Dimanche 13 Octobre 2013
Gare au surf incontrôlé des salariés

Citation : Eric A. Caprioli, Les contrats informatiques face à la jurisprudence récente, www.caprioli-avocats.com Première publication : avril 2008 Gare au surf incontrôlé des salariés Eric A. Caprioli, Docteur en Droit contact@caprioli-avocats.com


Une faille dans la sécurité des systèmes d’information peut entraîner une faille dans la sécurité juridique des contrats liés à la sécurité informatique Un arrêt de la Cour d'Appel de Paris 25ème chambre, section B, arrêt du 4 mai 2007 (1) vient de juger que le fait de laisser le personnel d’une entreprise se connecter sans contrôle à des sites considérés comme illicites est une faute contractuelle. Le contrôle de l’accès des salariés à l’Internet est nécessaire ; son encadrement passe par l’adoption d’une charte d’utilisation des moyens de communications électroniques (ce qui couvre tous les média : téléphonie fixe et mobile, réseaux numériques). Il s’agit de l’un des multiples aspects du droit de la sécurité des systèmes d’information. Il a pour but d’identifier les risques relevant des droits civil, social, pénal, commercial et d’y apporter un traitement adapté en fonction des besoins et de la politique de l’entreprise en ce domaine. Pour l’essentiel des règles applicables, on peut dire que certaines relèvent de la conformité légale (Loi Informatique, Fichiers et Libertés, Loi pour la confiance dans l’économie numérique, réglementation de la cryptologie, Code de la propriété intellectuelle, …), et que d’autres procèdent d’une véritable politique de sécurité de l’information (délégations de pouvoirs, gestion de la confidentialité, classement de l’information, chartes et politiques internes et externes, …). En préambule, avant d’examiner l’arrêt de la Cour d’appel de Paris, rappelons deux affaires typiques où la SSI a des incidences juridiques du fait du comportement des salariés de l’entreprise. L’entreprise est La responsable civilement des agissements de ses salariés Tout le monde dans la SSI se rappelle de la désormais célèbre affaire Lucent Technologie c./ Escota (2).. L’employeur avait été condamné solidairement avec son salarié au paiement de dommages et intérêts, suite à la diffusion par ce dernier d’une page personnelle sur le web critiquant une société tierce, laquelle se situait dans un secteur d’activité différent. La décision s’explique par la mise à disposition par l’entreprise des outils informatiques et de communication au profit des salariés ainsi que l’autorisation qu’ils avaient d’utiliser la messagerie et l’Internet. C’est ce que les juristes appellent la responsabilité du commettant du fait de ses préposés (article 1384, al.5 c. civ .). L’employeur doit donc intégrer la gestion de ce nouveau facteur de risques (l’utilisation à des fins privées des outils informatiques et de communication au profit des salariés) dans sa politique d’entreprise. Cela se traduit concrètement par l’édiction de règles précises en matière de communications électroniques dans le cadre des chartes informatiques. Il est utile de rappeler que dans le volet social de cette affaire, le salarié a été débouté de son action sur le fondement d’un licenciement abusif. La Cour d’appel d’Aix-en-Provence avait considéré que le salarié était « incontrôlable ». Depuis lors, de nouveaux risques comme les blogs, les réseaux sociaux, le web 2.0, la messagerie instantanée, ou les technologies liées à la mobilité doivent être appréhendés et faire l’objet de dispositions particulières adaptées aux activités des salariés L’utilisation de moyens de cryptologie par les employés peut se transformer en « faute grave » Un autre exemple mérite une attention particulière, celui de l’utilisation de moyens de cryptologie par les salariés. Dans une affaire jugée par la chambre sociale de la Cour de Cassation le 18 octobre 2006 (Eric A. Caprioli, note sous Cass. soc. 18 octobre 2006, Comm. Com. électr. Janvier 2007, p. 40 et s.) un salarié avait chiffré volontairement son poste informatique sans autorisation de la société. Or, le salarié qui revendiquait le statut de VRP auprès de l’employeur, avait chiffré le fichier client, élément essentiel du patrimoine informationnel de l’entreprise (3). La Cour de cassation a estimé que ce comportement constituait une faute grave (4). Lorsque l’entreprise devient responsable sur surf sur Internet de ses employés Mais pour la première fois, l’arrêt de la Cour d’appel de Paris du 4 mai 2007 vient qualifier l’absence de contrôle des sites visités par les salariés de l’entreprise de faute contractuelle à l’encontre de la société les employant. Dans la présente affaire, une société cliente avait conclu trois contrats en novembre 2003 avec un fournisseur : un contrat d’accès au réseau de télécommunications sur deux lignes en présélection, un contrat de location d'un système anti-virus et un contrat de location d’un système de sauvegarde de données informatiques, (copie des données déposées chez un tiers). Le fournisseur avait cédé le contrat de location du système de sauvegarde à la société KBC Lease, cession acceptée par le client (locataire). Or, le client, constatant que son système informatique était infecté par de nombreux virus, et rencontrant plusieurs difficultés avec le matériel mis en place, sans obtenir du fournisseur qu'il apporte une solution efficace, a résilié le contrat de sauvegarde des données informatiques ainsi que le contrat de protection antivirus, par lettre recommandée en date du 6 février 2004. Il e a de plus cessé de payer les loyers contractuels qu'il devait à la société KBC Lease. La société KBC Lease a donc assigné, le 11 octobre 2004 la société cliente pour la voir condamner à payer 9.801, 29 euros et à restituer le matériel loué. La société cliente a alors à son tour assigné le fournisseur pour voir constater la résiliation du contrat, pour la voir condamné à payer 9.801, 29 euros, ainsi qu’à des dommages intérêts et à restituer le matériel loué. Par un jugement du 2 novembre 2005 le Tribunal de Commerce de Paris a juge que « la présence de virus dans l'installation de la société DMS (le client) est la preuve que la société Normaction (le fournisseur) n'a pas correctement exécuté l'action anti-virus » de sorte que la société DMS était fondée à se prévaloir de l'exception d'inexécution et que les contrats étaient déclarés résiliés aux torts du fournisseur. Le fournisseur a interjeté appel de ce jugement devant la cour d'appel de Paris. Il appuie sa demande en alléguant que « les contrats de sauvegarde et de protection anti-virus excluent une garantie de sa part en cas de mauvaise utilisation du matériel » : tel avait été le cas de la société cliente qui avaient téléchargé des fichiers multimédia illicites, des fichiers de jeux et un fichier pornographique (Britney Spears, en fait un virus). A l’appui de sa demande, le fournisseur produit des rapports de sites sauvegardés, consultés par la cliente, sans aucun lien avec son activité professionnelle. La Cour d'appel de Paris a infirmé le jugement du Tribunal de Commerce de Paris en considérant que le fournisseur n’avait pas à « assurer une protection de la société DMS contre des virus contenus dans des sites informatiques étrangers à son activité, voire illégaux tels que les sites qui permettent de télécharger gratuitement des programmes habituellement payants ». En conséquence, « […] la société DMS, en laissant son personnel se connecter à de tels sites, a rendu, par sa faute, inefficace la protection que la société Normaction s’était engagée à lui fournir de sorte qu’elle ne pouvait invoquer la défaillance de la protection anti-virus comme un juste motif de la résiliation des contrats ». En pratique, la DSI, outre les dispositifs techniques et sécurité, matériels, logiciels et réseaux, dispose d’une large palette de documents pour encadrer la sécurité des systèmes d’information : politique de sécurité des systèmes d’information, charte d’utilisation du système d’information, charte prestataires et des tiers (stagiaires), accords de confidentialité, contrats de travail, Règlement Intérieur,…(5). Tout cela milite fortement pour une étroite collaboration avec la DRH et la direction juridique de l’entreprise. On comprend également que la jurisprudence intègre progressivement l’informatique et les technologies de l’information dans le cadre de la résiliation contractuelle. Les rédacteurs de contrats et de documents liés à la sécurité des systèmes d’information devront veiller à ne pas omettre ces nouveaux risques potentiels pour l’entreprise. Si la sécurité des systèmes d’information est l’affaire de tous, ses évolutions imposent que son management s’inscrive dans la durée et dans un processus de veille permanente, de sorte que l’organisation en tire profit en terme de performance. Notes (1) Décision disponible sur le site www.legalis.net (2) ( TGI Marseille, Première chambre civile, 11 juin 2003, Escota contre Lucent Technologies,http://www.juriscom.net; confirmé par la Cour d’appel d’Aix en Provence, 13 mars 2006, n° pourvoi : n°2006/170, disponible sur le site www.legalis.net) (3) voir Livre blanc sur le patrimoine informationnel de FEDISA et du CIGREF, disponible sur le site www.caprioli-avocats.com (4) Voir le nouveau régime de la cryptologie issu du décret du 2 mai 2007 relatif aux moyens et prestations de cryptologie (J.O. du 4 mai 2007, p. 7865 et s) et l’arrêté du 25 mai 2007 (J.O. du 3 juin 2007, p. 10013 et s.), Eric. A. Caprioli, La nouvelle réglementation sur la cryptologie : un cadre juridique enfin complet, Comm. Com. électr. 2007, comm. 128). (5) Eric A. Caprioli, Introduction au droit de la sécurité des systèmes d’information, in Droit et technique, Etudes à la mémoire du Professeur Xavier Linant de Bellefonds, éd. Litec, 2007, p. 75, diffusé sur le site www.caprioli-avocats.com



  • Ajouté : 13-10-2013
  • Modifié : 25-11-2013
  • Visiteurs : 4 992