Débat Cercle de la sécurité du 16 février
Compte-rendu par AL’X Communication
Intervenants
- Me Christiane Féral-Schuhl, Bâtonnier de Paris, Auteur du livre « Cyberdroit », Dalloz 2011.
- Commissaire Divisionnaire Anna Souvira, Chef de la Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information (BEFTI) à la Direction de la Police Judiciaire de la Préfecture de Police.
- Mme. Myriam Quémener, Magistrat, experte pour le Conseil de l’Europe en matière de cybercriminalité et co-auteur de « Cybercriminalité, défi mondial », Economica, 2010.
Le débat était animé par Nicolas Arpagian
Le premier débat du Cercle de l’année 2012 accueillait un trio 100% féminin. Figures expertes du cyberdroit, elles ont conseillé et aiguillé quant aux procédures juridiques à suivre.
Aujourd’hui l’ensemble des informations des entreprises est centralisé sur un serveur commun auquel les collaborateurs ont accès selon leurs domaines d’expertise. Ils peuvent ainsi avoir accès à l’information à caractère confidentiel. Les menaces proviennent aussi bien de l’extérieur que de l’intérieur. L’employeur dispose d’un pouvoir de contrôle sur les conditions d’utilisation, par ses salariés, quant aux outils mis à leur disposition. Qu’il s’agisse de la connexion Internet de la messagerie professionnelle, du poste de travail ou de la téléphonie.
Comme le rappelle Me Christiane Féral-Schuhl, si l’individu est un élément de participation à l’insécurité, l’employeur a le pouvoir de contrôle sur les outils informatiques. Il se doit de mettre en place les règles d’usage afin de garantir la sécurité du patrimoine informationnel de l’entreprise et responsabiliser les utilisateurs.
Deux règles sont nécessaires :
- Le principe de transparence : au-delà de l’obligation de loyauté, l’entreprise doit informer chaque collaborateur des règles d’utilisation des outils technologiques, et de l’obligation de discrétion liée aux données accessibles par le salarié. Plusieurs documents peuvent encadrer les conditions d’usage : la charte, le règlement intérieur, ou le contrat de travail. Le Comité d’Entreprise, lorsqu’il existe, doit aussi recevoir l’information.
- Le principe de proportionnalité : le dispositif de contrôle doit être justifié par la nature de la tâche à effectuer et proportionné au but recherché. L’interdiction totale d’utilisation des outils de communication à des fins personnelles serait considérée comme excessive. Si le principe selon lequel chaque employé bénéficie d’une zone de liberté individuelle est acquis, la jurisprudence procède à une analyse sévère. Par exemple la Cour d’appel de Limoges a ainsi considéré que « si l’employeur met la messagerie à la disposition des salariés, c’est à l’évidence dans l’intérêt exclusif de l’entreprise et pour l’exécution des tâches qui leur sont confiées et dès lors, l’appelant ne peut donc pas se prévaloir de ce que l’usage de cette installation à des fins personnelles n’aurait pas été expressément interdit » (CA Limoges, ch. soc. 23 févr. 2009). De même, la Cour de cassation considère que les connexions Internet effectuées par un salarié depuis son poste et durant ses horaires de travail sont présumées avoir un caractère professionnel (Soc. 9 juillet 2008).
Sur le fondement de ces deux règles, l’entreprise sera alors en mesure de justifier un licenciement par la perte de confiance liée à la violation de l’obligation de loyauté ou des règles définies par la charte, voire porter plainte en cas d’infraction pénale comme l’accès frauduleux au système d’information ou encore en contrefaçon pour le vol de logiciels, de bases de données…
La preuve est un élément fondamental et il s’agira d’observer la rigueur de la loi pour établir le comportement déloyal ou fautif. Le vol d’information est le plus souvent perpétré par des employés indélicats, or il n’est pas reconnu par le code pénal français. L’article 311-1 du code pénal définit le vol comme étant « la soustraction frauduleuse de la chose d’autrui », il devient alors crucial de mettre en place des mesures préventives et de comprendre comment le droit protège le patrimoine informationnel de l’entreprise.
Toutefois la jurisprudence admet la notion de copie comme une soustraction, et en janvier 2012, il a été considéré que « le vol de documents » constitue bien un vol.
La difficulté réside dans l’établissement de la preuve. Elle doit être récoltée de manière loyale. Par exemple l’employeur peut consulter le compte de messagerie de son salarié, sous réserve de l’en informer préalablement. A défaut, l’éventuelle preuve d’agissements déloyaux ou fautifs ainsi recueillis peuvent être rejetés. Dans le cadre d’un exemple où plusieurs salariés procédaient à la collecte d’informations pour créer une activité concurrente, Me Christiane Féral-Schuhl indique, que ces derniers ont été convoqués en présence d’un expert et d’un huissier afin de réunir les éléments de preuve. Anne Souvira Commissaire Divisionnaire, chef de la brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI), précise toutefois qu’il est rare de voir un huissier sur mission de l’employeur, explorer directement la messagerie sauf, selon la jurisprudence, lors de circonstances exceptionnelles qui mettent en péril l’entreprise.
Lorsque la preuve est proche et accessible, l’entreprise doit faire intervenir un huissier qui, en présence du collaborateur, constatera la preuve. Cependant, une autre procédure peut être suivie lorsque la preuve est plus lointaine et moins accessible ; c’est alors le juge qui doit être saisi pour désigner l’huissier, assisté d’un expert si nécessaire.
Lors d’une plainte, le recueil de la preuve est remis par l’entreprise et étudié alors par la BEFTI qui doit refaire le travail de l’huissier ou l’exploiter. L’entreprise peut faire l’économie de la phase huissier et directement remettre la preuve recueillie par son administrateur réseau assortie, surtout s’il s’agit d’un système propriétaire, des explications sur son fonctionnement afin d’expliciter les traces et d’administrer une preuve incontestable par ses Officiers de Police Judiciaire (OPJ) qualifiés Investigateurs en CyberCriminalité (ICC). La preuve peut également être directement recueillie par l’OPJ lors de constatations faites avec le responsable informatique, dès la plainte ou la révélation des faits.
Le besoin de protéger le patrimoine informationnel de l’entreprise est impérieux et le code pénal permet d’y faire face. Anne Souvira, explique qu’aujourd’hui les entreprises ont intégré le rôle de la BEFTI et qu’elles n’hésitent plus à se renseigner sur les méthodes à adopter lorsqu’elles sont victimes de cybercrime. En 2011, 1500 appels ont été recensés par la Brigade, dont 240 appels issus d’entreprises. 50 % de ces appels ont donné suite à une plainte. Elle précise que ces chiffres sont en augmentation (près de 900 appels et 300 dossiers en 2010). Lorsque le doute d’une cyberattaque survient, se tourner vers la BEFTI le plus rapidement possible permet de préserver la preuve. Mme Souvira conseille de faire des sauvegardes, de ne pas piétiner la scène du crime et d’éviter de mener une enquête interne seul, afin d’éviter le risque de dégradation de la preuve et ainsi rendre le travail de la BEFTI plus difficile et parfois beaucoup plus long. Il est déjà beaucoup plus difficile dès que les investigations conduisent à l’étranger, car l’entraide judiciaire internationale est un problème politique.
Lorsqu’il est nécessaire de collaborer avec des autorités étrangères, les enquêtes sont toujours une course contre la montre. Myriam Quéméner magistrate, procureur adjoint au Tribunal de grande instance de Créteil indique que les procédures doivent être simplifiées afin d’améliorer la coopération internationale, renforcer les moyens d’actions et ainsi lutter plus efficacement, car elles peuvent être un frein à la progression d’une investigation à l’étranger. M. Quéméner indique que l’on a ratifié en novembre 2006 la Convention de Budapest du Conseil de l’Europe, qui est le seul traité en matière de lutte contre la cybercriminalité et que la France dispose d’une arsenal juridique aussi performant que les autres pays européens. Les moyens d’enquête ont évolués avec par exemple l’infiltration numérique et la captation de données à distance qui peuvent être mises en place dans des conditions strictement encadrées juridiquement pour préserver les libertés individuelles. L’évolution du cybercrime nécessite une adaptation des textes juridiques et la difficulté en la matière est que certains pays considèrent que légiférer sur ce domaine de la cybercriminalité et de la cybersécurité constitue une ingérence dans la souveraineté nationale et les enjeux sont alors géopolitiques .
Aujourd’hui, on constate que de plus en plus d’entreprises enclenchent des démarches, et c’est une nouveauté.
Il réside encore une difficile évaluation par les magistrats des préjudices en matière de cybercrime, ayant pour conséquence des sanctions encore peu sévères. Cependant, le droit pénal prévoit de plus en plus l’aggravation de sanctions pour des faits commis dans le cyberespace, avec l’extension des circonstances aggravantes de recours à un réseau de télécommunication comme Internet ; c’est le cas en matière de contrefaçon. Myriam Quéméner encourage les entreprises à déposer plainte, ajoutant que la crainte de son dépôt est largement surmontable. Par ailleurs c’est la seule façon pour que les cyberattaques soient portées à la connaissance de la justice afin de poursuivre les cyberdélinquants.
Dans le cadre de la malveillance, de l’employé véreux, du comportement agressif, ou de la volonté de soustraire, l’entreprise se trouve en situation de gestion de crise. Elle doit alors contacter la BEFTI compétente sur Paris et la petite couronne capable de conseiller et d’évaluer la situation pour orienter l’entrepreneur vers une plainte ou non et auprès de quel service, commissariat ou gendarmeries locales et s’attacher par la suite si nécessaire, un bon avocat. Lorsque l’entreprise est dans le cadre de disfonctionnement (oubli de badge, visibilité de mot de passe…), il est nécessaire d’insister sur la prévention, par la sensibilisation récurrente de ses employés qui doivent connaitre en quoi ils constituent le maillon faible.
L’analyse en amont a un coût, mais elle est nécessaire à la prévention des risques.
La e-réputation est par ailleurs un argument qui interpelle le chef d’entreprise. Si la faille a des conséquences sur la réputation, il doit réagir. Il est comptable de la sécurité de son système d’information et des informations à caractère personnel et ou sensible, qu’il recèle. Si la plainte au pénal n’est pas toujours nécessaire pour déclencher l’action de la justice lors de l’appropriation de ces contenus (une simple dénonciation des faits au Procureur de la république ou dans les services de police ou de gendarmerie est tout aussi efficace), elle est toutefois recommandée, notamment en cas de compromission ou d’exposition des données à caractère personnel de ses employés, fournisseurs ou clients, ne serait-ce que pour montrer sa bonne foi en cas de mise en cause pour des dommages et intérêts, par les victimes de divulgation de données à caractère personnel, qui auront pour leur part déposé plainte. (Dans ce cas la plainte du « divulgué » est nécessaire pour la mise en œuvre de l’action publique au pénal).
Concernant la politique d’entreprise qui pratique ou accepte le BYOD (bring your own device), selon Me Féral-Schuhl elle prend un risque et de conclure : « Tout ceci oblige à repenser les fondamentaux de la société et du droit évidemment ».
Myriam Quéméner et Anne Souvira dans le même esprit, appellent de leurs vœux, une modernisation de la procédure relative aux données informatiques qui prend en compte la réalité du temps du cybercriminel (la vitesse de la lumière) et en conséquence la démultiplication du nombre des victimes et surtout une clarification réaliste des règles applicables à l’administration de la preuve en matière de traces informatiques par les spécialistes des forces de l’ordre, Investigateurs en CyberCriminalité ou les gendarmes N’Tech.