S CHELLENBERG W ITTMER

NEWSLETTER
Septembre 2007
SCHELLENBERG WITTMER
A vo ca t s
Sécurité du transfert électronique de données et enjeux juridiques
L’optimisation tant technique qu’organisationnelle de
l’Internet et du courrier électronique peut permettre aux
entreprises de réaliser d’importants gains en productivité et
de réduire leurs frais. La connexion de l’entreprise au réseau
mondial comporte cependant des risques et peut être source
de nuisances, qui ne sont pas ou que partiellement appréhendées par les instruments juridiques. L’entrée en vigueur, le
1er avril 2007, de la législation sur l’interdiction du
« spamming » (art. 3 lit. o de la loi contre la concurrence
déloyale « LCD ») est l’occasion de faire un panorama des
questions juridiques liées au transfert électronique de données,
dans la perspective de l’utilisation privée des moyens de
communication, de la publicité massive au moyen d’e-mail
(spamming) et du « phishing ».
1
Utilisation privée de l’Internet et des e-mails au travail
La mise en œuvre avec succès de moyens de communication
électronique par l’entreprise risque d’être contre-balancée par
l’utilisation privée des infrastructures techniques par les employés.
Alors que l’utilisation privée peut avoir des conséquences
financières pour l’entreprise compte tenu du temps de travail
qui y est consacré par les employés, l’employeur se trouve
également confronté à des défis importants du point de vue
technique. L’utilisation privée des moyens de communication
est susceptible d’accroître les risques liés à la sécurité, à
l’exemple des virus informatiques, à la surcharge des capacités
de stockage, voire au possible blocage des infrastructures
techniques. Se pose dès lors la question des possibilités juridiques
dont dispose un employeur pour règlementer l’utilisation privée
de l’Internet et des e-mails.
1.1 Autorisation ou interdiction de l’utilisation privée
Tout employeur a le droit en vertu du contrat de travail de
donner des directives à ses employés (art. 321d Code des
obligations « CO ») et peut décider librement dans quelle mesure
les employés ont accès à l’Internet et aux e-mails à leur poste
de travail et de la manière de les utiliser. En conséquence, la
marge de manœuvre est grande : L’employeur peut en interdire
complètement l’usage, le limiter ou l’imposer pour certaines
tâches. L’employé n’a aucun droit à l’utilisation privée des
moyens de communication électronique au lieu de travail.
L’utilisation de ces moyens est certes conditionnée par le devoir
de diligence et de fidélité de l’employé (art. 321a CO) qui
l’oblige à en faire un usage raisonnable. Cependant, le caractère
indéterminé de cette règle est de peu d’aide dans la gestion
des cas particuliers. L’établissement d’un règlement d’utilisation
offre à l’employeur la possibilité d’aménager la marge de
manœuvre que lui laisse la loi. Dans la mesure où le
règlement est formulé de façon claire et concrète de sorte que
les limites de l’utilisation privée admise sur le lieu de travail
en ressortent sans ambiguïté, il tient lieu d’instruction de la
part de l’employeur et permet de constater sans équivoque un
abus de l’employé. Ce règlement peut également justifier une
surveillance des moyens de communication, l’identification et
même la mise en œuvre de sanctions (infra). Un règlement
d’utilisation peut par exemple prévoir que le téléchargement
de films et de musique est interdit et que l’utilisation de l’email à des fins privées doit se limiter à des communications
brèves et urgentes.
1.2 Mesures de protection techniques et juridiques
Si l’utilisation des moyens de communication à des fins privées
est autorisée, des mesures de protection renforcées s’imposent
afin d’empêcher une altération de l’infrastructure informatique.
A cet égard, se pose la question des mesures techniques de
protection et de leur admissibilité d’un point juridique.
1.2.1
Mesures techniques
En matière technique, il y a lieu de distinguer les mesures de
protection des mesures de surveillance.
Les mesures de protection techniques préventives sont mises
en œuvre dans le but de minimiser les risques et d’assurer le
bon fonctionnement et la sécurité de l’infrastructure informatique.
Parmi les principales mesures de protection techniques figurent
la protection par mot de passe, la protection de l’accès, le
cryptage des données particulièrement sensibles, les programmes
Les mesures techniques répressives de surveillance permettent
de constater et de sanctionner après coup d’éventuels abus.
Dans ce domaine, on mentionnera la surveillance du réseau
et du trafic d’e-mails, la surveillance des écrans, voire la surveillance des claviers et des souris. D’un point de vue juridique,
de telles mesures de surveillance répressives ne sont admissibles
que de manière très limitée.
1.2.2
Limites juridiques de la surveillance
Les limites juridiques mises à la surveillance des employés
découlent principalement du droit du travail, de la législation
relative à la protection des données et du droit pénal. Le
domaine privé est également couvert par le secret des télécommunications.
Du point de vue technique, les outils informatiques sont en
mesure d’établir des procès-verbaux des activités menées par
leur intermédiaire. Juridiquement, la surveillance anonyme et
permanente du fonctionnement et de la sécurité d’un système
informatique est sans autre admissible. La surveillance anonyme
du comportement de navigation sur Internet à des fins statistiques
est également autorisée. La surveillance est dite « anonyme »
si elle ne permet pas de déterminer la manière de naviguer sur
Internet de chaque collaborateur pris individuellement.
En revanche, la surveillance permanente et personnalisée des
employés est interdite en Suisse (art. 26 OLT3). Cette interdiction
a pour but de protéger l’employé contre une surveillance
permanente et ciblée de son comportement. La surveillance
de l’écran, du clavier et des mouvements de la souris ainsi
que les programmes dits « espions » violent la sphère intime et
la personnalité des employés concernés et ne sont dès lors pas
admissibles. De plus, la protection de la personnalité des
employés est également garantie par la loi sur la protection
des données et les dispositions du Code des obligations sur le
contrat de travail.
Si les mesures de protection techniques préventives et la
sensibilisation des employés ne permettent pas d’empêcher
des abus, une surveillance personnalisée peut entrer en ligne
de compte de manière isolée. Ce genre de mesures ne peut
intervenir qu’en cas de soupçon ou de constatation d’abus. En
outre, constitue également une condition préalable, le fait que
l’employé soit informé, avant l’existence d’un soupçon, au
moyen d’un règlement de surveillance, de la possibilité d’une
analyse personnalisée des procès-verbaux. Même si ces
conditions sont remplies, la surveillance devrait être effectuée
au moyen de pseudonymes attribués aux employés (par ex.
série de chiffre), afin que leurs activités puissent être analysées
sous une forme anonyme par les services informatiques.
Seulement en cas de constatation d’abus, une liste de
correspondance permet une attribution nominative des procèsverbaux. Il est particulièrement important dans ce cas de faire
en sorte que l’établissement des procès-verbaux soit conduit par
des personnes n’ayant pas accès à la liste de correspondance.
1.3 E-mails professionnels et privés
Le traitement de l’accès au courrier électronique en cas
d’absence ou de départ d’une personne soulève également
des difficultés. Si l’utilisation du courrier électronique à des
fins privées est autorisée et que les e-mails privés sont reconnaissables, par exemple par l’ajout d’un terme correspondant
dans le titre, ils ont le même statut que le courrier privé au
lieu de travail et bénéficient alors de la même protection.
L’ouverture de courrier privé par un tiers, respectivement la
lecture d’un e-mail portant la mention « privé », constitue une
atteinte à la personnalité. Le contenu des e-mails désignés
comme privés ne peut dès lors par être exploité par
l’employeur. Enfin, le trafic d’e-mails est couvert par le secret
des télécommunications.
La situation est tout à fait différente pour les e-mails professionnels : dans ce cas, l’employeur est en droit d’établir un
procès-verbal de ces e-mails de manière systématique, de les
enregistrer et de les sauvegarder. Les e-mails professionnels
sont de manière générale de la correspondance d’affaires et
l’employeur est donc tenu de les conserver pendant 10 ans
(art. 962 CO).
Dans le cadre de la prise de connaissance, de la sauvegarde,
respectivement de l’archivage d’e-mails, des problèmes pratiques
de différenciation se posent toutefois qui ne peuvent être résolus
sur le plan juridique que si l’employeur informe de manière
générale ses employés, dans le cadre d’un règlement, que tous
les e-mails échangés sur la place de travail, y compris les emails privés, seront archivés. Les employés ont quant à eux la
possibilité d’éviter l’archivage de leurs e-mails privés en les
détruisant ou en renonçant à communiquer au moyen d’emails privés. D’un point de vue pratique, il est recommandé
d’établir et d’appliquer une véritable politique en matière d’email, sous la forme d’un concept global quant à la réception,
l’archivage, la destruction et les droits d’accès.
1.4 Violations et sanctions
1.4.1
Abus de la part de l’employé
L’employeur peut prendre les mesures de sanctions découlant
du droit du travail, à l’endroit de l’employé à propos duquel il
a été constaté, dans le respect des règles sur la surveillance,
qu’il a commis un abus. Les mesures à disposition sont
nombreuses et vont de l’avertissement au licenciement en cas
d’abus graves et répétés, en passant par l’interdiction de
l’accès à l’Internet. Néanmoins, les sanctions possibles doivent
préalablement figurer dans le règlement de surveillance.
L’employé répond envers l’employeur du dommage qu’il lui a
causé intentionnellement ou par négligence (art. 321e CO).
Les poursuites pénales par les autorités compétentes demeurent
réservées pour autant qu’un délit ait été commis (par exemple
2
SCHELLENBERG WITTMER NEWSLETTER SEPTEMBRE 2007
anti-virus, le blocage de certains sites web, les programmes de
gestion des quotas de disque, les mesures de sauvegarde et le
« firewall ». Du point de vue juridique, les mesures de protection
de ce type sont non seulement autorisées mais même souhaitées
puisqu’elles permettent de prévenir des activités illégales (par
exemple la diffusion de virus informatiques, le sabotage
d’ordinateurs, la violation de secrets d’affaires, l’abus de données
personnelles).
SCHELLENBERG WITTMER NEWSLETTER SEPTEMBRE 2007
diffamation, espionnage industriel, harcèlement sexuel ou
diffusion de matériel raciste ou pornographique). Même s’il
n’existe aucune obligation de porter plainte, il est recommandé
que l’employeur porte plainte dans un tel cas afin d’éviter
toute accusation de complicité.
1.4.2
Surveillance indue par l’employeur
Si l’employeur ne respecte pas les conditions mises à la
surveillance de l’utilisation d’Internet et de l’e-mail, l’employé
peut contester en justice les atteintes dont il est l’objet ainsi
que les sanctions du droit du travail qui en découlent (par
exemple un licenciement abusif) en faisant valoir une atteinte
illicite à sa personnalité et son droit à la constatation de
l’illégalité de ces mesures, voire en réclamant des dommagesintérêts à son employeur. S’il y a violation de la sphère privée
ou intime ou accès non autorisé à des données personnelles,
des suites pénales sont également envisageables.
2
Publicité massive au moyen d’e-mails – spamming
Si la mise à disposition de l’infrastructure informatique de
l’entreprise pour l’accès à l’Internet et l’envoi d’e-mails à des
fins privées comporte des risques, la menace externe de
l’envoi massif d’e-mails publicitaires pour des produits ou des
services pèse également sur l’entreprise. Ce type de promotion
publicitaire est rapide, efficace et bon marché, de sorte qu’il
s’est rapidement imposé comme forme importante du marketing
direct. Le potentiel de nuisance de l’envoi massif et indiscriminé
d’e-mail réside – au même titre que l’utilisation des ressources
informatiques à des fins privées- dans le blocage des capacités
de stockage, l’atteinte au performance des processeurs, ainsi
que les coûts supplémentaires pour reconnaître et séparer les
e-mails ayant une relevance pour l’entreprise de ceux qui
n’ont pas été sollicités.
2.1 Mesures de défense
Pour lutter contre le flot de ces messages publicitaires nonsollicités, il s’impose d’installer un programme de filtrage qui
trie les messages en fonction des informations sur son auteur,
de son contenu ou du programme qui a permis de les émettre.
Le filtre anti-spam peut être installé au niveau du serveur ou
au niveau des utilisateurs du système. L’aspect problématique
de l’installation de ce genre de programme réside dans le
choix des règles de filtrage appropriées de sorte que les messages
non-sollicités soient exclus et que tous les messages souhaités
parviennent à leur destinataire.
Du point de vue organisationnel, il y a lieu de renvoyer au
principe dit « opt-in » ou « opt-out ». Alors que le principe
« opt-in » prévoit que seul les personnes qui ont donnés leur
accord reçoivent les messages publicitaires, le principe « optout » veut que les personnes qui ne souhaitent pas recevoir de
messages publicitaires se fassent inscrire sur une liste. Ces
listes sont appelées listes « Robinson » ou « Vendredi ». Dans
la mesure où il n’existe pas de base légale pour ces règlementations, elles dépendent du bon vouloir de l’auteur des messages
et ont donc une efficacité toute relative (infra 2.2).
2.2 Situation et prétentions juridiques
La publicité par e-mails est une forme de marketing direct,
dans ce sens qu’elle s’adresse de façon directe et sans intermédiaire à un consommateur potentiel du produit ou du service
proposé. La Suisse n’a pas un droit de la publicité unifié, il
n’en reste pas moins que la liberté de l’annonceur est limitée
et règlementée par certaines règles. Il y a lieu de tenir compte
en particulier de la loi contre la concurrence déloyale, de la
loi sur les télécommunications, du droit civil et du droit sur la
protection des données.
Depuis le 1er avril 2007, la publicité commerciale au moyen
de spam – à laquelle il faut assimiler la publicité en vue
d’élections ou de votations, les e-mails de pure nuisance, etc.
– est expressément réglée dans la loi sur la concurrence déloyale.
Alors qu’auparavant, suite notamment à quelques décisions
judiciaires éparses, une certaine incertitude régnait quant à la
soumission de ce type de publicité à la LCD, l’art. 3 lit o LCD)
prévoit aujourd’hui que « agit de façon déloyale celui qui,
[…] envoie ou fait envoyer, par voie de télécommunication,
de la publicité de masse n’ayant aucun lien direct avec une
information demandée et omet de requérir préalablement le
consentement des clients, de mentionner correctement
l’émetteur ou de les informer de leur droit à s’y opposer
gratuitement et facilement ». Il y a lieu de signaler le choix du
système « opt-in » qui – ainsi que mentionné précédemment –
interdit tout envoi de messages publicitaires par e-mails, aussi
longtemps que l’expéditeur n’en a pas reçu l’autorisation du
destinataire. Ainsi l’envoi automatisé de publicité se distingue
de la publicité qui nécessite une intervention humaine (par ex.
télémarketing). Pour celle-ci, le principe du « opt-out » est
toujours valable. Il trouve par exemple application dans
l’apposition dans l’annuaire téléphonique d’un astérisque à
coté du nom. La disposition qui prévoit que ces e-mails doivent
contenir l’indication exacte des informations sur l’expéditeur
est également importante. Ainsi, est non seulement assurée
une identification plus aisée de l’identité de l’auteur du message
publicitaire, mais cela permet également d’éviter que des tiers
non impliqués soient affectés par l’utilisation abusive de leur
adresse.
Pour la mise en œuvre de ces prescriptions, la LCD met à
disposition, aussi bien au niveau individuel qu’au niveau des
organisations de protection des consommateurs, des instruments
de protection de droit civil visant à aménager les actions en
cessation ou en suppression de l’atteinte. Sur plainte,
l’utilisation intentionnelle du spam est de plus sanctionnée
pénalement. A coté de cela, les actions de la LCD en dommagesintérêts, en réparation du tord moral ou en remise de gain ne
devraient jouer qu’un rôle accessoire étant donné que la faible
atteinte portée par les e-mails est difficilement à même de
justifier un procès. Le potentiel de nuisance réside dans le
nombre.
Il reste à examiner sous l’angle du droit de la protection des
données le fait pour les spammer de se procurer des adresses
et de les traiter. Si une personne est identifiable à travers son
adresse e-mail, cette adresse est considérée comme une donnée
3
La situation est différente lorsque la personne n’utilise son
adresse e-mail qu’à des fins spécifiques (commandes par
Internet, Newsgroups, etc.). Dans ce cas, il n’y a pas d’accès
public. Le traitement de cette adresse par un spammer est une
utilisation de l’adresse contraire à son but puisqu’il intervient
sans que la personne concernée le sache ou y consente. Ce
comportement est contraire à la protection des données et
ouvre la voie à une action en constatation, en cessation ou en
suppression de l’atteinte. Cependant, dans ce genre de cas
également, un procès est difficilement envisageable compte
tenu du faible montant du dommage et de la difficulté à le
prouver.
3
Phishing
Avec le « phishing », terme résultant de la contraction de
« password harvesting » et « fishing », les entreprises avant tout
actives dans le secteur financier et leurs clients se voient
confrontés à un nouveau défi. Le destinataire reçoit en effet
par ce biais des e-mails qui, en raison de leur apparence et de
leur contenu, laissent croire qu’il a été contacté par une banque
digne de confiance et connue ou par un prestataire de services
en ligne. Le destinataire sera ensuite prié, sous prétexte le plus
souvent d’un prétendu problème de sécurité, de se connecter
à un site internet. Celui-ci, par son apparence parfaitement
similaire à celle du véritable site internet de l’institution
concernée, doit renforcer la conviction de l’utilisateur qu’il a
affaire à l’entreprise en laquelle il a confiance. Sur cette page
Internet, l’utilisateur est ensuite invité à introduire dans des
champs prévus à cet effet les données nécessaires pour accéder
à son E-Banking, tels que nom d’utilisateur, numéro de
contrat, mot de passe, liste des codes actuels et éventuellement
d’autres informations. Le créateur du « phishing e-mail » peut
dès lors utiliser les données ainsi obtenues pour s’identifier
auprès de la banque ou du prestataire de services et effectuer
des transactions dommageables
Du côté du destinataire de l’e-mail, les mesures préventives se
limitent à des programmes qui sont comparables à des antispam et qui repèrent les messages au contenu suspect. Sur ce
point, sensibiliser la clientèle reste pour les institutions menacées
une tâche, certes déplaisante en raison de la possible fragilisation
de la relation de confiance, mais néanmoins nécessaire.
3.2 Situation juridique
La conception et l’envoi de « phishing e-mails » ne sont en tant
que tels, selon la conception dominante, pas appréhendés par
le droit pénal suisse.
L’expéditeur ne franchit pas de dispositif de sécurité ou des
limites d’accès pour obtenir des données, ce qui est exigé
pour être pénalement répréhensible (art. 143 et 143bis du
Code pénal suisse « CP »). D’autre part, le nom d’utilisateur et
le mot de passe ne constituent en règle générale pas des données
personnelles ou des profils de la personnalité au sens de la Loi
sur la protection des données de sorte que l’état de fait de
l’art. 179novies CP (soustraction de données personnelles)
n’est pas réalisé. Enfin, eu égard au faible caractère probant
d’un e-mail, la qualification de « titre » au sens de l’art. 251
CP ne peut lui être reconnu, de sorte qu’un éventuel faux dans
les titres ne saurait être admis.
Si toutefois les données obtenues sont par la suite utilisées de
manière illicite par l’auteur afin d’effectuer des transactions
pour son compte ou pour le compte d’un tiers entraînant par
là un dommage chez le titulaire du compte, l’auteur se rend
responsable pénalement d’utilisation frauduleuse d’un
ordinateur au sens de l’art. 147 CP. De plus le lésé a contre
lui une créance en réparation du dommage causé illicitement.
Contacts
Le contenu de cette Newsletter ne peut pas être assimilé à un
avis ou conseil juridique ou fiscal. Si vous souhaitez obtenir
un avis sur votre situation particulière, votre personne de
contact habituelle auprès de Schellenberg Wittmer ou l’avocat
suivant répondra volontiers à vos questions :
I ANDREA MONDINI
[email protected]
3.1 Mesures de défense
Les instruments les plus efficaces dans la lutte contre les attaques
de « phishing » consiste en des systèmes d’authentification de
l’utilisateur, qui empêche l’entrée dans le domaine d’E-Banking
d’un client, indépendamment des données éventuellement
révélées. Comme exemple de logiciels et matériels de ce type,
citons les tokens (jetons), les cartes-chip, les clés USB et les
hashcodes (fonctions de hachage). Les modes de fonctionnement
de ces systèmes de sécurité sont multiples, mais en résumé ils
garantissent que le mot de passe obtenu par le « phisher » ne
permettra pas d’accéder au compte du destinataire de l’email, faute de données supplémentaires ou de clés de déchiffrement.
Cette Newsletter est disponible en français, anglais et
allemand sur notre site internet www.swlegal.ch.
15bis, rue des Alpes
Case postale 2088
CH-1211 Genève 1
Tél. +41 (0) 22 707 8000
Fax +41 (0) 22 707 8001
Löwenstrasse 19
Case postale 1876
CH-8021 Zurich
Tél. +41 (0) 44 215 5252
Fax +41 (0) 44 215 5200
www.swlegal.ch
4
SCHELLENBERG WITTMER NEWSLETTER SEPTEMBRE 2007
personnelle, dont le traitement est soumis à la loi sur la protection
des données (LPD). L’utilisation de cette adresse n’est pas
illicite si elle est publiquement accessible, par exemple en
raison de sa présence sur son propre site Internet. Il faut
toutefois tenir compte du fait que l’envoi de messages publicitaires n’est admissible sous l’angle de la LCD qu’avec le
consentement du destinataire.