Le caractère urgent d’une crise et le contexte particulier que constitue un incident informatique nécessitent de ne pas tomber dans le piège de la précipitation. En effet, un ensemble de règles et de précautions doit être pris en compte par l’employeur afin d’être le plus respectueux possible des droits du salarié, notamment au regard du droit à la vie privée.
En effet, la remédiation d’une crise cyber peut nécessiter l’intervention des équipes techniques sur l’ordinateur d’un ou plusieurs salariés afin d’investiguer sur l’origine de l’incident (prélèvement des journaux d’évènements, analyse d’une pièce jointe vérolée…). À ce stade, même si les soupçons se dirigent vers le poste de travail d’un salarié, ce dernier n’est pas nécessairement considéré comme fautif. Il est possible d’imaginer, par exemple, qu’un tiers ait accédé frauduleusement à l’ordinateur.
Il convient de distinguer les investigations pour les besoins de la résolution technique de la crise avec celles ayant pour but la collecte des preuves contre un salarié. Ainsi, il est précisé ici qu’il ne sera pas traité de la question de l’utilisation des preuves recueillies lors de l’investigation afin d’établir la responsabilité du salarié, dans le cas d’une sanction par l’employeur ou d’un contentieux prud’hommal.
Lors d’une crise d’origine cyber, l’employeur peut-il contrôler le contenu de l’ordinateur professionnel du salarié et/ou le remettre aux équipes techniques de l’entreprise afin d’investiguer ?
I- Le respect obligatoire des règles en amont de l’investigation de l’ordinateur du salarié
La question de l’investigation de l’ordinateur professionnel d’un salarié devrait idéalement se faire en concertation avec les juristes, les RH, le DPO et les équipes techniques afin de ne pas commettre d’erreurs dans l’urgence de la situation de crise.
La nécessité d’un motif légitime et d’une proportionnalité au but recherché
- En droit, il est nécessaire pour l’employeur d’avoir un motif légitime pour contrôler l’ordinateur du salarié. En effet, le contrôle doit être justifié et proportionné au but recherché. L’unique curiosité de l’employeur ne suffit donc pas à constituer un motif légitime.
- La nécessité d’assurer la sécurité du réseau informatique – notamment la résolution d’une crise cyber – semble constituer un motif légitime.
En conclusion : la nécessité de remédier à l’incident dans le cas d’une gestion de crise cyber semble être proportionnée et constitue un motif légitime pour l’employeur afin d’accéder au contenu de l’ordinateur
La vérification préalable de la charte informatique/règlement intérieur/notes et procédures d’entreprise
- La CNIL recommande que les modalités d’accès aux données stockées sur l’environnement informatique d’un salarié soient préalablement définies en concertation et diffusées auprès des salariés. Il convient de vérifier si cette situation a été réglée en amont par une charte ou des notes internes.
- Si l’entreprise en possède une, il est possible que des dispositions soient prévues dans la charte informatique. Elle peut notamment prévoir des procédures spécifiques pour accéder au contenu des disques durs des salariés.
En conclusion : il faut prendre le réflexe de vérifier la charte informatique, si l’entreprise en possède une. À défaut, c’est une piste d’amélioration possible pour l’entreprise, en y faisant notamment figurer des dispositions spécifiques pour le cas d’une crise cyber.
Une autorisation du salarié non requise pour l’investigation de l’ordinateur
- L’autorisation du salarié n’est pas nécessaire pour accéder à son ordinateur professionnel. Il en va de même pour les périphériques qui y seraient connectés et considérés comme professionnels (une clé USB par exemple).
Une convocation du salarié non obligatoire en cas d’extrême urgence
- La présence du salarié pour intervenir sur son ordinateur n’est pas exigée en cas d’urgence, c’est-à-dire en cas de « risque ou évènement particulier ». [1]
- L’appréciation de cette urgence pourrait néanmoins être remise en question a posteriori. De ce fait, il serait préférable d’attendre la présence du salarié ou au moins de le prévenir lorsque cela est possible.
II – L’investigation de l’ordinateur d’un salarié par les équipes techniques et/ou l’employeur
Lorsque les vérifications nécessaires ont été effectuées et le cadre légal ainsi défini, il est possible de démarrer les investigations. Selon la situation, il peut être opportun d’investiguer à deux personnes minimum (RH, DPO, expert mandaté, etc.).
En outre, si l’employeur ou l’équipe technique a besoin d’un mot de passe pour accéder à l’ordinateur du salarié, ce dernier est dans l’obligation de le lui communiquer. [2]
Une prudence requise pendant l’investigation sur l’ordinateur du salarié
1) La distinction impérative entre les fichiers/courriels personnels et professionnels du salarié
- Les messages reçus ou envoyés sur la messagerie professionnelle revêtent, par principe, un caractère professionnel. L’employeur est donc en droit de les consulter en l’absence du salarié. De plus, les dossiers et fichiers créés par le salarié sur l’ordinateur, mis à disposition par l’employeur, sont également présumés avoir un caractère professionnel. [3]
- Néanmoins, si un fichier/dossier, ou l’objet d’un mail, indiquent la mention « Personnel » ou « Privé », l’employeur ne doit pas y accéder car il doit respecter le secret des correspondances. [4]
- Toutefois, en cas de risque ou évènement particulier, la jurisprudence maintient la possibilité, pour l’employeur, de consulter ces documents. On peut supposer que cela s’applique également dans le cas d’une gestion de crise cyber mais aucune jurisprudence ne vient l’attester à ce jour. De plus, le règlement intérieur peut contenir des dispositions restreignant le pouvoir de consultation de l’employeur, en le soumettant à d’autres conditions comme la présence nécessaire du salarié. [5]
- Il est également possible pour l’employeur de réaliser une copie intégrale du disque dur du salarié en l’absence de ce dernier. Le disque pourra ainsi être confié à un expert mandaté, qui exclura de son rapport les documents identifiés comme personnels. Lorsque la conservation des preuves est nécessaire, il est recommandé de faire appel à un huissier qui pourra réaliser un constat et être accompagné de l’expert en question.
2) Le rôle de l’administrateur réseau
- Lorsque l’objectif de sécurité du réseau informatique le nécessite, l’administrateur réseau peut consulter tous les mails des salariés, sans distinction de leur nature personnelle/privé. Toutefois, il ne peut pas en divulguer le contenu à l’employeur. Il s’agit donc d’un moyen d’investigation possible pour résoudre techniquement la crise et non pour collecter des preuves contre le salarié.
- Toutefois, la CNIL précise que cet accès « ne peut être justifié que dans les cas où le bon fonctionnement des systèmes informatiques ne pourrait être assuré par d’autres moyens moins intrusifs ». [6]
3) La présomption du caractère professionnel des données de connexion
- Les données de connexion du salarié (historique, favoris, etc.) sont présumées avoir un caractère professionnel, lorsqu’elles ont été établies grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son contrat de travail. L’employeur peut ainsi les consulter, sans que la présence du salarié ne soit requise. [7]
Le rappel du devoir de confidentialité de l’administrateur réseau
- La cour d’appel de Paris, le 17 décembre 2001, a précisé que : « Il est dans la fonction des administrateurs de réseaux d’assurer le fonctionnement normal de ceux-ci ainsi que leur sécurité ce qui entraîne, entre autres, qu’ils aient accès aux messageries et à leur contenu, ne serait-ce que pour les débloquer ou éviter des démarches hostiles ».
- L’administrateur réseau est ainsi tenu au secret professionnel, notamment lorsqu’il est susceptible de prendre connaissance, volontairement ou non, de correspondances privées ou de fichiers personnels des salariés.
- Cette obligation de confidentialité peut être rappelée dans la charte informatique de l’entreprise ainsi que dans le contrat de travail de l’administrateur réseau.
Ainsi, les investigations sur l’ordinateur d’un salarié doivent faire l’objet d’une particulière attention. Elles ne doivent pas se faire dans la précipitation afin de veiller à respecter les droits du salarié. Le recours à un avocat spécialisé peut également s’avérer opportun.
Vous souhaitez entraîner votre organisation
à la gestion de crise cyber ?
[1] Cour de cassation, chambre sociale, 17 mai 2005, n° 03‐40.017 : La convocation du salarié n’est pas exigée en cas de « risque ou événement particulier »
[2] Cour de cassation, chambre sociale, 18 mars 2003, n°01-41.343
[3] Cour de cassation, chambre sociale, 18 octobre 2011, n°10-26.782
[4] Cour de cassation, chambre sociale, 2 octobre 2001 « Nikon » : Le salarié a droit, même sur son temps et sur son lieu de travail, au respect de l’intimité de sa vie privée, qui inclut le secret des correspondances.
[5] Cour de cassation, chambre sociale, 26 juin 2012, n°11-15.310
[6] CNIL. Guide pour les employeurs et les salariés, 2008, p. 22.
[7] Cour de cassation, chambre sociale, 9 juillet 2008, n°06-45.800