<< Retour aux articles
Image  Bruno Roussel

Traitements de données à caractère personnel pour la cybersécurité : du difficile équilibre entre efficacité et respect des droits des salariés

Tech&droit - Données
12/07/2018
Dans la pratique, la conciliation entre la sécurité du système d’information d’une structure et la protection des salariés lors de la collecte, par les équipements de sécurité, des données qu’ils génèrent au cours de leurs activités professionnelles, n’est pas aisée. Avec l’entrée en vigueur du RGPD, aucune solution franche et définitive ne vient régler cette difficulté, mais plusieurs changements dans la conception et la mise en œuvre des traitements sont susceptibles de faciliter ce subtil équilibre, à condition toutefois que les différents protagonistes sachent en faire bon usage. Les explications de Bruno Roussel, juriste spécialisé en droit du numérique, doctorant en droit privé et sciences criminelles à l’Institut de Sciences Criminelles et de la Justice (ISCJ – EA 4633 – Université de Bordeaux) et à l’Institut de Recherche en Informatique de Toulouse (IRIT - UMR 5505).
1. –Le flou des définitions autour de la sécurité informatique. – La cybersécurité (Cybersécurité : « État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense », ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)) est, depuis quelques années, un sujet qui imprègne fortement, aussi bien les informaticiens que les juristes.
 
2. –S’inscrivant malheureusement dans ce flou, le titre premier de la loi du 26 février 2018 (L. n° 2018-133, 26 févr. 2018, JO n°0048 27 févr., portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité), qui transpose en droit français la directive européenne « NIS » (Network and Information Security ; Dir. (UE) 2016/1148 du Parlement européen et du Conseil, 6 juill. 2016, concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union), offre une définition juridique à la notion de SI, en l’associant inextricablement à leur sécurité (ibid ; L. n° 2018-133, 26 févr. 2018, JO 27 févr., art. 1). On regrette ainsi que, d’une part, ce texte définisse comme un tout « réseau et système d’information » alors que, techniquement, il s’agit de deux concepts différents. Les spécialistes de la modélisation et de la gestion des processus ont défini, de longue date, les systèmes d’information (Système d’information : « ensemble des moyens, des modèles et des méthodes, destinés à assurer, dans une organisation, le stockage, le traitement et la circulation des données, informations et connaissances (…) », Thevenot J., Systèmes d’information, éd. ESKA). Dans cette approche, le réseau n’est que l’une des composantes du SI. D’autre part, la définition proposée par cette loi s’évertue à dresser une énumération de différentes catégories de « réseau et système d’information », sans lien ou cohérence entre elles, créant l’impression d’une notion regroupant des éléments sans homogénéité entre eux.
 
3. –La nécessité de pouvoir investiguer a posteriori. – Les outils techniques participant à la sécurité ne sont qu’une partie de la cybersécurité. Ils peuvent lui être entièrement dédiés, comme un firewall ou un logiciel de sauvegarde, ou être un outil de travail pour les utilisateurs au quotidien, mais respectant des règles de sécurité, tel un progiciel de gestion intégré conçu avec un module d’authentification et gérant les droits d’accès par profil. Ils peuvent également être logiciels (antivirus) ou composés d’éléments matériels (lecteurs de badge dans un système de contrôle d’accès).
 
4. –Quelle que soit la forme qu’ils prennent, ces outils ont un double rôle. Le premier, trivial, est de s’inscrire et de contribuer à la démarche de sécurité du système d’information dans sa globalité. Mais le deuxième, auquel il est moins spontané de penser tant il est perçu comme un échec, doit offrir la possibilité de pouvoir procéder, a posteriori, à des investigations. En effet, personne ne peut affirmer qu’un système, quel qu’il soit, est sécurisé à 100 %, et la gestion d’un incident doit faire partie intégrante de la politique de sécurité.
 
5. –Ce point est, au demeurant, parfaitement retranscrit dans la famille de normes ISO2700x (norme ISO 27001, Techniques de sécurité-Systèmes de gestion de la sécurité de l’information, Afnor ; norme ISO 27002, Techniques de sécurité-Code de bonne pratique pour la gestion de la sécurité de l’information, Afnor) relatives à la sécurité des SI, qui s’appuie, notamment, sur les caractéristiques DICA disponibilité, intégrité, confidentialité, auditabilité). Le « » correspond au concept « d’auditabilité » des données, à savoir la capacité de pouvoir en extraire des preuves numériques, d’identifier la personne ou la structure à l’origine d’une attaque, de mesurer et de quantifier l’impact de l’incident, etc.
 
6. –L’indispensable création de traitements de données. – Or, pour être en capacité de mettre en œuvre cette « auditabilité », parfois légalement imposée, il est nécessaire de collecter, stocker et manipuler des données. Celles-ci vont, le plus souvent, présenter un caractère personnel puisqu’elles seront indirectement nominatives comme une adresse IP (Cass. 1re civ., 3 nov. 2016, n° 15-22.595 : « en statuant ainsi, alors que les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel (...), la cour d'appel a violé les textes susvisés »), voire directement nominatives, tel que le login d’ouverture d’une session. Par voie de conséquence, les règles de la protection des données personnelles s’imposent à ces traitements, qui font pourtant partie intégrante du dispositif technologique contribuant à la mise en œuvre de la protection du SI d’une structure.
 
7. –Des régimes juridiques aux objectifs contradictoires. – En matière de cybersécurité, on se trouve donc confronté à un cadre légal complexe, composé de règles de droit qui imposent la sécurisation du SI aux différentes entités publiques et privées, et des dispositions plus générales, telles que celles relatives aux traitements de données à caractère personnel, dont la vocation première est de protéger les personnes concernées par la collecte d’informations (I).
 
8. –Plus particulièrement, cette protection est drastique lorsque les données de sécurité enregistrées vont concerner les salariés de la structure mettant en œuvre le SI, en raison d’un amalgame qui est souvent réalisé entre sécurisation du système d’information et cybersurveillance des salariés, générant ainsi une opposition entre la sécurité du SI et les règles entourant la protection des salariés. Néanmoins, l’entrée en application (prolongée en droit national par la loi du 20 juin 2018 (L. n° 2018-493, 20 juin 2018, JO 21 juin, relative à la protection des données personnelles), du RGPD (Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), du 27 avril 2016), qui apporte des modifications à la façon de mettre en œuvre et, en amont, de concevoir, les traitements de données (v. par ex. Debet A., Règlement général sur la protection des données – Premières impressions et interrogations sur le projet de loi, LexisNexis, Communication commerce électronique 2018, n° 3, ou encore Metallinos N., Le principe d'accountability : des formalités préalables aux études d'impact sur la vie privée (EIVP), LexisNexis, Communication commerce électronique 2018, n° 4), ouvre des possibilités pour mieux concilier ces objectifs contradictoires (II).
 
I –  La transversalité du cadre légal de la cybersécurité
9. –La jonction entre la cybersécurité et la protection des données personnelles. – Il est difficile de décrire de manière exhaustive le cadre juridique de la cybersécurité, non seulement en raison de l’imprécision de la notion elle-même (v. supra n° 1. –), mais également car l’obligation qui est faite à une structure de sécuriser son système d’information a des sources légales éparpillées dans un ensemble de Codes ou de textes, à la fois nationaux et européens (A). Toutefois, cet exercice est indispensable car il révèle un objectif commun qui est de garantir l’efficacité de la protection du SI. Or, la recherche de l’efficience va nécessairement aboutir à la création de traitements de données à caractère personnel spécialisés, auxquels le régime général des données personnelles s’applique (B).
 
B – Des sources juridiques éparpillées
10. –Les trois sources majeures de l’obligation de sécurité. – Les principales règles dont découle l’obligation qui est faite à une structure de sécuriser son système d’information, ont trois origines principales. Tout d’abord, le mécanisme classique de la responsabilité aussi bien pénale que civile s’applique à l’environnement numérique et aux informations qu’il contient. Ensuite, ce sont des obligations spéciales, parfois liées à des secteurs d’activité, qui vont s’inscrire, soit directement, soit par conséquence, dans la cybersécurité. Enfin, la notion d’opérateur d’importance vitale est inextricablement associée à des obligations relatives aux informations numériques détenues par ces entités.
 
11. –Des sanctions pénales. – Même si le droit pénal spécial s’intéresse de plus en plus à l’utilisation des systèmes d’information dans la commission d’infractions (v. par ex. les atteintes au secret des correspondances émises par voie électronique (C. pén., art. 226-15, al. 2), la diffusion d’images de violences (C. pén., art. 222-33-, al. 2), la diffusion ou l’enregistrement d’images pédopornographiques (C. pén., art 227-23), ce sont essentiellement deux séries de dispositions qui vont imposer une obligation de sécurité à une entité, dont le défaut pourrait faire l’objet d’une incrimination.
 
12. –Les infractions liées aux traitements de données à caractère personnel. – L’article 226-17 du Code pénal punit le fait de ne pas prendre toute précaution utile pour préserver la sécurité des données. Bien évidemment, cette infraction est applicable aux personnes morales (C. pén., art. 226-24), puisque ce sont les structures professionnelles qui sont explicitement visées par les infractions des articles 226-16 et suivants.
 
13. –Pour autant, la jurisprudence nous montre que les poursuites en application de l’article 226-17 pour défaut de sécurisation des traitements de données sont très rares et, lorsque cette qualification est retenue, elles se soldent le plus souvent par une non-condamnation (Cass. crim., 3 juin 2008, n° 08-80.467). En effet, dans ces situations, c’est plutôt la responsabilité civile ou l’intervention de la CNIL qui est recherchée.
 
14. –Les atteintes aux systèmes d’information. – Les articles 323-1 et suivants du Code pénal incriminent un ensemble d’infractions portant « atteintes aux systèmes de traitement automatisé de données », auxquels la jurisprudence a donné une interprétation très extensive (par exemple, un site internet (Cass. crim., 20 mai 2015 n° 14-81.336), un système informatique de données bancaires (Cass. crim., 11 oct. 2016, n° 09-88.080) ou encore un ordinateur isolé, y incluant clairement la notion de SI. En ce sens, l’arrêt du 24 octobre 2012 de la cour d’appel de Paris, confirmant la condamnation de Jérôme Kerviel, notamment « pour avoir introduit frauduleusement des données », décrit avec précisions les actions menées sur différentes couches logicielles composant le SI de la Société générale (CA Paris, 24 oct. 2012, confirmé par l’arrêt de la Chambre criminelle de la Cour de cassation : Cass. crim., 19 mars 2014, n° 12-87.416).
 
15. –Or, tout comme pour les infractions liées aux traitements de données à caractère personnel, l’article 323-6 du Code pénal prévoit la responsabilité des personnes morales. Ainsi, dans l’hypothèse d’une attaque informatique ayant pour cible un tiers, par exemple au travers d’un cheval de Troie qui serait installé au sein de l’infrastructure informatique d’une entité, cette dernière pourrait se voir poursuivie, notamment pour entrave au fonctionnement d’un traitement automatisé de données (C. pén., art. 323-2). L’élément moral de cette incrimination trouverait de la matière dans le fait qu’aucune mesure de sécurité n’était mise en place ou, pire, si cette entité était dans l’incapacité de produire des éléments lui permettant de démontrer qu’elle a elle-même fait l’objet d’une attaque.
 
16. –La réparation des préjudices causés. – Sur le même principe, une telle entité pourrait voir sa responsabilité civile engagée selon un mécanisme classique de réparation, si l’un de ses clients ou partenaires extérieurs venait à subir un dommage directement lié au défaut de sécurité du SI de cette entité, ou si des personnes physiques étaient concernées par un vol ou une fuite de données personnelles confidentielles les concernant (v. par ex. les affaires Facebook (2018) ou Sony (2014) : Le FBI enquête sur la cyberattaque contre Sony qui a causé la fuite de données, 20minutes.fr).
 
17. –Des régimes particuliers. – À ces raisons générales qui, certes, devraient pousser toute organisation à déployer des mesures de sécurité pour leur SI, mais qui reposent plus sur la crainte d’une hypothétique sanction en cas de problème que sur des obligations concrètes, viennent s’ajouter des règles sectorielles comme dans le domaine bancaire ou de la santé (v. par ex. le cadre légal encadrant l’activité d’hébergement de données de santé – Code de la santé publique art. L 1111-8).
 
18. –Des activités soumises à des règles renforcées. – À ces obligations sectorielles, s’ajoutent des règles spéciales, indépendantes d’un domaine d’activité, qui visent des services proposés à des tiers, comme le fait d’offrir une connexion téléphonique ou à Internet. Même si ce sont les « opérateurs de communications électroniques » qui sont initialement concernés (Code des postes et des communication électronique, art. L. 34-1), il est précisé que « les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques (...) ».
 
19. –Les SI des « Opérateurs d’Importance Vitale ». – En matière de sécurisation des systèmes d’information supportant ou contribuant à des activités cruciales pour le pays, la France était en avance sur le droit européen et la directive NIS (v. supra n° 2. –), puisque la notion de « sécurité des activités d’importance vitale » (D.  n° 2006-212, 23 févr. 2006, relatif à la sécurité des activités d'importance vitale codifié en 2007 ; D. n° 2007-585, 23 avr. 2007, relatif à certaines dispositions réglementaires de la première partie du Code de la défense, dans le Code de la défense : C. défense, art. R. 1332-3 et s.) existe depuis 2006, notamment dans le secteur des « communications électroniques, audiovisuel et information » (v. l’annexe de l’arrêté du 2 juin 2006 fixant la liste des secteurs d'activités d'importance vitale et désignant les ministres coordonnateurs desdits secteurs). Les apports de la directive européenne du 6 juillet 2016 sont essentiellement de deux ordres. Tout d’abord, elle étend les obligations de sécurité à d’autres structures que les Opérateurs d’importance vitale (OIV). Ensuite, elle impose l’information des autorités publiques (en France, l’ANSSI) des « incidents affectant les réseaux et systèmes d'information » lorsque ceux-ci sont susceptibles d’avoir eu « un impact significatif sur la continuité de ces services » (L. n° 2018-133, 26 févr. 2018, art. 7, op. cit., qui transpose la directive en droit français).
 
20. –Cette information faisant suite à un incident de sécurité, rejoint celle qui existe en cas de violation d’un traitement de données à caractère personnel. Depuis 2011, la loi informatique et libertés prévoit qu’en cas d’incident de ce type, les opérateurs mettant en œuvre un « traitement des données à caractère personnel (...) dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public » doivent informer la CNIL et les personnes concernées par la violation de leurs données (L. n° 78-17, 6 janv. 1978, relative à l'informatique, aux fichiers et aux libertés, art. 34 bis, créé par l’ordonnance n° 2011-1012 du 24 août 201, relative aux communications électroniques). L’entrée en vigueur du RGPD a étendu cette obligation puisque ce sont désormais tous les incidents affectant la sécurité des données qui doivent être signalés à la CNIL et aux personnes concernées (RGPD, 27 avr. 2016, art. 33 et 34).
 
21. –Plusieurs règles mais des conséquences techniques identiques. – Les dispositions qui imposent à une structure une obligation de sécurité pour son SI ont des origines diverses, et introduisent différents degrés dans cette obligation, en fonction de l’importance que l’État a accordé à l’activité de cette entité, ou en raison de la sensibilité des informations détenues. Bien sûr, les différents degrés de gravité potentielle vont se traduire par une gradation technique dans les solutions de sécurisation, avec des outils de plus en plus complexes et performants.
 
22. –Toutefois, la mise en place de la sécurisation du système d’information d’une organisation va systématiquement se traduire par deux éléments. Le premier est une surveillance en continue des activités numériques ou de l’infrastructure elle-même (par exemple un système de vidéoprotection qui surveille de datacenter). L’objectif premier de cette surveillance est évidemment de détecter en temps réel une intrusion au sein du réseau de l’entité ou une action anormale sur une composante du SI. Mais cette surveillance ne répond qu’à une partie des obligations incombant à une structure en termes de cybersécurité. En effet, un deuxième objectif est de pouvoir répondre à l’obligation qui est faite à une entité d’être en capacité de pouvoir analyser les conséquences d’un incident de sécurité qui se serait produit malgré les mesures de protection.
 
23. –La surveillance en continue s’accompagne donc systématiquement d’un enregistrement des informations analysées en temps réel.
 
B –  Des traitements automatisés pour la sécurité soumis à la protection des données personnelles
24. –L’obligation d’efficacité. – En droit, il est d’usage de parler d’obligations de moyens ou de résultat (v. Bénabent Alain, Droit des obligations, LGDJ, 16e éd., 2017, p. 321). En l’espèce, les conséquences techniques et organisationnelles des dispositions légales et règlementaires qui imposent à des structures de sécuriser leur système d’information poussent plutôt à parler d’une obligation d’efficacité.
 
25. –En effet, l’obligation de résultat suppose qu’une partie s’engage à atteindre un objectif déterminé qui, en l’espèce serait un système d’information sûr à 100 %. Or, même s’il existe des obligations imposant la sécurité, ces règles s’appliquent avec réalisme puisque l’élaboration d’une politique de sécurité d’un SI impose de prendre en compte la survenance d’un incident. Le cadre légal retranscrit parfaitement ce pragmatisme puisqu’il prévoit que l’entité doit respecter des règles d’information en cas de violation des données personnelles, ce qui démontre bien que l’obligation de résultat n’existe pas en l’espèce.
 
26. – L’obligation de moyens n’est pas non plus satisfaisante car, en cas de problème, le fait qu’une structure démontre qu’elle avait déployé une démarche de sécurisation va, certes, l’aider à limiter son éventuelle responsabilité civile mais, en aucun cas, n’est suffisant. Il faut que cette entité soit en mesure de pouvoir identifier et quantifier l’ampleur de l’incident, ce qui correspond à une obligation d’être efficace dans sa démarche de sécurité numérique, y compris en cas de sinistre.
 
27. –La collecte de données techniques et nominatives. – Dès lors, la recherche d’une telle efficience dont, tout particulièrement, les investigations qui doivent être menées pour circonscrire les conséquences d’un défaut de sécurité, n’est possible que si un ensemble de données sont enregistrées en continue lors du fonctionnement des composantes du SI (Sun J.-R., Shih M.-L., Hwang M.-Sh., A survey of Digital Evidences Forensic and Cybercrime Investigation Procedure, International Journal of Network Securtiy, vol. 17. n° 5, p. 497, sept. 2015 : v. p. 499, le rôle central des données manipulées au sein du SI lors des différentes procédures d’investigations). Or, une collecte et un stockage de données se traduit, juridiquement, par la notion de traitement automatisé de données. Les différents traitements qui découlent de cette collecte vont enregistrer, non seulement, des informations techniques (potentiellement en quantité très importante, par exemple, les journaux de log d’un firewall, équipement réseau qui va gérer le trafic réseau entre Internet et le réseau local d’une structure, peuvent collecter les traces de toutes les connexions sortantes et entrantes), mais également à caractère personnel puisque les politiques de sécurité des systèmes d’information imposent une traçabilité complète des actions.
 
28. –Ainsi, la sécurisation d’un SI génère une situation paradoxale puisque, pour parvenir à respecter l’obligation de sécurité qui impose que les traitements de données à caractère personnel hébergés au sein du système d’exploitation soient sécurisés (l’obligation d’assurer la sécurité des traitements de données est reprise à plusieurs reprises dans le RGPD, aux articles 24, 2. (politique de sécurité), 30 1. G) (description générales des mesures de sécurité) et 32 (sécurité du traitement)), il est nécessaire de créer de nouveaux traitements de données générées par les outils de sécurité.
 
29. –Un double régime pour les données collectées. – La collecte d’informations numériques fait partie intégrante de la cybersécurité et découle directement des obligations légales et règlementaires de sécurisation des systèmes d’information. Ceci étant, aucun régime particulier pour les fichiers ainsi constitués n’a été prévu. Il n’était, sans doute, pas aisé de créer un régime dérogatoire aux obligations de la loi informatique et libertés à l’identique des « traitements intéressant la sûreté de l’État, la défense ou la sécurité publique » (L. n° 78-17, 6 janv. 1978, art. 30), permettant de déroger, notamment, aux informations accompagnant la mise en œuvre d’un fichier. En conséquence, les données de sécurité constituent des traitements à caractère personnel comme les autres qui, à ce titre, doivent respecter les règles de protection des données personnelles.
 
30. –La présente étude n’a pas pour vocation de reprendre en détail l’ensemble de ces règles qui font l’objet d’une littérature conséquente et récente en raison de l’entrée en vigueur du RGPD (Mazars Marie-France et El Boujemaoui W., Maîtriser le socle du droit de la protection des données pour aborder l'application du Règlement européen (RGPD), Dalloz, Revue de droit du travail 2018, p. 298), mais d’analyser en quoi leur mise en œuvre est difficile à concilier avec l’obligation d’efficacité qui est faite à une structure de sécuriser son SI.
 
II – La dualité des objectifs des traitements de données pour la cybersécurité
31. –Des objectifs opposés. – Au-delà des systèmes d’information, en matière de sécurité en général, la discrétion et la confidentialité sont deux caractéristiques essentielles. A-t-on déjà vu une banque publier l’implantation des capteurs d’alarmes protégeant ses locaux ? D’ailleurs, si l’on poursuit avec l’exemple du secteur bancaire, il est intéressant de noter que Jérôme Kerviel a pu contourner les systèmes d’alerte et de contrôle mis en place, grâce à la connaissance qu’il en avait acquis lors ses fonctions précédentes au sein de la Société générale (v. supra n° 14. –).
 
32. –En ce sens, les démarches de sécurité se rapprochent des contraintes du renseignement. Pour être efficace, les services de la DGSE ou de la DGSI (Direction Générale de la Sécurité Extérieure (DGSE) et Direction Générale de la Sécurité Intérieure (DGSI)) ont besoin de protéger leurs sources et la façon dont ils obtiennent les informations (Meillan E., Le renseignement intérieur : pour l’efficacité dans la démocratie, LexisNexis, Droit pénal 2016, n° 7-8).
 
33. –Or, le cadre juridique des traitements de données à caractère personnel a vocation à protéger les personnes concernées, en les informant sur la nature des informations collectées, sur la finalité de cette collecte et sur l’utilisation qui est faite de ces données. Il en résulte un difficile équilibre entre l’obligation d’efficacité dans la sécurisation d’un SI, qui suppose de ne pas communiquer le détail des techniques mises en œuvre, avec l’information qui doit être fournie aux personnes dont les données permettant de les identifier sont collectées.
 
34. –La conciliation entre ces objectifs qui s’opposent atteint son paroxysme avec les traitements de données concernant les salariés ou les agents de la structure (A). Pour autant, l’entrée en vigueur du RGPD, sans aller jusqu’à apporter une solution spécifique à ce problème, apporte des pistes de réflexions pour améliorer la conciliation de ces objectifs (B).
 
A – Une dualité accrue pour les données générées par les salariés
35. –Une difficulté atténuée pour les utilisateurs externes. – En fonction de l’activité de l’entité, les utilisateurs externes à la structure peuvent être des clients, des utilisateurs tels que des étudiants avec l’espace numérique de travail, des usagers d’un site institutionnel (impôts, Pôle emploi, etc.), des usagers à qui il est fourni, même ponctuellement, un accès à Internet, etc.
 
36. –Ces utilisateurs externes ont le plus vif intérêt à ce que le système d’information contenant des informations personnelles les concernant soit le plus sûr possible puisque, en fonction des cas, ils y confient des données confidentielles ou bien l’organisation en question détient des informations dont ils ont envie de maîtriser la diffusion.
 
37. – Une difficulté importante avec les salariés de l’organisation portant le SI. – Les difficultés qui naissent de l’opposition des objectifs entre la mise en œuvre de la sécurisation du SI d’une structure et le respect des obligations en matière de traitement de données à caractère personnel est plus prégnante avec les salariés de l’entité à qui appartient le système d’information.
 
38. –Le mot « salarié » va ici regrouper des personnes dont l’activité repose sur la simple utilisation du SI pour accomplir leurs tâches et des personnes qui ont pour mission d’en assurer le fonctionnement. On pense ici spontanément au service informatique, mais cela peut aller au-delà, notamment avec le service technique puisque de nombreux équipements sont connectés. De plus, les employés des prestataires externes, mais ayant pour mission de participer au fonctionnement du SI de la structure (typiquement, un prestataire informatique considéré comme sous-traitant au sens de la loi informatique et libertés) peuvent être assimilés, dans les effets des traitements, aux employés de l’entité portant le système d’information.
 
39. –Ainsi, il ne s’agit pas d’opposer de manière manichéenne les usagers extérieurs du SI et salariés, en prétendant que ces derniers ont intérêt à ce que le système d’information de leur employeur ne soit pas sécurisé. Néanmoins, les obligations en matière de données personnelles sont beaucoup plus sensibles dans leur mise en œuvre qu’avec les usagers externes, puisqu’elles doivent s’inscrire dans le cadre légal complexe du droit du travail, régissant les relations entre les employeurs et les employés (Pelissier J., Auzero G., Dockes E., Droit du travail, Dalloz, 27e éd., 2012 ; v. par ex. les attributions du CHSCT/CSE qui doit être consulté avant toute modification du règlement intérieur (p. 884) ou le rôle des représentants du personnel en matière de constatation d’atteinte illicite aux droits des personnes (p. 1176)). Au demeurant, cette protection ne semble pas superflue en matière de sécurité informatique puisque les salariés vont, en quelque sorte, subir cette sécurisation au travers des données issues des procédures et des outils de cybersécurité. Le formalisme pour que des informations issues de traitements de données à caractère personnel leur soient opposables doit donc être rigoureux (v. par ex. CNIL, Le contrôle de l’utilisation d’internet et de la messagerie électronique, 1er déc. 2015). L’obligation d’information des salariés impose un degré de détail, tel que, par exemple, « les modalités de l’archivage » des courriels, ce qui, à première vue, va à l’encontre de la confidentialité que nécessitent les outils de protection du SI.
 
40. –L’amalgame entre cybersécurité et cybersurveillance des salariés. – La principale source de cette difficulté provient d’une confusion malheureuse, largement entretenue par les employeurs, qui consiste à assimiler la sécurité du système d’information avec la surveillance des salariés au travers de leur utilisation de l’environnement numérique de travail.
 
41. –La cybersécurité n’a pas pour vocation d’être punitive. Son seul objectif est de protéger les ressources numériques de l’entité. Pour parvenir à cela, elle doit permettre de déceler des actions susceptibles de mettre celui-ci en danger, ce qui suppose d’introduire une surveillance de toutes les personnes en interaction avec ses différentes composantes, dont les salariés. Mais cette surveillance n’est qu’une conséquence. Ainsi, si une mauvaise utilisation, voire même une erreur, est imputable à un salarié, l’objectif premier n’est pas de le sanctionner mais de faire cesser le risque pour le SI ou de le corriger. L’éventuelle sanction ne peut découler que d’un comportement qui constituerait une faute (v. Teyssie B., Cesaro J.-Fr., Martinon A., Droit du travail - Relations individuelles, LexisNexis, 3e éd., 2014, p. 442). Fort heureusement qu’un salarié ne fait pas l’objet d’une procédure disciplinaire chaque fois qu’une erreur est commise.
 
42. – A contrario, la cybersurveillance a effectivement pour objectif de contrôler les salariés. Par exemple, des outils vont pouvoir permettre de quantifier le temps passé sur Internet pour chaque utilisateur, voire même surveiller les courriels échangés par le salarié (CEDH, 5 sept. 2017, n° 61496/08, Barbulescu c. Roumanie).
 
43. –Des détournements de finalités qui nuisent à la cybersécurité. – La distinction qui vient d’être rappelée s’avère essentielle puisque juridiquement, elle doit se traduire par la notion de finalité des traitements. Dans tous les documents et procédures nécessaires à l’accomplissement des formalités liées aux traitements de données à caractère personnel en droit social (enregistrement du traitement, règlement intérieur ou contrat de travail, charte informatique), c’est la finalité de protection du SI qui doit être clairement énoncée. À cette fin, les propos choisis ne doivent pas donner une impression répressive, comme le font trop souvent certaines chartes informatiques, dont la lecture laisse transparaître la volonté coercitive de son rédacteur.
 
44. –Bien sûr, comme précédemment expliqué, la protection du SI conduit inévitablement à surveiller les salariés. Mais, en aucun cas, les outils de protection ne peuvent être utilisés pour contrôler le temps de travail comme dans l’exemple précédent. Pour autant, la notion d’opposabilité n’est pas écartée, puisque dans l’hypothèse où les données collectées révèleraient une faute importante d’un salarié sur la sécurité du SI, l’employeur pourrait la lui reprocher au titre du pouvoir disciplinaire qui est le sien, suivant les mêmes modalités que si une erreur est commise sur une machine-outil ou un véhicule de la société, lui causant un dommage conséquent (Teyssie B., Cesaro J.-Fr., Martinon A., Droit du travail - Relations individuelles, op. cit, p. 450).
 
45. –L’encadrement des données collectées. – Néanmoins, même en étant particulièrement clair sur la finalité de sécurisation du système d’information, le régime de la loi informatique et libertés impose au responsable du traitement des contraintes difficiles à concilier avec le besoin de discrétion et de confidentialité précédemment décrit pour garantir l’efficacité des outils. Dès l’article 6 de la loi, il est dit que les données collectées ne doivent pas être excessives au regard de la finalité poursuivie. Or, en matière de sécurisation, il n’est pas possible de savoir exhaustivement de quelles données on peut avoir besoin pour analyser un incident de sécurité. La logique technique consiste donc à collecter très largement des données. Cela rejoint la limitation posée par l’article 30 qui veut que l’origine des données soient déclarées. Si l’on veut répondre strictement à cette contrainte, cela suppose de décrire précisément la provenance des données (messagerie, connexion, surf, etc.). En effet, le G29 rejette les déclarations trop vagues ou floues, en raison du principe de transparence (G29, WP 260, Guidelines on transparency under Regulation 2016/679).
 
46. – L’entrée en vigueur du RGPD le 25 mai 2018 n’apporte pas une solution toute faite à cette difficulté, mais ouvre des possibilités pour mieux concilier les objectifs contradictoires de protection du SI et des salariés.
 
B – Une dualité atténuée par le RGPD
47. –Le double apport du RGPD. – La gestion des traitements à caractère personnel mis en œuvre pour la sécurisation du SI d’une structure, enregistrant notamment des données générées par le personnel de cette organisation, se heurte à deux obstacles : une assimilation des outils techniques de sécurité à la surveillance des salariés et l’obligation d’informer avec précision sur la nature des données collectées et leur provenance. Cette exigence de décrire dans le détail les informations susceptibles d’être analysées en cas d’incident s’oppose aux besoins d’efficacité dans la sécurisation du SI (confidentialité des outils déployés, souplesse dans l’exploitation des données relatives à l’utilisation de l’infrastructure numérique, etc.).
 
48. –Au travers d’une nouvelle façon de concevoir la gestion des traitements de données, le RGPD introduit deux axes de travail intéressants pour améliorer cette situation, en responsabilisant beaucoup plus le responsable du traitement (1) et en introduisant plus de souplesse sur l’utilisation postérieure des données collectées (2).
 
1 – Un dialogue facilité par le privacy by design
49. –Un travail complet en amont de la création des traitements. – Les principes de protection de la vie privée par défaut (privacy by default) et de protection de la vie privée dès la conception (privacy by design) consacrés par l’article 25 du RGPD, associés à l’introduction des analyses d’impact sur la vie privée préalablement à la mise en œuvre d’un traitement (RGPD, 27 avr. 2016, art. 35 et 36), apportent des éléments intéressants pour régler les difficultés soulevées par les traitements de données des salariés résultant de la sécurisation du SI d’une structure.
 
50. –Clairement, la mise en place d’une politique de sécurité concrétisée par le déploiement des outils logiciels et matériels correspondants, ne nécessite pas la réalisation d’une étude d’impact telle que définie par le règlement. Celles-ci sont, en effet, réservées à des traitements « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Les données collectées dans une démarche de cybersécurité n’entrent pas dans cette catégorie.
 
51. –Pour autant, ce qui doit être ici retenue, associée à la logique du privacy by design, c’est une nouvelle façon de raisonner qui est proposée par le RGPD, poussant les responsables du traitement à se préoccuper de la mise en œuvre d’un traitement de données et des conséquences que les informations stockées peuvent avoir sur un individu, lors de sa conception.
 
52. –Dans le cas de la présente étude, ce type de raisonnement apporte un élément majeur, en invitant la direction d’une entité à concevoir la sécurisation de son système d’information au travers d’une démarche collaborative entre toutes les personnes impliquées (direction, Responsable de la Sécurité du Système d’Information - RSSI, service informatique et les représentants du personnel).
 
53. –Une conception collaborative de la politique de sécurité. – L’objectif est de concevoir un encadrement de l’utilisation des données de sécurité permettant de rester à un degré de description élevé des informations collectées, laissant ainsi la souplesse technique indispensable à l’efficacité des démarches de cybersécurité, tout en garantissant les salariés contre une utilisation des données susceptible de leur nuire.
 
54. –Comme déjà évoqué, cet encadrement dans l’utilisation des données de sécurité passe par une description précise de la finalité des traitements : la protection et la sécurité du système d’information de la structure.
 
55. –Néanmoins, il est nécessaire de dépasser ce formalisme afin d’éviter toute suspicion dans un potentiel détournement de l’utilisation des données de sécurité. Dès lors que les données sont détenues par une organisation, des membres de la direction pourraient, sans opposer en justice ces informations, s’en servir comme moyen de pression sur un salarié lors d’un entretien individuel.
 
56. –C’est face à cette problématique que la démarche collaborative en amont de la mise en œuvre des outils de sécurité et donc de la création des traitements correspondants prend tout son sens, en offrant la possibilité d’encadrer avec précision et transparence l’exploitation et l’utilisation des données de sécurité. Outre une obligation de confidentialité renforcée pour le personnel exploitant et surveillant les données de sécurité, la création d’une cellule sécurité comportant au moins un représentant du personnel, peut être créée et mobilisée chaque fois que les traitements de sécurité nécessitent une exploitation de données concernant des salariés.
 
57. –La formalisation de l’exploitation des données de sécurité. – Mais le point le plus important auquel doit parvenir la conception collaborative de la politique de sécurité du système d’information de la structure, est la rédaction de documents encadrant l’utilisation et l’accès aux données de sécurité. Ces documents vont au-delà de la charte informatique dont la vocation première est d’être pédagogique dans l’utilisation des ressources numériques mises à disposition de tous les utilisateurs du SI. Autrement formulé, la charte informatique est un document plus général que les besoins exprimés ici.
 
58. –La concrétisation de la cellule sécurité et de l’exploitation des informations concernant les salariés de l’entité en cas d’incident, doit se faire en application de documents établis dans le cadre d’un système de management de la qualité (procédure de gestion des incidents, procédure de saisie de la cellule sécurité, etc.). Avec une finalité plus juridique, les grands principes de consultation et la finalité d’utilisation des données de sécurité peuvent se retrouver dans une charte éthique qui, contrairement aux documents « qualité », peut s’affranchir de la description d’actions purement techniques. Cette charte peut reprendre la durée de conservation, un accès aux données par la direction encadré (respect des prérogatives du RSSI) et décrire les droits d’accès des salariés aux informations les concernant. Dans le cadre du RGPD, elle se rapproche, dans l’esprit, des codes de conduite prévus aux articles 40 et suivants. Ces derniers semblent prévus pour, par exemple, des branches sectorielles ou des syndicats patronaux, mais la volonté d’adapter la protection des données personnelles en prenant en compte les spécificités de différents secteurs se retrouve dans cette charte éthique qui prendrait en compte les particularités des traitements de données mis en œuvre lors de la sécurisation d’un système d’information.
 
59. –L’aboutissement dans la consignation dans le registre de traitement. – L’ensemble des documents ainsi établis lors de la définition de la politique de sécurité du SI de l’organisation, permettant de concilier la protection des salariés face à une collecte de données fortement intrusives avec une description plus globale des informations enregistrées et des outils les exploitant afin de respecter les contraintes de discrétion inhérentes aux outils de sécurité, doivent in fine faire partie intégrante du registre des activités du traitement prévu par le RGPD (RGPD, 27 avr. 2016, art. 30).
 
2 – Une utilisation postérieure des données prévues
60. –Extension de la finalité et interconnexion. – En matière de sécurité informatique, il est impossible, par anticipation, de dresser la liste exhaustive des données qui peuvent s’avérer utiles pour comprendre et cerner les conséquences d’une intrusion ou d’une atteinte à des données personnelles.
 
61. –Pire, l’efficacité des outils de cybersécurité suppose que les données de différentes sources soient analysées ensemble. Ce sont, par exemple, le banal carnet d’adresse de la messagerie électronique d’un membre du personnel qui peut avoir été utilisé par un code malveillant pour diffuser à l’ensemble des adresses y figurant, un courriel frauduleux, ou encore des journaux de log (enregistrant les ouvertures de sessions, les connexions aux sites Internet, etc.) qui deviennent intelligibles lorsqu’ils sont exploités conjointement avec d’autres informations telles que l’historique de modifications de fichiers ou certains paramètres systèmes. Or, en matière de loi informatique et libertés, cette façon de procéder est une interconnexion de traitements qui doit être explicitement déclarée lors de la création du traitement (L. n° 78-17, 6 janv. 1978, art. 30, I : « 3° Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d'autres traitements »), soulevant ainsi un problème puisqu’il est difficile, en amont, de savoir quelles sont les informations numériques qui seront utiles pour déterminer la cause de l’incident ou pour identifier quelles données personnelles ont subi une violation.
 
62. –En cybersécurité, une structure est donc potentiellement confrontée à deux utilisations postérieures de traitements de données : l’extension de la finalité d’un traitement (le carnet d’adresse dans l’exemple précédent) et l’interconnexion de traitements distincts (l’analyse du carnet d’adresse croisée avec, par exemple, les journaux de log enregistrant les ouvertures de sessions).
 
63. –La prise en compte du big data et de l’intelligence artificielle. – Le RGPD répond conjointement à l’extension de finalité et à l’interconnexion puisque le « développement du big data (…) associé au progrès de l’intelligence artificielle, vient remettre en cause ce principe de détermination des finalités au moment de la collecte des données » (Gaullier Fl., RGPD- Le principe de finalité dans le RGPD : beaucoup d’anciens et un peu de nouveau, LexisNexis, Communication commerce électronique 2018, n° 4).  Même si le RGPD n’apporte pas une réponse franche et précise pour l’ensemble des traitements, et ne tranche la question que pour « certains domaines de la recherche scientifique », (RGPD, 27 avr. 2016, cons. n° 33) un assouplissement est de mise dès que l’exploitation ultérieure des données reste compatible avec les finalités initialement énoncées (RGPD, 27 avr. 2016, art. 5).
 
64. –En matière de sécurité du système d’information, la justification de l’extension de l’utilisation d’un traitement de données est évidente, aussi bien pour mettre en place toute mesure technique nécessaire à la protection en temps réel du SI, qu’à la suite d’un incident pour ressembler les éléments permettant de déterminer la source d’une attaque et l’ampleur de l’impact sur les ressources numériques de l’entité. Cette justification ne souffrira aucune contestation dès lors que sont respectées les procédures précédemment décrites pour exploiter les données de sécurité, protégeant ainsi les salariés de l’organisation contre une utilisation étendue des données initialement collectées, qui serait réalisée avec une autre finalité que celle entourant la sécurisation du SI.
 
65. –Une priorité qui reste à achever. – La mise en œuvre de la cybersécurité au sein d’une structure nécessite la mise en place d’outils techniques qui vont créer des traitements de données de sécurité concernant, notamment le personnel de cette entité. On peut regretter que les différents textes imposant l’obligation de sécurisation n’aient pas réellement pris en compte le stockage d’informations personnelles réalisé à cette fin, en instaurant, par exemple, un régime dérogatoire, dont la contrepartie pourrait être une opposabilité fortement restreinte. L’efficacité de la sécurité du SI dans les structures hautement critiques s’en trouverait facilitée.
 
66. –D’ailleurs, en cas de violation manifeste des intérêts d’une organisation par l’un de ses salariés, celle-ci conserverait la possibilité de déclencher une enquête pénale, puisque ces juridictions ont une interprétation forte du principe de liberté de la preuve pour les parties.
Source : Actualités du droit