Et si on en venait à appliquer au sein des entreprises des règles d’hygiène et de sécurité de l’information comparables aux règles actuelles en matière d’hygiène et sécurité du travail ? De l’HSCT à l’HSI ….
Hygiène et sécurité du travail
La sécurité dans l’entreprise, selon le code du travail français, c’est d’abord l’affaire de l’employeur :
l’article L.4121-1 pose le principe de l’obligation de sécurité qui incombe à l’employeur : « L’employeur prend les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs ».
Pour autant le salarié n’est pas exonéré de toute responsabilité en la matière: l’article L4122-1 du code du travail précise que « Conformément aux instructions qui lui sont données par l’employeur, dans les conditions prévues au règlement intérieur pour les entreprises tenues d’en élaborer un, il incombe à chaque travailleur de prendre soin, en fonction de sa formation et selon ses possibilités, de sa santé et de sa sécurité ainsi que de celles des autres personnes concernées par ses actes ou ses omissions au travail. » Et le juge a considéré que la mise en danger par un salarié de sa propre sécurité ou de celle des personnes concernées par ses actes ou de ses omissions, engage sa responsabilité, et peut justifier un licenciement pour faute grave (Cass. soc., 6 juin 2007 n° 05-45984, 23 mars 2005 n° 03-42404).
L’hygiène, la sécurité et les conditions de travail (réunies sous l’acronyme HSCT) font l’objet de nombreux articles du code destiné à prévenir les risques de toute nature. Le comité d’hygiène, de sécurité et des conditions de travail (CHSCT), dans les établissements de plus de 50 salariés, est une institution représentative du personnel qui joue un rôle important en la matière, avec des prérogatives particulières : recours à des experts, participation à l’enquête en cas d’accident grave. Dans toute entreprise, l’employeur est tenu d’élaborer et de tenir à jour un document unique d’évaluation des risques (DUER).
Ce sujet, qui relève de la responsabilité de tous (un directeur d’usine ou un chef d’atelier ont leur part et peuvent être inquiétés en cas d’accident) est traité par le code du travail et est piloté par la Direction des Ressources Humaines (DRH) d’une part en raison de son lien évident avec ce domaine (santé, risque d’accident du travail, comitologie sociale..), d’autre part en raison du rôle horizontal que la DRH joue comme conseillère et comme garante de la responsabilité sociale de l’entreprise.
Pourquoi faire le lien avec la sécurité de l’information ?
Certains, au sein des DRH comme des professionnels de la cybersécurité, diront peut-être : « la sécurité de l’information n’a rien à voir, c’est l’affaire de la DSI (Direction des Systèmes d’Information) ».
Sur le plan technique c’est vrai en partie, mais à condition que l’on brise les ghettos et que les autres métiers au sein de l’entreprise dialoguent réellement avec la DSI, laquelle doit connaître et comprendre leurs besoins et leurs contraintes, et expliquer les siens dans un langage clair et compréhensible.
En réalité, la sécurité de l’information est un problème majeur pour l’entreprise au même titre que l’HSCT et avec un impact aussi horizontal car elle concerne la sécurité de l’entreprise (ses process, ses engagements commerciaux, ses finances), la sécurité des employés (dossiers individuels, protection de la vie privée qui peut y apparaître), la sécurité des clients (fichiers divers les concernant).
C’est aussi un domaine où on retrouve une responsabilité de l’employeur, même si elle est encore mal prise en compte par le droit positif, qui doit garantir la sécurité des trois grands domaines mentionnés ci-dessus, mais aussi une responsabilité du salarié qui, sans même parler de malveillance, peut par méconnaissance ou par légèreté mettre en cause l’un des pans de la sécurité de l’information.
La protection de l’information est un sujet beaucoup plus complexe que le fait d’imposer l’utilisation ou le port d’un matériel de sécurité. Elle fait intervenir en effet des outils de communication ouverts sur l’extérieur, le cas échéant mobiles et dont l’usage est souvent aux confins de la vie professionnelle et de la vie privée.
Un droit encore balbutiant mais des ouvertures
Sans défendre à tout prix le recours à la loi ou au règlement pour régler tout problème nouveau, force est de constater que ce sujet de la cybersécurité dans l’entreprise n’est pas réellement pris en compte par le droit positif.
Certes l’article 22 de la loi n°2013-1168 du 18 décembre 2013 (loi de programmation militaire – LPM) prévoit des mesures de renforcement de la sécurité des systèmes d’information des opérateurs d’importance vitale (OIV), destinées à protéger les infrastructures vitales nationales contre les attaques informatiques. Le jeudi 23 juin dernier, paraissaient au Journal Officiel les trois premiers arrêtés sectoriels déclinant la LPM. Les secteurs « Produits de santé », « Gestion de l’eau » et « Alimentation » ouvrent le bal, pour une entrée en vigueur au 1er juillet 2016. Le planning annoncé par l’ANSSI est ainsi respecté, même si la grande majorité des arrêtés reste encore à paraître sur la seconde moitié de l’année. Cet ensemble de règles rappelle les bonnes pratiques de sécurité et exige qu’elles soient respectées à minima sur le périmètre des systèmes d’information d’importance vitale (SIIV).
Il s’agit là d’une première application, par anticipation, de la directive européenne dite NIS du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, laquelle s’applique avant tout aux opérateurs de services essentiels et que les états membres doivent décliner dans un délai de 21 mois.
Mais quid des autres secteurs et entreprises ?
Le projet de loi pour une République numérique n’aborde pas directement le sujet de la cybersécurité, et, si l’article 55 de la loi n° 2016-1088 du 8 août 2016 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels prévoit la mise en œuvre, à destination des salariés et du personnel d’encadrement et de direction, d’actions de formation et de sensibilisation à un usage raisonnable des outils numériques, c’est uniquement sous l’angle de la déconnexion et donc de la limitation du temps de travail du salarié.
La jurisprudence de la Cour de cassation, quant à elle, aborde ce domaine nouveau avec circonspection, sous l’angle de l’utilisation par les salariés d’outils de travail mis à disposition par l’employeur, et sous un angle RH puisque, la plupart du temps, le sujet revient à traiter de licenciements et pose la question de la surveillance par l’employeur de l’utilisation des outils informatiques et de la liberté individuelle dans l’entreprise [1].
A noter cependant un élément intéressant concernant l’existence ou non d’une charte informatique : dans deux affaires similaires, la Cour de cassation a rendu deux jugements opposés selon que l’entreprise disposait ou non d’une charte informatique :
– dans un arrêt du 8 décembre 2009 la Cour de cassation, a considéré que le licenciement d’un salarié pour usage d’images pornographiques n’était pas fondé en raison de l’absence d’une charte informatique ;
– dans un autre arrêt du 15 décembre 2010, elle a considéré comme recevable le licenciement d’un salarié pour faute grave suite à la détention d’images pornographique car il ne respectait pas la charte informatique ;
– dans un arrêt du 5 juillet 2011, la Cour a validé le licenciement d’une salariée qui, en méconnaissance des dispositions de la charte informatique, avait permis à un autre salarié qui n’était pas habilité, d’utiliser son code d’accès pour télécharger des informations confidentielles ; ce comportement rendait impossible son maintien dans l’entreprise et a ainsi légalement justifié sa décision.
Qu’en conclure ?
Rien n’interdit d’ores et déjà de faire preuve de bon sens et d’utiliser à bon escient les outils existants.
En l’état actuel des choses et en l’absence d’obligations, les développements qui précèdent conduisent à préconiser, même si elle n’est pas obligatoire (la CNIL se borne à la recommander), à élaborer une charte informatique. C’est un moyen essentiel, comme nous le démontre la jurisprudence de la Cour de cassation, pour, à la fois, permettre à l’employeur, tout en respectant le principe de proportionnalité, d’exercer certains contrôles et de fixer certaines limites, et informer le salarié de ses droits et obligations et des moyens de contrôle mis en, place par l’employeur. Encore, faut-il qu’elle soit connue de tous : le meilleur moyen est de l’intégrer ou de l’annexer au règlement intérieur en respectant les règles d’adoption qui le concernent (avis des institutions représentatives du personnel prévues, qui, dans ce cas, ne lie pas l’employeur).
Et pourquoi pas (rien de l’interdit formellement et certaines entreprises l’ont déjà fait) aborder les sujets de la sécurité de l’information lors des réunions des CHSCT (ou avec les délégués du personnel), ce qui montrerait clairement que de l’HSCT à l’HSSI, il n’y a qu’un pas, et que ce sujet ne concerne pas que les OIV ?
René PICON-DUPRE
[1] Deux grandes problématiques sont en effet posées par la surveillance de l’utilisation de l’ordinateur :
– d’une part la nécessité de protéger le système informatique et la sécurité de l’entreprise ;
– d’autre part, l’outil informatique dont dispose le salarié est souvent mis à sa disposition par l’employeur et, pour ce dernier, il semble légitime d’attendre que cet outil soit mis au profit de l’activité professionnelle, et non au service des occupations privées.
Pour autant, toutes les formes de surveillance ne sont pas permises : si l’employeur a toute la légitimité pour exiger une utilisation professionnelle de l’ordinateur, les moyens dont il dispose pour s’en assurer ne sont pas illimités (notamment l’employé doit être informé, les dispositifs de surveillance éventuels doivent être déclarés à la CNIL) et le juge fait intervenir la notion de proportionnalité (dans un arrêt du 18 mars 2009 la Cour de cassation a considéré qu’un salarié pouvait être licencié pour faute car il avait usé de la connexion internet de l’entreprise à des fins non professionnelles pour une durée d’environ 41 heures sur un mois ; en revanche, dans un arrêt du 8 décembre 2009, la même Cour de cassation, chambre sociale, a considéré que la seule conservation par un salarié, sur son poste informatique, de trois fichiers contenant des photos à caractère pornographique sans caractère délictueux ne constituait pas, en l’absence de constatation d’un usage abusif affectant son travail, un manquement du salarié aux obligations résultant de son contrat susceptible de justifier son licenciement).