Malgré l’avancée de la jurisprudence en matière de cybersurveillance, le métier d’administrateur système reste mal défini.
L’arrivée de l’informatique dans les entreprises a nécessité la création du poste d’administrateur système. Par la suite, Internet a fait évoluer cette fonction. En effet, les employés utilisent tous cet outil aujourd’hui et les sociétés ont aussi pris conscience qu'une grande partie de leurs actifs résidaient dorénavant dans leur système d'information : secrets commerciaux, informations stratégiques confidentielles, bases de données client, savoir faire, brevets… L'ouverture du système d'information sur le réseau Internet a donc rendu celui ci très vulnérable aux attaques tant externes qu'internes.
Leur rôle est de veiller à assurer le fonctionnement normal et la sécurité des réseaux et systèmes, ce qui les met dès lors dans une position délicate : il est conduit, au titre de ses obligations professionnelles, surveiller l'activité des salariés sur Internet, à avoir accès à l’ensemble des informations relatives aux utilisateurs (messagerie, connexions à internet, fichiers "logs" ou de journalisation, etc.) y compris celles qui sont enregistrées sur le disque dur du poste de travail. Mais il risque alors de commettre une infraction au regard du principe du secret ou de la discrétion professionnels…
A ce sujet, dans un arrêt du 17 décembre 2001, la Cour d’appel de Paris a ainsi relevé que, de manière générale, « la préoccupation de la sécurité du réseau justifie que les administrateurs fassent usage de leur position et des possibilités techniques dont ils disposaient pour mener les investigations et prendre les mesures que cette sécurité imposait », mais elle a considéré dans cette affaire que « la divulgation du contenu des messages, et notamment du dernier qui concernait le conflit latent dont le laboratoire était le cadre, ne relevait pas de ces objectifs ».
En résumé, « l’accès aux données enregistrées par les employés dans leur environnement informatique - qui sont parfois de nature personnelle - ne peut être justifié que dans les cas où le bon fonctionnement des systèmes informatiques ne pourrait être assuré par d’autres moyens moins intrusifs », CNIL.
Nous avions parlé, dans un précédent billet, de l’arrêt du 18 octobre 2006. Cette nouvelle jurisprudence clarifie nettement le métier de l’administrateur puisque désormais, tous les documents, informatiques ou pas, présents dans l’ordinateur ou dans le bureau d’un salarié, mis à disposition par l’employeur, sont présumés professionnels sauf s’ils sont clairement identifiés comme personnels.
Et comme le suggère Isabelle Renard, journaliste au Journal du Net, « il est important de doter les administrateurs systèmes d'un statut et d'une éthique clairs et cohérents ».
Sources :
- « La cybersurveillance sur les lieux de travail », rapport de la CNIL (Hubert Bouchet - mars 2004)
- « Administrateurs systèmes et cybersurveillance : entre le marteau et l'enclume », Isabelle Renard, Journal du Net – 10 septembre 2003.