Evolution de la jurisprudence en matière de protection Internet

Transcription

1 Étude realisée pour la société Isabelle Renard Docteur Ingénieur Avocat associée august&debouzy Evolution de la jurisprudence en matière de protection Internet Parution Trimestrielle Mars 2006

2 SOMMAIRE 1 - L enjeu fondamental en matière de sécurité informatique : se comporter en professionnel diligent 2 - L enjeu de la surveillance des s des salariés 2.1 Les trois principes fondateurs du Code du Travail 2.2 L évolution de la jurisprudence : nouveaux arrétés, nouvelles lois en vigueur 2.3 La CNIL 2.4 Les activités illicites à surveiller 3 - Les risques et la responsabilité de l entreprise 3.1 Une mauvaise utilisation d Internet par les salariés due à la méconnaissance des menaces 3.2 La responsabilité de l entreprise du fait d un préjudice causé à un tiers par l activité d un salarié utilisant le système d information de l entreprise 3.3 La possible mise en cause des dirigeants 2

3 1. L ENJEU FONDAMENTAL EN MATIERE DE SECURITE INFORMATIQUE : SE COMPORTER EN PROFESSIONNEL DILIGENT Code civil Droit des sociétés Outil logiciel Sécurité du système d information L ouverture des entreprises au réseau a créé des risques nouveaux, dont la frontière recule chaque jour un peu plus. En matière de sécurité informatique, il n y a pas de «zéro défaut» ou de parade absolue. En cas de litige mettant en cause une entreprise au travers du comportement délictueux d un de ses employés sur Internet, les magistrats tiendront compte des diligences et des moyens mis en œuvre pour prévenir de tels incidents. 3

4 Ce raisonnement est celui qui est utilisé depuis toujours par les magistrats pour définir la norme comportementale dans un contexte donné : en deçà de cette norme, la responsabilité de la personne ou de l entreprise en cause sera retenue. Si au contraire son comportement a été celui du «bon père de famille», pour reprendre les termes du Code Civil, il pourra bénéficier de l indulgence des tribunaux. La notion de «bon père de famille» se retrouve dans de nombreux textes du Code Civil, le plus important étant l article 1137 qui fonde toute la théorie de la faute contractuelle : «L obligation de veiller à la conservation de la chose [...] soumet celui qui en est chargé à y apporter tous les soins d un bon père de famille». En matière de responsabilité civile délictuelle, l article 1383 du Code Civil, dispose que «chacun est responsable du dommage qu il a causé non seulement pas son fait, mais encore par sa négligence ou par son imprudence». En matière pénale, s agissant des crimes ou des délits, la mise en cause de la responsabilité d une personne physique ou morale suppose de sa part l intention de commettre le crime ou le délit considéré. Or, cet élément intentionnel est en pratique souvent présumé, dès lors qu il y a eu imprudence ou négligence au regard d une obligation prévue par la loi. Aujourd hui, la notion de «bon père de famille» est utilisée en droit des sociétés pour apprécier le comportement du dirigeant, et elle a d ores et déjà pénétré le domaine informatique. [Lamy Droit de l informatique et des réseaux avril 2005]. Pour la Cour de Cassation, la notion du «bon père de famille» se réfère, s agissant de professionnels, au comportement «précis du bon professionnel de sa catégorie». En matière technique, le comportement du «bon professionnel» sera évalué au regard de l état de l art. S agissant d outils de surveillance Internet, l état de l art consiste en la mise en œuvre des outils logiciels disponibles sur le marché pour répondre à un besoin donné, dans le cadre d un rapport qualité/prix cohérent avec la nature du risque supporté par l entreprise (qui dépend de son activité). Le «bon père de famille» des temps modernes est conscient de la nécessité d assurer la sécurité du système d information de son entreprise, et pour ce faire met en place les moyens humains, financiers, techniques et organisationnels nécessaires. La dépendance des entreprises à leur système d information est devenue très forte, et il est étonnant de constater à quel point le risque afférent au système d information est sous-estimé, voire ignoré, par de nombreux dirigeants. 4

5 2. L ENJEU DE LA SURVEILLANCE DES S DES SALARIES Il existe au sein des entreprises françaises une croyance ancrée selon laquelle il serait impossible d exercer un contrôle sur les s entrant et sortant des salariés. Il suffirait donc à un salarié indélicat d apposer «personnel» sur un pour sortir sans encombre tout le fichier client de l entreprise sans que celle-ci puisse rechercher sa responsabilité. Cette croyance est erronée : s il est vrai que l entreprise ne peut pas ouvrir les s de ses salariés de façon systématique et non encadrée, il est en revanche certain que l entreprise peut mettre en place des mesures de surveillance du réseau dès lors que celles-ci sont transparentes, qu elles sont portées à la connaissance des salariés et qu elles sont proportionnées au but recherché. Les trois principes fondateurs du Code du Travail L évolution de la jurisprudence : nouveaux arrétés, nouvelles lois en vigueur La CNIL Les activités illicites à surveiller 5

6 LES TROIS PRINCIPES FONDATEURS DU CODE DU TRAVAIL Article L120-2 du Code du Travail : PRINCIPE DE PROPORTIONNALITÉ «Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché» Article L121-8 du Code du Travail : PRINCIPE DE TRANSPARENCE «Aucune information concernant personnellement un salarié [...] ne peut être collectée par un dispositif qui n a pas été porté préalablement à la connaissance du salarié [...]» Article L432-2 du Code du travail : PRINCIPE DE DISCUSSION COLLECTIVE «Le comité d entreprise est informé et consulté préalablement à tout projet important d introduction de nouvelles technologies, lorsque celle-ci sont susceptibles d avoir des conséquences sur [...] la formation ou les conditions de travail du personnel». La mise en place de toute mesure de surveillance de l activité des salariés sur Internet doit se faire dans le respect de ces trois principes. L EVOLUTION DE LA JURISPRUDENCE : NOUVEAUX ARRETES, NOUVELLES LOIS EN VIGUEUR Arrêt «NIKON» - C. Cass, Chambre sociale, 2 octobre 2001 «Le salarié a droit, même au temps et au lieu du travail, au respect de l intimité de sa vie privée ; celle-ci implique en particulier le secret des correspondances. L employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l employeur aurait interdit l utilisation personnelle de son ordinateur». Cet arrêt est souvent interprété de façon hâtive comme interdisant tout contrôle de la messagerie, mais il est indispensable de connaître les faits de l espèce : l employeur avait ouvert, sans en informer le salarié, non pas un mais un fichier intitulé «personnel» qui résidait sur le Macintosh mis à disposition du salarié. La solution est maintenant clairement donnée par le dernier arrêt cité ciaprès : sauf risque ou évènement particulier, l employeur peut consulter le disque dur du salarié, en sa présence. 6

7 CA Paris, 17 décembre 2001 «La préoccupation de la sécurité du réseau justifiait que les administrateurs de systèmes et de réseaux fassent usage de leurs positions et des possibilités techniques dont ils disposaient pour mener les investigations et prendre les mesures que cette sécurité imposait de la même façon que la Poste doit réagir à un colis ou une lettre suspecte. Par contre la divulgation du contenu des messages [...] ne relevait pas de ces objectifs.» Cet arrêt reconnaît le droit des entreprises à mettre en place des mesures de surveillance justifiées par des impératifs de sécurité. CA Bordeaux, 1 er juillet 2003 (Reprend mot pour mot l'arrêt NIKON) «Le salarié a droit, même au temps et au lieu du travail, au respect de l intimité de sa vie privée, qui implique en particulier le secret des correspondances. L employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l employeur aurait interdit l utilisation personnelle de son ordinateur» Dans cette espèce, l employeur prétendait sans preuve que la salariée avait échangé des mails à caractère pornographique, alors même que cette salariée avait fait l objet de harcèlement sexuel au sein de l entreprise. L employeur ne s était réservé aucun moyen de prouver de façon objective ce qu il reprochait à la salariée, comme l aurait permis un outil de détection de mots clés. CA Besançon, 9 septembre 2003 «L obligation de loyauté lui incombant implique que M. H. ne pouvait utiliser le matériel de l entreprise à des fins personnelles, peu important que l employeur ne lui ait pas notifié préalablement cette prohibition». Dans cette espèce, le salarié avait utilisé son ordinateur professionnel, pendant les heures de travail, pour réaliser un site web à des fins personnelles. L employeur a obtenu gain de cause en produisant les traces informatiques de toutes les opérations (notamment téléchargement de logiciel) auxquels il s était livré pour ce faire. 7

8 Arrêt NORTEL - C.Cass, Chambre Criminelle, 19 mai 2004 «Attendu que, pour déclarer M. X. coupable d abus de confiance, l arrêt énonce [...] que son employeur avait mis à sa disposition, pour les besoins de son activité professionnelle, un ordinateur et une connexion internet qu il a utilisés pour visiter des sites à caractère érotique et pornographique et pour stocker, sur son disque dur, de très nombreux messages et photographies de même nature ; que les juges ajoutent que M. X. utilisait la messagerie ouverte à son nom au sein de la société qui l employait pour des envois ou des réceptions de courrier se rapportant à des thèmes sexuels [...]» Dans cette espèce, l employeur avait pu produire tous les logs de l employé indélicat. La Cour de Cassation confirme que le comportement de l employé était constitutif d abus de confiance, et approuve la Cour d Appel pour avoir condamné M. X. à payer euros de dommages et intérêts à son employeur pour atteinte à son image de marque et à sa réputation. C. Cass, Chambre Sociale, 12 octobre 2004 (Reprend mot pour mot l'arrêt NIKON) «Le salarié a droit, même au temps et au lieu du travail, au respect de l intimité de sa vie privée, qui implique en particulier le secret des correspondances. L employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l employeur aurait interdit l utilisation personnelle de son ordinateur» Dans cette espèce, l employeur avait pris connaissance des s échangés par la salariée en cause en consultant directement son ordinateur personnel, sans l en avertir. C. Cass, Chambre Sociale, 17 mai 2005 «Sauf risque ou évènement particulier, l employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l ordinateur mis à sa disposition qu en présence de ce dernier ou celui-ci dûment appelé». 8 Cet arrêt est fondamental, car il apporte un aménagement très conséquent à la jurisprudence précédente, qui semblait interdire de façon «absolue» la consultation de dossiers «personnels» : il implique que dès lors qu une irrégularité est soupçonnée (par exemple au travers des relevés d outils de surveillance), l employeur peut prendre connaissance des dossiers en cause dès lors qu une procédure est respectée.

9 Plusieurs enseignements sont à retenir de ce rapide panorama : 1. Les arrêts doivent toujours être analysés en fonction des faits de l espèce, car des conclusions hâtives sont souvent titrées par les commentateurs, et reprises par la presse, sans aucune référence au contexte. 2. Les juges évoluent vers une reconnaissance de la nécessité pour l employeur d encadrer ses risques. 3. Les juges sanctionnent les employeurs lorsque les contrôles sont effectués à l insu des salariés. En revanche, ils acceptent les preuves collectées loyalement, par exemple au moyen d outils de surveillance dont l existence et le fonctionnement a préalablement été porté à la connaissance des salariés. Jurisprudence Cour d Appel de Rouen, Ludothèque Rayon de soleil / Eric D., 3 mai 2005 La preuve informatique justifiant un licenciement pour faute doit être sans équivoque. Dans cette affaire, le jeune employé d une ludothèque se fait licencier pour faute grave : il aurait téléchargé par internet et installé sur un ordinateur de la ludothèque divers fichiers et images pornographiques. L affaire arrive devant la Cour d Appel, qui considère que le licenciement est sans cause réelle et sérieuse puisque la ludothèque n a pas été en mesure d apporter la preuve que c était bien cet employé là qui avait «importé» les fichiers litigieux : or, «Il appartient à l employeur de démontrer que le salarié serait à l origine des faits qui lui sont reprochés». En l occurrence, l ordinateur était à la disposition de tous les utilisateurs de la ludothèque. Bien que l employé ait reconnu les faits lors de son entretien préalable, bien que les fichiers aient été classés dans un dossier portant son nom, d après les magistrats rien ne prouve que ce soit lui qui les y ait mis «dans la mesure où il n existait aucune sécurité, faute d un code d accès personnel à chaque usager». Législation : Le nouveau régime de la conservation des données de connexion La loi Sarkozy du 23 janvier 2006 relative à la lutte contre le terrorisme modifie les obligations des opérateurs de communications électroniques relatives à la conservation des données de trafic. Le nouvel article L34-1 I du CPCE, dispose que les personnes qui, au titre d une activité professionnelle 9

10 principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l intermédiaire d un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques. Cela concerne toutes les sociétés qui offrent à leur client un accès internet en libre service, ou par borne wifi : les business center des hôtels, les cybercafés, les halls d accueil des entreprises. La liste précise des données à conserver sera établie par décret. Il s agira de données techniques relatives à l identification des numéros d abonnement ou de connexion à des services de communications électroniques, au recensement de l ensemble des numéros d abonnement ou de connexion d une personne désignée, aux données relatives à la localisation des équipements terminaux utilisés ainsi qu aux données techniques relatives aux communications d un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications. Rappelons que l obligation de conservation des données de connexion faite aux opérateurs de communications électroniques a été initialement introduite en France par la loi sur la sécurité quotidienne du 15 novembre Selon ce texte, elle ne peut excéder une année. Cette durée va peut être changer puisque l Union européenne est en passe d harmoniser la durée de conservation obligatoire des données de connexion internet et téléphoniques. Celles-ci pourraient être transmises aux autorités judiciaires ou de police en cas de «crime grave» comme la préparation d actes terroristes (ce qui implique la mise en place d un système de filtrage par mots clés), et leur durée de conservation sera identique dans tous les Etats Membres (une durée de l ordre de 6 à 24 mois est actuellement débattue). Evenement : Le FDI (Forum des droits sur l internet) publie un dossier «Relations du travail et internet» Le dossier très complet publié par le FDI le 26 janvier 2006 dresse un panorama législatif et jurisprudentiel de la question de l internet au travail. Parmi les aspects abordés on retiendra plus particulièrement : Un rappel de l incertitude qui règne actuellement sur le point de savoir si les entreprises peuvent ou non être qualifiées de fournisseurs d accès, suite à la décision rendue par la Cour d appel de Paris le 5 février 2005 (SA BNP Paribas c/ Société World Presse Online). Si tel est le cas, toutes les entreprises sont tenues de tenir un journal des connexions pendant une durée conforme à la loi. 10

11 La licéité des moyens de contrôle Le FDI rappelle qu en matière de cybersurveillance, l employeur engage sa responsabilité du fait des agissements de ses salariés, mais que la contrepartie est la possibilité pour l employeur de pouvoir exercer efficacement son pouvoir de contrôle. Ce pouvoir de contrôle s exerce au moyen d outils de surveillance qui doivent être «licites», ce qui signifie qu ils doivent respecter un certain nombre de principes et de conditions dont notamment : l information préalable des salariés (article L121-8 du Code du Travail), la déclaration des outils à la CNIL. Le FDI rappelle que, dans son arrêt du 6 avril 2004, la Chambre Sociale de la Cour de Cassation a considéré qu un moyen de contrôle non déclaré à la CNIL ne peut pas être utilisé envers un salarié pour prouver sa faute. Consultation de sites pornographiques et pédophiles plus de huit heures par mois ; Envoi d un courrier antisémite via l adresse professionnelle. S agissant toujours de la preuve de la faute du salarié par des moyens informatiques, le FDI considère qu il ressort de l analyse de la jurisprudence qu en matière civile, plusieurs conditions doivent être réunies et notamment : Il faut pouvoir imputer de façon certaine la faute au salarié : problème de l origine exacte d un et de la sécurité d accès des moyens informatiques. Il faut prouver que les faits se sont déroulés pendant le temps de travail, au moyen de relevés fiables des logs. De façon très concrète, le FDI donne quelques exemples de comportements, détectés régulièrement par l employeur au moyen de ses outils de surveillance, qui ont été admis par les tribunaux comme pouvant constituer une faute grave du salarié justifiant son licenciement : Création d un site web personnel à caractère sadomasochiste en utilisant l adresse professionnelle ; Communication à un concurrent d informations couvertes par le secret bancaire ; 11

12 LA CNIL La mise en oeuvre d outils de surveillance de l activité des employés sur Internet est un traitement de données nominatives qui doit être déclaré à la CNIL, conformément aux dispositions de la loi n du 6 août 2004 relative à la protection des personnes physiques à l égard des traitements de données à caractère personnel (modifiant la loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés). Cette déclaration est indispensable, car il a été jugé à plusieurs reprises par la Cour de Cassation que les preuves issues d un système non déclaré à la CNIL n étaient pas recevables devant les tribunaux. Ainsi, les informations recueillies par le biais d un logiciel de surveillance non déclaré, même si celui-ci a dûment été présenté aux salariés, seraient inutilisables lors d un litige. La CNIL a publié le 5 février 2002 un rapport sur la cybersurveillance sur les lieux de travail, auquel il est intéressant de se rapporter, car les positions prises par la CNIL influencent les magistrats. La CNIL évoque la nécessaire recherche d un équilibre entre les intérêts de l entreprise et le respect de la vie privée des salariés, elle rappelle les principes fondateurs évoqués cidessus et insiste sur le principe de proportionnalité. Dans un communiqué du 26 juin 2005, publié suite à l arrêt rendu le 17 mai 2005 par la Cour de Cassation, la CNIL précise que ce principe signifie que l employeur doit produire une justifi cation précise à chaque fois qu il envisage d accéder à des fichiers de nature personnelle. Tout dispositif de surveillance qui permet de fournir des indices de nature à justifier une telle investigation permet de respecter ce principe de proportionnalité. La CNIL considérait d ailleurs, dans son rapport précité, que les dispositifs de surveillance par mots clés étaient tout à fait licites : «Des exigences de sécurité particulières peuvent conduire l entreprise ou l administration à mettre en place un dispositif d analyse des messages au regard d une liste de mots clés. Dans cette hypothèse particulière, le risque de détournement du dispositif peut légitimement conduire l entreprise à ne pas révéler les mots clés aux utilisateurs». 12

13 LES ACTIVITES ILLICITES A SURVEILLER La loi n du 21 juin 2004 pour la confiance dans l économie numérique (LCEN) identifie trois types d activité particulièrement illicites et contraires à l intérêt général : l apologie des crimes contre l humanité, l incitation à la haine raciale et la pornographie enfantine. La loi met à la charge des fournisseurs d accès et des hébergeurs une obligation, à peine de sanctions pénales, de dénoncer aux autorités compétentes toute activité de ce type. En théorie, les entreprises ne sont pas des hébergeurs ou des fournisseurs d accès. Pourtant, une décision de la Cour d Appel de Paris du 4 février 2005 a assimilé un établissement bancaire à un fournisseur d accès. Lors d un litige, les magistrats pourraient considérer que les obligations précitées de la LCEN s appliquent à une entreprise dont l hébergement ou l accès n est pas le coeur de métier, dès lors que celle-ci fournit un accès réseau et des moyens Internet à ses salariés. En tout état de cause, le caractère particulièrement répréhensible des trois activités précitées justifie et impose que l entreprise mette en place des moyens lui permettant de les détecter. Indépendamment du point de savoir si elle est tenue ou non d une obligation de dénonciation, il pourrait en effet être reproché à une entreprise d avoir facilité l exercice d une telle activité par ses salariés en lui fournissant des moyens informatiques. 13

14 3. LES RISQUES ET LA RESPONSABILITE DE L ENTREPRISE Une mauvaise utilisation d Internet par les salariés due à la méconnaissance des menaces La responsabilité de l entreprise du fait d un préjudice causé à un tiers par l activité d un salarié utilisant le système d information de l entreprise La possible mise en cause des dirigeants 14

15 UNE MAUVAISE UTILISATION D INTERNET PAR LES SALARIES DUE A LA MECONNAISSANCE DES MENACES De nombreux salariés n ont pas conscience du danger que peut représenter pour l entreprise une utilisation inconsidérée de l Internet : ils vont télécharger en peer to peer des images ou des sons piratés, ils vont permettre une usurpation de leur adresse Internet, ils vont ouvrir sans y prendre garde des s porteurs de virus de plus en plus sophistiqués. La première conséquence de ces comportements est économique, par perte de productivité. L entreprise doit à cet égard se protéger de ses propres salariés, en se dotant des moyens d empêcher que ces derniers, même de bonne foi, ne puissent conduire à sa mise en cause. Il ne faut en effet pas oublier que plusieurs décisions ont condamné des entreprises sur le fondement du principe très général de la responsabilité du fait des choses (article 1384 du Code Civil), la chose étant entendue comme le système d information mis à disposition du salarié. Mais il y a également des conséquences juridiques que n envisagent pas les salariés : un salarié qui utilise son adresse professionnelle pour se livrer à du trafic d images pornographiques nuit gravement à l image de son employeur ; de même, le salarié qui télécharge des fichiers en peer to peer n imagine pas que, au-delà de sa propre responsabilité pour contrefaçon, c est également celle de son employeur qui pourrait être recherchée, dans le sillon de la décision rendue en juin 2005 par la Cour Suprême des Etats-Unis. 15

16 LA RESPONSABILITE DE L ENTREPRISE DU FAIT D UN PREJUDICE CAUSE A UN TIERS PAR L ACTIVITE D UN SALARIE UTILISANT LE SYSTEME D INFORMATION DE L ENTREPRISE En utilisant les moyens informatiques et réseau de l entreprise, un salarié peut se livrer à des actes de diffamation ou de dénigrement, il peut s introduire frauduleusement dans le système d information d un tiers, il peut envoyer des spams, etc. En théorie, les mécanismes de droit commun de la responsabilité civile ou pénale permettent de désigner de façon claire le véritable responsable du préjudice, qui est en général le salarié. Mais l analyse des décisions de jurisprudence montre que la réalité est autre, et que l entreprise se retrouve souvent désignée comme coresponsable, voire seule responsable, du préjudice subi par le tiers du fait des agissements de son salarié. La seule façon pour l entreprise de supprimer ou d atténuer fortement sa responsabilité dans une telle hypothèse est de prouver qu elle avait mis en place tous les moyens «à l état de l art» pour éviter qu un tel préjudice puisse se produire. 16

17 Affaire «Kitetoa» C.A. Paris 20 octobre 2002 «Il ne peut être reproché à un internaute d accéder aux données [...] par la simple utilisation d un logiciel grand public de navigation, ces parties de site, qui ne font l objet d aucune protection de la part de l exploitant, devant être réputées non confidentielles à défaut de toute indication contraire et tout obstacle à l accès». La société Tati s est vue expliquer qu il ne fallait pas se plaindre de ce qu un hacker malicieux ait pénétré son système d information pour y détourner des fichiers contenant des données personnelles de clients, puisque qu elle n avait mis en œuvre aucune protection à l accès de ces fichiers. Affaire «LUCENT», TGI Marseille, 11 juin 2003 Un salarié de Lucent Technologies avait mis en ligne depuis son poste de travail professionnel un site personnel créé à partir de l entreprise comportant des mentions contrefaisantes, injurieuses et pornographiques à l encontre de la société ESCOTA. Le salarié et Lucent Technologies ont été solidairement condamnés à verser à ESCOTA euros de dommages et intérêts, au motif suivant : «La libre consultation des sites Internet était autorisée et aucune interdiction spécifique n était formulée quant l éventuelle réalisation de sites Internet ou de fournitures d information sur des pages personnelles. Il y a donc lieu de constater que la faute de M. B. a été commise dans le cadre des fonctions auxquelles il était employé et de déclarer la société LUCENT Technologies responsable sur le fondement de l article 1384 Alinéa 5 du Code Civil». En l espèce, l employeur a été sanctionné pour son manque de diligence : pas d outils de surveillance, par de charte informatique claire sur les limites de l usage d Internet par ses salariés. 17

18 C.Cass, Chambre Civile 2, 19 juin 2003 Mme B. était salariée d un agent d assurance, qui découvre que celle-ci a commis des détournements au préjudice de la compagnie d assurance, en utilisant un système informatique qui état mis à disposition de l agent par la compagnie d assurance. La compagnie d assurance assigne l agent en réparation du préjudice, en tant qu employeur de la salariée indélicate. La compagnie d assurance est déboutée de sa demande en réparation car : «Mme B. a commis des détournements pendant son temps de travail et dans les locaux de son employeur, mais elle les a réalisés en utilisant les moyens informatiques mis à la disposition de l agence par la Compagnie [...], que le logiciel fourni par la compagnie d assurance ne permettait pas à l agent de contrôler les activités de son employé et qu en définitive ce sont les carences du système informatique qui ont permis à Mme B. d agir à l insu de son employeur pour déclarer de faux sinistres, payer ses dettes personnelles et s enrichir par le biais d escroqueries». Dans cette espèce, il apparaît clairement que le responsable d un système d information qui ne met pas en oeuvre les outils de contrôle et de surveillance de l utilisation par les salariés doit être tenu responsable des préjudices en résultant. 18

19 LA POSSIBLE MISE EN CAUSE DES DIRIGEANTS La plupart des données stratégiques et confidentielles des entreprises résident sur leur système d information. Dans certains domaines d activité, c est même tout le «fonds de commerce» de l entreprise qui s y trouve : développements logiciels, résultats de recherche, savoir faire. Le détournement malveillant d une information stratégique, telle que par exemple le plan de croissance externe de l entreprise, peut avoir des conséquences catastrophiques. Les conséquences juridiques pourraient être graves pour les dirigeants de l entreprise qui, par leur négligence dans la gestion et la protection du système d information de l entreprise, ont pu laisser se produire un événement très préjudiciable à cette dernière. Une action en réparation pourrait ainsi être dirigée contre les dirigeants sur le fondement de la faute de gestion, par la société elle-même ou des tiers lésés. actuel, l hypothèse ne doit pas en être écartée. Il faut enfin rappeler qu en France, la faute du dirigeant est appréciée selon le standard du «bon père de famille» que nous avons précédemment évoqué. Or, un dirigeant professionnel et diligent ne peut ignorer, à l époque actuelle, les risques qu il fait courir à son entreprise en ne mettant pas en oeuvre toutes les mesures nécessaires pour protéger le système d information et son contenu. Parmi ces mesures figure l utilisation des outils de surveillance des employés sur le net, pour la simple raison que le net est une autoroute grande ouverte depuis le cœur de l entreprise vers le monde extérieur... Le cas ne s est pas encore rencontré en France s agissant d un dommage lié à une impéritie des dirigeants dans la gestion du système d information de leur entreprise, mais dans le contexte 19

20 20 79 Avenue François Arago Nanterre France Tél. : +33 (0) Fax : +33 (0) info-fr@surfcontrol.com