Quizz juridique Olfeo : Internet en entreprise et filtrage 2000

Communiqué de presse
Quizz juridique Olfeo : Internet en entreprise et filtrage
2000 responsables informatiques (DSI, RSSI…)
ont testés leurs connaissances juridiques
Paris, le 25 septembre 2012, Olfeo, éditeur d’une solution de proxy et filtrage de contenus
permettant de sécuriser, optimiser et analyser les accès Internet, propose aux responsables
informatiques de tester leurs connaissances juridiques sur le thème du filtrage des accès
Internet en entreprise.
Plus de 2000 responsables informatiques (DSI, RSSI…) ont ainsi répondu à 10 questions du quizz
Olfeo sur des sujets telles que la charte, les logs, les données à caractère personnel, … (quizz
juridique Olfeo.)
Zoom sur les résultats :
 5% des participants ont fait un sans-faute au questionnaire
 23% des participants n’ont pas obtenu la moyenne (5/10)
 2 sujets semblent moins maîtrisés :
o La charte Internet
o La levée de confidentialité quant au surf d’un salarié
Voici le détail des résultats et les précisions d’Olfeo :
Question 1 - Qui est responsable des actes illicites sur Internet d’un salarié au sein de
l'entreprise ?
82,7 %
des participants pensent que l’employé, le dirigeant et la DSI engagent leur
responsabilité.
9,7 % pensent que seul l’employé est responsable
7,6 % pensent que seule la DSI est responsable
Quelques précisions :
Responsabilité du dirigeant :
Responsabilité civile (art. 1384 alinéa 5 du code civil) : « On est responsable (…) des
dommages que l'on cause de son propre fait, mais encore de celui qui est causé par le fait
des personnes dont on doit répondre (…) »
Responsabilité pénale (art. 121-1 et 2 du code pénal) : 121-2 : « Les personnes morales, à
l'exclusion de l'Etat, sont responsables pénalement (….) des infractions commises, pour leur
compte, par les organes dirigeants ou représentants »
Communiqué de presse
Responsabilité de l'employé :
Responsabilité civile (art. 1383 du code civil) : « Chacun est responsable du dommage qu'il a
causé non seulement par son fait, mais encore par sa négligence ou par son imprudence »
Responsabilité pénale (art. 121-1 du code pénal) : « Nul n'est responsable que de son propre
fait »
Responsabilité de la DSI :
La DSI est responsable au civil comme au pénal comme tous les salariés.
Mais en plus, la DSI peut être poursuivi pour négligence fautive de ne pas avoir informé et mis
en œuvre les moyens pour limiter les responsabilités de l'entreprise et du dirigeant.
En résumé : Le dirigeant peut donc être poursuivi en vertu de sa qualité de dirigeant, ceci
même s'il n'a pas personnellement pris part à la commission de l'infraction. Le salarié
également peut être poursuivi, encore faut-il prouver qu'il est bien l'auteur des actes et qu'il a
agi sans autorisation, hors du cadre de ses fonctions et hors du cadre de ses attributions.
Quant au personnel informatique, il peut être poursuivi pour ne pas avoir informé des risques
et des moyens à mettre en œuvre pour éviter des comportements déviants.
Question 2 - Une entreprise étrangère sur le sol français est-elle soumise à la législation
française ?
60,5 %
des participants pensent qu’une entreprise étrangère sur le sol français est soumise
à la législation française.
22,4 % pensent que c’est le cas, seulement si Internet est hébergé à l’étranger
17,1 % pensent que seule la législation du pays d’origine de l’entreprise compte
Quelques précisions :
Au civil, l'article 3 de la loi n° 66-537 du 24 juillet 1966 sur les sociétés commerciales et à
l'article 1837 du Code civil disposent que « Toute société dont le siège est situé sur le territoire
français est soumise aux dispositions de la loi française. Les tiers peuvent se prévaloir du siège
statutaire, mais celui-ci ne leur est pas opposable par la société si le siège réel est situé en un
autre lieu. »
Au plan pénal la chose est toute aussi simple et fixée par l'article L 113-2 du code pénal qui
précise que « La loi pénale française est applicable aux infractions commises sur le territoire
de la République. L'infraction est réputée commise sur le territoire de la République dès lors
qu'un de ses faits constitutifs a eu lieu sur ce territoire ».
Communiqué de presse
Question 3 : Les sites de jeux d'argent en ligne sont-ils reconnus comme des sites illégaux en
France ?
76,3 %
des participants pensent que les sites de jeux d’argent en ligne sont illégaux en
France à l’exception des sites labellisés par l’Arjel.
15,2 % pensent que les sites de jeux d’argent en ligne ne sont pas illégaux
8,5 % pensent que les sites de jeux d’argent en ligne sont tous illégaux
Quelques précisions :
L'article 1 et 3 de la loi n° 2010-476 du 12 mai 2010 relative à la concurrence et à la régulation
du secteur des jeux d'argent et de hasard en ligne : « Les jeux d'argent et de hasard ne sont
ni un commerce ordinaire, ni un service ordinaire ; dans le respect du principe de subsidiarité,
ils font l'objet d'un encadrement strict au regard des enjeux d'ordre public, de sécurité
publique et de protection de la santé et des mineurs. » « La politique de l'Etat en matière de
jeux d'argent et de hasard a pour objectif de limiter et d'encadrer l'offre et la consommation
des jeux [...] »
En résumé : Seul les jeux d'argent en ligne labellisés par l'ARJEL sont reconnus licites en
France.
Question 4 : La mise en place d'une Charte Internet est-elle obligatoire ?
42,3 % des participants pensent que cela dépend de la volonté du dirigeant.
34,1 % pensent que la mise en place d’une charte est obligatoire lorsque la DSI collecte des
données à caractère personnel
23,6 % pensent que ce n’est pas obligatoire
Quelques précisions :
Article L. 1222-4 du code du travail : « Aucune information concernant personnellement un
salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa
connaissance. »
En résumé : La charte Internet est obligatoire uniquement dans le cas où l'entreprise collecte
des données à caractère personnel sur les salariés : logs de connexion, durée de connexion
à certains sites, archivage de messagerie…
Communiqué de presse
Question 5 : La Charte Internet doit-elle obligatoirement autoriser l'usage personnel d'Internet
?
49,8 %
des participants pensent que la Charte Internet peut complètement interdire
l’usage personnel d’Internet sur le lieu de travail.
48,2 % pensent qu’elle peut autoriser l’usage personnel d’Internet dans les limites du
« raisonnable »
2 % pensent qu’elle doit obligatoirement l’autoriser
Quelques précisions :
Selon la CNIL : Pour être valide, la charte Internet doit obligatoirement autoriser l'usage
personnel d'Internet sur le lieu de travail dans les limites du « raisonnable », au nom du droit à
sa liberté résiduelle. Si la Charte Internet ne respecte pas ce droit, elle est caduque.
Question 6 : Lorsque que la DSI récolte des données à caractère personnel, les salariés
doivent-ils en être informés ?
41,6 % des participants pensent qu’il suffit d’informer le Comité d’entreprise.
39,2 % pensent que les salariés doivent être informés
19,2 % pensent que les salariés ne doivent pas être informés
Quelques précisions : Article L. 1222-4 du code du travail : « Aucune information concernant
personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté
préalablement à sa connaissance. »
En résumé : Cela signifie que lors de l'introduction d'une nouvelle technologie qui collecte
des données à caractère personnels, le salarié doit obligatoirement être informé des objectifs
poursuivis, du caractère obligatoire ou facultatif de leurs réponses, des modalités de
l'exercice de leurs droits.
Communiqué de presse
Question 7 : Toute collecte de données à caractère personnel doit-elle faire l'objet d'une
déclaration à la CNIL ?
54.2 %
des participants pensent que la collecte de données à caractère personnel doit
faire l’objet d’une déclaration CNIL sauf si l’entreprise possède un Correspondant
Informatique et Liberté.
36,7% pensent que cela ne concerne que les entreprises de plus de 200 salariés
9,1% pensent que l’entreprise doit faire une déclaration à la CNIL même en présence d’un
CIL
Quelques précisions :
Article 22 de la loi informatique et liberté : « (...) les traitements automatisés de données à
caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de
l'informatique et des libertés.»
Les traitements pour lesquels le responsable a désigné un correspondant à la protection des
données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect
des obligations prévues dans la présente loi sont dispensés des formalités (...)
Question 8 : Le DSI a-t-il le droit de consulter les logs individuels après une déclaration
préalable à la CNIL ?
51,1 % des participants pensent que oui, si cela relève des objectifs de sécurité.
29,7 % pensent qu’il en a le droit, dans tous les cas
19,2 % pensent qu’il n’en a pas le droit
Quelques précisions :
Selon la CNIL : L'accès aux données (…) ne peut être justifié que dans les cas où le bon
fonctionnement des systèmes informatiques ne pourrait être assuré par d'autres moyens
moins intrusifs.
De même, les administrateurs de réseaux et systèmes ne doivent pas divulguer des
informations qu'ils auraient été amenés à connaître dans le cadre de leurs fonctions, et en
particulier lorsque celles-ci sont couvertes par le secret des correspondances ou relèvent de
la vie privée des utilisateurs et ne mettent en cause ni le bon fonctionnement technique des
applications, ni leur sécurité, ni l'intérêt de l'entreprise.
C'est également la conclusion de l'arrêt en date du 17 décembre 2001. La Cour d'appel de
Paris a apporté un éclairage nouveau qui contribue à définir le rôle de l'administrateur
réseau dans toutes entreprises. Selon cet arrêt, il relève donc bien de la fonction
d'administrateur réseau d'en contrôler l'usage d'Internet, ce qui implique nécessairement
l'accès à des données personnelles et à leur contenu.
Communiqué de presse
Question 9 : La DSI peut-elle donner des informations sur le temps de surf d'un salarié en
particulier à la demande de l’employeur ?
55,6% des participants pensent que cela est autorisé, si un dossier de licenciement est en
cours.
43,2 % des participants pensent que cela est illégal
1,2 % des pensent que la DSI en a le droit
Quelques précisions :
Selon la CNIL, il y a levé de confidentialité si les comportements des utilisateurs ne remettent
pas en cause le bon fonctionnement technique des applications, ni leur sécurité, ni l'intérêt
de l'entreprise.
On peut donc s'interroger sur le fait qu'un comportement illicite sur Internet, voir une utilisation
abusive d'Internet puisse nuire à l'intérêt de l'entreprise. par conséquent il y aurait levée de
confidentialité dans ces cas au regard de la CNIL.
Le cas de jurisprudence Martin de 2008 apporte également un éclairage nouveau - Cass.
Soc., 09-07 2008. Selon ce jugement, les données de connexions à Internet ne relèvent pas
du domaine de la vie privées sur le lieu de travail et sont présumées professionnelles. Par
conséquent, le personnel informatique serait en droit de divulguer des informations
concernant l'utilisation d'Internet d'un salarié au dirigeant puisque ces données ne relèvent
pas de la vie privé et que sur le lieu de travail, elles sont présumées être professionnelles.
En résumé : La DSI a tout intérêt à avoir mis en garde un guide des opérations de contrôle et
de maintenance pour savoir comment réagir par rapport à son obligation de confidentialité :
Information au DG ou une autre personne selon ce qui est statué sur le transfert de
responsabilité, décision, … conservation des preuves, plainte si besoin afin de se protéger de
situation grave.
Communiqué de presse
Question 10 : Combien de temps les entreprises doivent-elles conserver les logs ?
52,9 % des participants pensent que la conservation des logs est de 1 an.
42,8 % pensent que les logs doivent être conservés 3 ans
4,3 % pensent que 6 mois suffisent
Quelques précisions :
En matière de logs, il existe une combinaison de plusieurs dispositions qui stipulent des durées
de conservation variables :
La directive européenne prévoit une durée minimale de 6 mois et maximal de 2 ans.
-> L'article 6 de la loi pour la confiance dans l'économie numérique prévoit une durée de 1
an.
-> La Loi relative à la lutte contre le terrorisme préconise 1 an.
-> La CNIL recommande 6 mois à des fins de contrôle des utilisateurs.
En résumé : Dans le respect des lois françaises et au vu du cas de jurisprudence BNP,
condamnée pour ne pas avoir pu fournir les logs nominatifs lors d'une réquisition judiciaire, il
est recommandé de conserver 365 jours de logs de connexion.
Conclusion
Le cadre juridique d’Internet tend à se préciser au fil du temps et des nouveaux cas de
jurisprudence ne cessent de faire évoluer l’encadrement de l’utilisation d’Internet au bureau.
Une chose est certaine en matière d’Internet au bureau, au regard des dernières lois et
jurisprudences, si l’entreprise se conforme au droit, elle dispose d’important levier de contrôle
et de sanction envers les salariés.
A propos d’Olfeo :
Olfeo, éditeur français d’une solution de proxy et de filtrage de contenus Internet est une société
indépendante basée à Paris et Bordeaux. Créée en 2003, l’entreprise développe une solution adaptée
aux besoins des entreprises et des administrations françaises grâce à une approche innovante basée
sur la proximité culturelle. L’entreprise garantit ainsi à ses clients une protection juridique optimale
(grâce à une collaboration étroite avec Maître Eric Barbry, avocat au barreau de Paris et directeur du
pôle « Droit du numérique » du cabinet Alain Bensoussan*), une qualité de filtrage inégalée, une haute
sécurité du système d’information et l’association des utilisateurs à la politique de sécurité.
La solution Olfeo permet de maitriser l’ensemble des accès et l’utilisation d’Internet en entreprise grâce
à une suite de 5 produits complémentaires : le Filtrage d’url, le Filtrage protocolaire, le Proxy cache QoS,
l’Antivirus de flux, et le Portail public. Grâce à sa console d’administration unique, Olfeo dispose d’une
grande richesse fonctionnelle et d’une administration simplifiée. Disponible sous format appliance,
virtuelle, logicielle et Saas, la solution s’intègre facilement aux architectures existantes.
Olfeo compte actuellement plus de 1.000 clients satisfaits, représentant plus de 2 millions d’utilisateurs.
Pour plus d’informations : www.olfeo.com
Communiqué de presse
* Ce pôle regroupe les départements « Internet Conseil », « Internet Contentieux », « sécurité des systèmes
d’information », « Informatique & libertés privé », « informatique et libertés public » et « marketing & publicité
électronique ».
Contacts presse
OLFEO
Emilie NEIGE
Responsable communication
+33 1 78 09 67 91
[email protected]
Agence RP : CYMBIOZ
Laëtitia Berché
+ 33 1 42 97 93 30
+ 33 6 14 48 02 95
[email protected]