S CHELLENBERG W ITTMER
Transcription
S CHELLENBERG W ITTMER
NEWSLETTER Septembre 2007 SCHELLENBERG WITTMER A vo ca t s Sécurité du transfert électronique de données et enjeux juridiques L’optimisation tant technique qu’organisationnelle de l’Internet et du courrier électronique peut permettre aux entreprises de réaliser d’importants gains en productivité et de réduire leurs frais. La connexion de l’entreprise au réseau mondial comporte cependant des risques et peut être source de nuisances, qui ne sont pas ou que partiellement appréhendées par les instruments juridiques. L’entrée en vigueur, le 1er avril 2007, de la législation sur l’interdiction du « spamming » (art. 3 lit. o de la loi contre la concurrence déloyale « LCD ») est l’occasion de faire un panorama des questions juridiques liées au transfert électronique de données, dans la perspective de l’utilisation privée des moyens de communication, de la publicité massive au moyen d’e-mail (spamming) et du « phishing ». 1 Utilisation privée de l’Internet et des e-mails au travail La mise en œuvre avec succès de moyens de communication électronique par l’entreprise risque d’être contre-balancée par l’utilisation privée des infrastructures techniques par les employés. Alors que l’utilisation privée peut avoir des conséquences financières pour l’entreprise compte tenu du temps de travail qui y est consacré par les employés, l’employeur se trouve également confronté à des défis importants du point de vue technique. L’utilisation privée des moyens de communication est susceptible d’accroître les risques liés à la sécurité, à l’exemple des virus informatiques, à la surcharge des capacités de stockage, voire au possible blocage des infrastructures techniques. Se pose dès lors la question des possibilités juridiques dont dispose un employeur pour règlementer l’utilisation privée de l’Internet et des e-mails. 1.1 Autorisation ou interdiction de l’utilisation privée Tout employeur a le droit en vertu du contrat de travail de donner des directives à ses employés (art. 321d Code des obligations « CO ») et peut décider librement dans quelle mesure les employés ont accès à l’Internet et aux e-mails à leur poste de travail et de la manière de les utiliser. En conséquence, la marge de manœuvre est grande : L’employeur peut en interdire complètement l’usage, le limiter ou l’imposer pour certaines tâches. L’employé n’a aucun droit à l’utilisation privée des moyens de communication électronique au lieu de travail. L’utilisation de ces moyens est certes conditionnée par le devoir de diligence et de fidélité de l’employé (art. 321a CO) qui l’oblige à en faire un usage raisonnable. Cependant, le caractère indéterminé de cette règle est de peu d’aide dans la gestion des cas particuliers. L’établissement d’un règlement d’utilisation offre à l’employeur la possibilité d’aménager la marge de manœuvre que lui laisse la loi. Dans la mesure où le règlement est formulé de façon claire et concrète de sorte que les limites de l’utilisation privée admise sur le lieu de travail en ressortent sans ambiguïté, il tient lieu d’instruction de la part de l’employeur et permet de constater sans équivoque un abus de l’employé. Ce règlement peut également justifier une surveillance des moyens de communication, l’identification et même la mise en œuvre de sanctions (infra). Un règlement d’utilisation peut par exemple prévoir que le téléchargement de films et de musique est interdit et que l’utilisation de l’email à des fins privées doit se limiter à des communications brèves et urgentes. 1.2 Mesures de protection techniques et juridiques Si l’utilisation des moyens de communication à des fins privées est autorisée, des mesures de protection renforcées s’imposent afin d’empêcher une altération de l’infrastructure informatique. A cet égard, se pose la question des mesures techniques de protection et de leur admissibilité d’un point juridique. 1.2.1 Mesures techniques En matière technique, il y a lieu de distinguer les mesures de protection des mesures de surveillance. Les mesures de protection techniques préventives sont mises en œuvre dans le but de minimiser les risques et d’assurer le bon fonctionnement et la sécurité de l’infrastructure informatique. Parmi les principales mesures de protection techniques figurent la protection par mot de passe, la protection de l’accès, le cryptage des données particulièrement sensibles, les programmes Les mesures techniques répressives de surveillance permettent de constater et de sanctionner après coup d’éventuels abus. Dans ce domaine, on mentionnera la surveillance du réseau et du trafic d’e-mails, la surveillance des écrans, voire la surveillance des claviers et des souris. D’un point de vue juridique, de telles mesures de surveillance répressives ne sont admissibles que de manière très limitée. 1.2.2 Limites juridiques de la surveillance Les limites juridiques mises à la surveillance des employés découlent principalement du droit du travail, de la législation relative à la protection des données et du droit pénal. Le domaine privé est également couvert par le secret des télécommunications. Du point de vue technique, les outils informatiques sont en mesure d’établir des procès-verbaux des activités menées par leur intermédiaire. Juridiquement, la surveillance anonyme et permanente du fonctionnement et de la sécurité d’un système informatique est sans autre admissible. La surveillance anonyme du comportement de navigation sur Internet à des fins statistiques est également autorisée. La surveillance est dite « anonyme » si elle ne permet pas de déterminer la manière de naviguer sur Internet de chaque collaborateur pris individuellement. En revanche, la surveillance permanente et personnalisée des employés est interdite en Suisse (art. 26 OLT3). Cette interdiction a pour but de protéger l’employé contre une surveillance permanente et ciblée de son comportement. La surveillance de l’écran, du clavier et des mouvements de la souris ainsi que les programmes dits « espions » violent la sphère intime et la personnalité des employés concernés et ne sont dès lors pas admissibles. De plus, la protection de la personnalité des employés est également garantie par la loi sur la protection des données et les dispositions du Code des obligations sur le contrat de travail. Si les mesures de protection techniques préventives et la sensibilisation des employés ne permettent pas d’empêcher des abus, une surveillance personnalisée peut entrer en ligne de compte de manière isolée. Ce genre de mesures ne peut intervenir qu’en cas de soupçon ou de constatation d’abus. En outre, constitue également une condition préalable, le fait que l’employé soit informé, avant l’existence d’un soupçon, au moyen d’un règlement de surveillance, de la possibilité d’une analyse personnalisée des procès-verbaux. Même si ces conditions sont remplies, la surveillance devrait être effectuée au moyen de pseudonymes attribués aux employés (par ex. série de chiffre), afin que leurs activités puissent être analysées sous une forme anonyme par les services informatiques. Seulement en cas de constatation d’abus, une liste de correspondance permet une attribution nominative des procèsverbaux. Il est particulièrement important dans ce cas de faire en sorte que l’établissement des procès-verbaux soit conduit par des personnes n’ayant pas accès à la liste de correspondance. 1.3 E-mails professionnels et privés Le traitement de l’accès au courrier électronique en cas d’absence ou de départ d’une personne soulève également des difficultés. Si l’utilisation du courrier électronique à des fins privées est autorisée et que les e-mails privés sont reconnaissables, par exemple par l’ajout d’un terme correspondant dans le titre, ils ont le même statut que le courrier privé au lieu de travail et bénéficient alors de la même protection. L’ouverture de courrier privé par un tiers, respectivement la lecture d’un e-mail portant la mention « privé », constitue une atteinte à la personnalité. Le contenu des e-mails désignés comme privés ne peut dès lors par être exploité par l’employeur. Enfin, le trafic d’e-mails est couvert par le secret des télécommunications. La situation est tout à fait différente pour les e-mails professionnels : dans ce cas, l’employeur est en droit d’établir un procès-verbal de ces e-mails de manière systématique, de les enregistrer et de les sauvegarder. Les e-mails professionnels sont de manière générale de la correspondance d’affaires et l’employeur est donc tenu de les conserver pendant 10 ans (art. 962 CO). Dans le cadre de la prise de connaissance, de la sauvegarde, respectivement de l’archivage d’e-mails, des problèmes pratiques de différenciation se posent toutefois qui ne peuvent être résolus sur le plan juridique que si l’employeur informe de manière générale ses employés, dans le cadre d’un règlement, que tous les e-mails échangés sur la place de travail, y compris les emails privés, seront archivés. Les employés ont quant à eux la possibilité d’éviter l’archivage de leurs e-mails privés en les détruisant ou en renonçant à communiquer au moyen d’emails privés. D’un point de vue pratique, il est recommandé d’établir et d’appliquer une véritable politique en matière d’email, sous la forme d’un concept global quant à la réception, l’archivage, la destruction et les droits d’accès. 1.4 Violations et sanctions 1.4.1 Abus de la part de l’employé L’employeur peut prendre les mesures de sanctions découlant du droit du travail, à l’endroit de l’employé à propos duquel il a été constaté, dans le respect des règles sur la surveillance, qu’il a commis un abus. Les mesures à disposition sont nombreuses et vont de l’avertissement au licenciement en cas d’abus graves et répétés, en passant par l’interdiction de l’accès à l’Internet. Néanmoins, les sanctions possibles doivent préalablement figurer dans le règlement de surveillance. L’employé répond envers l’employeur du dommage qu’il lui a causé intentionnellement ou par négligence (art. 321e CO). Les poursuites pénales par les autorités compétentes demeurent réservées pour autant qu’un délit ait été commis (par exemple 2 SCHELLENBERG WITTMER NEWSLETTER SEPTEMBRE 2007 anti-virus, le blocage de certains sites web, les programmes de gestion des quotas de disque, les mesures de sauvegarde et le « firewall ». Du point de vue juridique, les mesures de protection de ce type sont non seulement autorisées mais même souhaitées puisqu’elles permettent de prévenir des activités illégales (par exemple la diffusion de virus informatiques, le sabotage d’ordinateurs, la violation de secrets d’affaires, l’abus de données personnelles). SCHELLENBERG WITTMER NEWSLETTER SEPTEMBRE 2007 diffamation, espionnage industriel, harcèlement sexuel ou diffusion de matériel raciste ou pornographique). Même s’il n’existe aucune obligation de porter plainte, il est recommandé que l’employeur porte plainte dans un tel cas afin d’éviter toute accusation de complicité. 1.4.2 Surveillance indue par l’employeur Si l’employeur ne respecte pas les conditions mises à la surveillance de l’utilisation d’Internet et de l’e-mail, l’employé peut contester en justice les atteintes dont il est l’objet ainsi que les sanctions du droit du travail qui en découlent (par exemple un licenciement abusif) en faisant valoir une atteinte illicite à sa personnalité et son droit à la constatation de l’illégalité de ces mesures, voire en réclamant des dommagesintérêts à son employeur. S’il y a violation de la sphère privée ou intime ou accès non autorisé à des données personnelles, des suites pénales sont également envisageables. 2 Publicité massive au moyen d’e-mails – spamming Si la mise à disposition de l’infrastructure informatique de l’entreprise pour l’accès à l’Internet et l’envoi d’e-mails à des fins privées comporte des risques, la menace externe de l’envoi massif d’e-mails publicitaires pour des produits ou des services pèse également sur l’entreprise. Ce type de promotion publicitaire est rapide, efficace et bon marché, de sorte qu’il s’est rapidement imposé comme forme importante du marketing direct. Le potentiel de nuisance de l’envoi massif et indiscriminé d’e-mail réside – au même titre que l’utilisation des ressources informatiques à des fins privées- dans le blocage des capacités de stockage, l’atteinte au performance des processeurs, ainsi que les coûts supplémentaires pour reconnaître et séparer les e-mails ayant une relevance pour l’entreprise de ceux qui n’ont pas été sollicités. 2.1 Mesures de défense Pour lutter contre le flot de ces messages publicitaires nonsollicités, il s’impose d’installer un programme de filtrage qui trie les messages en fonction des informations sur son auteur, de son contenu ou du programme qui a permis de les émettre. Le filtre anti-spam peut être installé au niveau du serveur ou au niveau des utilisateurs du système. L’aspect problématique de l’installation de ce genre de programme réside dans le choix des règles de filtrage appropriées de sorte que les messages non-sollicités soient exclus et que tous les messages souhaités parviennent à leur destinataire. Du point de vue organisationnel, il y a lieu de renvoyer au principe dit « opt-in » ou « opt-out ». Alors que le principe « opt-in » prévoit que seul les personnes qui ont donnés leur accord reçoivent les messages publicitaires, le principe « optout » veut que les personnes qui ne souhaitent pas recevoir de messages publicitaires se fassent inscrire sur une liste. Ces listes sont appelées listes « Robinson » ou « Vendredi ». Dans la mesure où il n’existe pas de base légale pour ces règlementations, elles dépendent du bon vouloir de l’auteur des messages et ont donc une efficacité toute relative (infra 2.2). 2.2 Situation et prétentions juridiques La publicité par e-mails est une forme de marketing direct, dans ce sens qu’elle s’adresse de façon directe et sans intermédiaire à un consommateur potentiel du produit ou du service proposé. La Suisse n’a pas un droit de la publicité unifié, il n’en reste pas moins que la liberté de l’annonceur est limitée et règlementée par certaines règles. Il y a lieu de tenir compte en particulier de la loi contre la concurrence déloyale, de la loi sur les télécommunications, du droit civil et du droit sur la protection des données. Depuis le 1er avril 2007, la publicité commerciale au moyen de spam – à laquelle il faut assimiler la publicité en vue d’élections ou de votations, les e-mails de pure nuisance, etc. – est expressément réglée dans la loi sur la concurrence déloyale. Alors qu’auparavant, suite notamment à quelques décisions judiciaires éparses, une certaine incertitude régnait quant à la soumission de ce type de publicité à la LCD, l’art. 3 lit o LCD) prévoit aujourd’hui que « agit de façon déloyale celui qui, […] envoie ou fait envoyer, par voie de télécommunication, de la publicité de masse n’ayant aucun lien direct avec une information demandée et omet de requérir préalablement le consentement des clients, de mentionner correctement l’émetteur ou de les informer de leur droit à s’y opposer gratuitement et facilement ». Il y a lieu de signaler le choix du système « opt-in » qui – ainsi que mentionné précédemment – interdit tout envoi de messages publicitaires par e-mails, aussi longtemps que l’expéditeur n’en a pas reçu l’autorisation du destinataire. Ainsi l’envoi automatisé de publicité se distingue de la publicité qui nécessite une intervention humaine (par ex. télémarketing). Pour celle-ci, le principe du « opt-out » est toujours valable. Il trouve par exemple application dans l’apposition dans l’annuaire téléphonique d’un astérisque à coté du nom. La disposition qui prévoit que ces e-mails doivent contenir l’indication exacte des informations sur l’expéditeur est également importante. Ainsi, est non seulement assurée une identification plus aisée de l’identité de l’auteur du message publicitaire, mais cela permet également d’éviter que des tiers non impliqués soient affectés par l’utilisation abusive de leur adresse. Pour la mise en œuvre de ces prescriptions, la LCD met à disposition, aussi bien au niveau individuel qu’au niveau des organisations de protection des consommateurs, des instruments de protection de droit civil visant à aménager les actions en cessation ou en suppression de l’atteinte. Sur plainte, l’utilisation intentionnelle du spam est de plus sanctionnée pénalement. A coté de cela, les actions de la LCD en dommagesintérêts, en réparation du tord moral ou en remise de gain ne devraient jouer qu’un rôle accessoire étant donné que la faible atteinte portée par les e-mails est difficilement à même de justifier un procès. Le potentiel de nuisance réside dans le nombre. Il reste à examiner sous l’angle du droit de la protection des données le fait pour les spammer de se procurer des adresses et de les traiter. Si une personne est identifiable à travers son adresse e-mail, cette adresse est considérée comme une donnée 3 La situation est différente lorsque la personne n’utilise son adresse e-mail qu’à des fins spécifiques (commandes par Internet, Newsgroups, etc.). Dans ce cas, il n’y a pas d’accès public. Le traitement de cette adresse par un spammer est une utilisation de l’adresse contraire à son but puisqu’il intervient sans que la personne concernée le sache ou y consente. Ce comportement est contraire à la protection des données et ouvre la voie à une action en constatation, en cessation ou en suppression de l’atteinte. Cependant, dans ce genre de cas également, un procès est difficilement envisageable compte tenu du faible montant du dommage et de la difficulté à le prouver. 3 Phishing Avec le « phishing », terme résultant de la contraction de « password harvesting » et « fishing », les entreprises avant tout actives dans le secteur financier et leurs clients se voient confrontés à un nouveau défi. Le destinataire reçoit en effet par ce biais des e-mails qui, en raison de leur apparence et de leur contenu, laissent croire qu’il a été contacté par une banque digne de confiance et connue ou par un prestataire de services en ligne. Le destinataire sera ensuite prié, sous prétexte le plus souvent d’un prétendu problème de sécurité, de se connecter à un site internet. Celui-ci, par son apparence parfaitement similaire à celle du véritable site internet de l’institution concernée, doit renforcer la conviction de l’utilisateur qu’il a affaire à l’entreprise en laquelle il a confiance. Sur cette page Internet, l’utilisateur est ensuite invité à introduire dans des champs prévus à cet effet les données nécessaires pour accéder à son E-Banking, tels que nom d’utilisateur, numéro de contrat, mot de passe, liste des codes actuels et éventuellement d’autres informations. Le créateur du « phishing e-mail » peut dès lors utiliser les données ainsi obtenues pour s’identifier auprès de la banque ou du prestataire de services et effectuer des transactions dommageables Du côté du destinataire de l’e-mail, les mesures préventives se limitent à des programmes qui sont comparables à des antispam et qui repèrent les messages au contenu suspect. Sur ce point, sensibiliser la clientèle reste pour les institutions menacées une tâche, certes déplaisante en raison de la possible fragilisation de la relation de confiance, mais néanmoins nécessaire. 3.2 Situation juridique La conception et l’envoi de « phishing e-mails » ne sont en tant que tels, selon la conception dominante, pas appréhendés par le droit pénal suisse. L’expéditeur ne franchit pas de dispositif de sécurité ou des limites d’accès pour obtenir des données, ce qui est exigé pour être pénalement répréhensible (art. 143 et 143bis du Code pénal suisse « CP »). D’autre part, le nom d’utilisateur et le mot de passe ne constituent en règle générale pas des données personnelles ou des profils de la personnalité au sens de la Loi sur la protection des données de sorte que l’état de fait de l’art. 179novies CP (soustraction de données personnelles) n’est pas réalisé. Enfin, eu égard au faible caractère probant d’un e-mail, la qualification de « titre » au sens de l’art. 251 CP ne peut lui être reconnu, de sorte qu’un éventuel faux dans les titres ne saurait être admis. Si toutefois les données obtenues sont par la suite utilisées de manière illicite par l’auteur afin d’effectuer des transactions pour son compte ou pour le compte d’un tiers entraînant par là un dommage chez le titulaire du compte, l’auteur se rend responsable pénalement d’utilisation frauduleuse d’un ordinateur au sens de l’art. 147 CP. De plus le lésé a contre lui une créance en réparation du dommage causé illicitement. Contacts Le contenu de cette Newsletter ne peut pas être assimilé à un avis ou conseil juridique ou fiscal. Si vous souhaitez obtenir un avis sur votre situation particulière, votre personne de contact habituelle auprès de Schellenberg Wittmer ou l’avocat suivant répondra volontiers à vos questions : I ANDREA MONDINI [email protected] 3.1 Mesures de défense Les instruments les plus efficaces dans la lutte contre les attaques de « phishing » consiste en des systèmes d’authentification de l’utilisateur, qui empêche l’entrée dans le domaine d’E-Banking d’un client, indépendamment des données éventuellement révélées. Comme exemple de logiciels et matériels de ce type, citons les tokens (jetons), les cartes-chip, les clés USB et les hashcodes (fonctions de hachage). Les modes de fonctionnement de ces systèmes de sécurité sont multiples, mais en résumé ils garantissent que le mot de passe obtenu par le « phisher » ne permettra pas d’accéder au compte du destinataire de l’email, faute de données supplémentaires ou de clés de déchiffrement. Cette Newsletter est disponible en français, anglais et allemand sur notre site internet www.swlegal.ch. 15bis, rue des Alpes Case postale 2088 CH-1211 Genève 1 Tél. +41 (0) 22 707 8000 Fax +41 (0) 22 707 8001 Löwenstrasse 19 Case postale 1876 CH-8021 Zurich Tél. +41 (0) 44 215 5252 Fax +41 (0) 44 215 5200 www.swlegal.ch 4 SCHELLENBERG WITTMER NEWSLETTER SEPTEMBRE 2007 personnelle, dont le traitement est soumis à la loi sur la protection des données (LPD). L’utilisation de cette adresse n’est pas illicite si elle est publiquement accessible, par exemple en raison de sa présence sur son propre site Internet. Il faut toutefois tenir compte du fait que l’envoi de messages publicitaires n’est admissible sous l’angle de la LCD qu’avec le consentement du destinataire.