rendent plus flexible l'organisation des entreprises, ils augmentent, par ailleurs, les risques d'atteinte à l'intégrité ou la disponibilité du matériel et/ou des données utilisées.

1) L'intégrité ou la disponibilité des systèmes informatiques et/ou des données peuvent être affectées par de multiples évènements et notamment par :

  • un accident provoqué par une cause extérieure, telle qu'une coupure intempestive de l'alimentation électrique, un incendie ou un dégât des eaux,
  • un vice inhérent à l'ordinateur utilisé (configuration matérielle),
  • une instabilité d'un ou plusieurs de ses composants.

Les atteintes peuvent résulter, également, d'une action humaine extérieure, volontaire ou involontaire telle :

  • une erreur de programmation,
  • une erreur de manipulation,
  • ou un acte de malveillance (et notamment l'inoculation d'un virus informatique - qui se greffera à un programme "sain" et profitera du lancement de ce programme pour s'installer dans la mémoire de l'ordinateur - ou l'installation d'un vers - petite application qui se répliquera sur les ordinateurs d'un réseau et altérera les performances du système).

La sécurité des systèmes et des données est assurée par la mise en oeuvre de moyens techniques ainsi que par des règles juridiques qui conduisent à engager la responsabilité civile ou pénale de la personne ou des personnes responsables de l'atteinte au système ou données.

2) Afin de limiter les risques, l'entreprise doit mettre en oeuvre les moyens techniques nécessaires pour garantir la sécurité des systèmes et des données.

On considère que la sécurité physique des systèmes doit être envisagée de manière globale. Cette règle s'applique notamment en matière de télétravail, de telle sorte que l'approche globale de la sécurité s'impose même si le télétravailleur n'est pas connecté en permanence.

Il existe des méthodes permettant :

  • d'une part, de détecter les risques informatiques,
  • et, d'autre part, de définir les actions à mettre en oeuvre pour limiter les risques d'atteinte à l'intégrité et à la disponibilité des matériels et des données.

Les entreprises doivent, selon les normes en matière de sécurité informatique :

  • assurer la sécurité du matériel, en l'isolant physiquement (accès aux matériels, mots de passe, procédures d'allumage et d'extinction des matériels, plus ou moins rigoureuses selon la sensibilité des informations),
  • assurer la sécurité des données, par exemple, en limitant l'accès à certains répertoires ou certains fichiers, dans le réseau intranet, aux personnes autorisées et en mettant en oeuvre une procédure systématique de sauvegarde et d'utilisation des logiciels anti-virus lors de la lecture de fichiers provenant de l'extérieur.

Il convient également de s'assurer de la qualité des applications installées sur les postes de travail afin d'éviter les conflits ou incompatibilités.

Il est, généralement, conseillé d'interdire dans une charte, un règlement intérieur ou dans le contrat de travail ou de prestations de services tout téléchargement de patches, plugins, disponibles notamment sur l'Internet.

Le télétravail en mode connecté conduit à la mise en oeuvre de solutions particulières : le télétravailleur éloigné des locaux de l'entreprise doit pouvoir travailler en toute sécurité, en accédant à tous les répertoires et fichiers autorisés dans l'intranet sans que ses accès ne créent des failles dans la sécurité du réseau et des systèmes.

Dans ce contexte particulier, la transmission de courriers électroniques, les échanges de fichiers et la mise en oeuvre d'applications à distance peuvent être techniquement protégés, de manière parfaitement licite et ce de plusieurs manières.

Il est tout d'abord possible, pour sécuriser les échanges de courriers électroniques, d'utiliser des solutions simples et gratuites, tel PGP (Pretty Good Privacy) qui est un logiciel de cryptage des courriers, encodé avec une clé de 128 byties et dont l'usage de certaines versions est parfaitement légal sur le territoire français (ce qui ne veut pas dire qu'il puisse être utilisé dans les échanges avec les correspondants résidant dans les pays étrangers).

Pour les grandes entreprises, plus soucieuses encore de préserver la sécurité et la confidentialité de leurs données, il est possible de mettre en place des" réseaux privés virtuels" qui constituent, en quelque sorte des "tunnels" de transmissions sécurisées via les réseaux informatiques ouverts et notamment via l'Internet. Ces solutions demeurent, toutefois, très onéreuses.

3) Les protections légales

L'atteinte aux systèmes et aux données est protégée, tout d'abord, sous l'ange pénal. La loi du 5 janvier 1988 - dite loi GODFRAIN - a mis en place des dispositions tendant à la répression des atteintes volontaires aux systèmes et aux données.

La "cybercriminalité" prend différentes formes : de l'intrusion dans un système informatique, notamment pour prendre connaissance de données plus ou moins confidentielles à l'atteinte au système, en passant par l'atteinte aux données.

L'arsenal législatif réprime - dans l'hypothèse où les délinquants sont identifiés par les services de police spécialisés dans la criminalité informatique - diverses infractions qui ont en commun d'être le plus souvent commises au moyen d'un accès sans autorisation, via un réseau ouvert ou propriétaire.

L'article 323-2 du Code pénal, qui réprime "le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 300.000 F. d'amende" trouve, dans certains, à s'appliquer, même dans les relations entre l'entreprise et ses collaborateurs, dès lors que l'intention de nuire est démontrée.

Il s'agit notamment de la destruction volontaire de fichiers exécutables.

Il n'est pas inutile de relever que selon les services d'enquête sur les fraudes aux technologies de l'information, la plupart des délits informatiques sont commis par les salariés de l'entreprise.

En cas d'erreurs graves et répétées commises par ses collaborateurs dans l'utilisation de l'outil informatique (par exemple multiples erreurs dans l'enregistrement de données ayant des conséquences sur l'intégrité ou la disponibilité du système ou du réseau) et lorsqu'il ne s'agit pas d'un acte de malveillance, le salarié concerné peut, à tout le moins, être licencié pour inaptitude professionnelle (Soc., 31 mars 1998, Bull. V, n° 186 ; Cour d'Appel BESANÇON, 18 novembre 1997, les Petites Affiches, 10 mai 1999, n° 92, p. 11).

Au reste, la formation du personnel constitue l'un des moyens les plus importants pour assurer la sécurité des systèmes et des données. Il est nécessaire, en effet, de garder à l'esprit les conséquences économiques des pertes de productivité liées à la propagation des virus.

En pratique, les entreprises établissent des "chartes" ayant des natures juridiques différentes dans le but d'instaurer des procédures destinées à limiter les risques de sinistres informatiques ayant une origine humaine. Les conditions d'utilisation des NTIC peuvent également être définies dans le contrat de travail ou l'avenant établi lors de la mise en place de la solution de télétravail.

Dans le cadre d'une relation salariée, les procédures doivent être simples et commodes et ne pas nécessité une longue formation, étant rappelé que, dans le cadre d'une relation salariale, l'employeur doit faire en sorte que son collaborateur s'adapte à l'évolution de son emploi.

De manière générale, les chartes, recueils de procédure ou contrats de travail préconisent d'utiliser systématiquement un logiciel de détection de virus à chaque lecture d'un fichier provenant de l'extérieur, de le mettre régulièrement à jour selon une procédure réglementée et de sauvegarder, le plus souvent possible, les données soit sur une unité périphérique de sauvegarde, soit au moyen d'une application hébergée à l'extérieur du réseau.

Pascal ALIX
Avocat à la Cour
http://www.virtualegis.com

respect du droit d'auteur
doctrine précédente
<<< Le traitement fiscal de l'impayé
Fiche Auteur
Pascal Alix
Avocat
Cabinet Alix

<< Mars 2010 >>
LMMJVSD
1234567
891011121314
15161718192021
22232425262728
293031

Doctrine : auteurs publiés récemment
- Anaïs Lagelle, Allocataire de recherche et d'enseignement
- Antoine Juillard, Juriste
- Nathalie Malkes Koster, Avocat
- Jean-Claude Patin, Juriste
- Valéry Musore Gakunzi, Avocat
Première Visite ?
Inscription Gratuite !
Offre d'Abonnement
Achat Confiance
 
Nipe v7.3.10i - Page générée le 20/03/2010 à 07h59 en 0.01454s