Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 69

La plupart des chartes informatiques des
entreprises reprennent ces principes.

Des principes a priori
simples, mais difficiles à
mettre en application
Ils rencontrent toutefois un certain nombre
de difficultés d'application.
D'abord parce que les élus du comité d'entreprise, lors de la présentation
d'une charte destinée à être intégrée au
règlement intérieur, opposent parfois une
forte résistance à ce qu'ils considèrent
comme des atteintes à la vie privée des
salariés, arguant de possibles débordements de l'employeur sur la base de
dispositions jugées trop « ouvertes » des
textes proposés. Il est d'ailleurs exact que
les principes susvisés ne résolvent pas
tout. Relativement clairs lorsqu'il s'agit
d'e-mails ou de fichiers, ils sont d'application plus délicate s'agissant de la navigation internet : comment fixer le seuil de tolérance du temps de navigation ? Comment
faire le départ entre la navigation professionnelle et la navigation privée ? Trop
d'interdits tue l'interdit, et les listes à la
Prévert dont sont truffées certaines chartes
leur font perdre toute efficacité en prohibant dans le même élan la fréquentation
des sites de courses en ligne et celle des
sites pédophiles.
Et puis, surtout, un certain nombre de
facteurs récents visent à effacer toute
frontière entre vie professionnelle et vie
privée. En tête, la mode du « BYOD8 »,
qui consiste à autoriser, voire inciter le
salarié à utiliser ses propres équipements
(smartphone, tablette, PC...) pour rester en
contact avec l'entreprise. Non seulement
cette tendance présente un risque majeur
en termes de sécurité des systèmes
d'information, comme le relève l'Anssi9 de
PRÉCISIONS : Suite à la publication de l'article
de Guillaume Desgens-Pasanau : « Données
personnelles, ouverture de l'usage du NIR au
secteur privé », dans le numéro de décembre
2014, la société Celtipharm a souhaité nous
apporter son éclairage à la décision commentée
du Conseil d'Etat du 26 mai 2014. Ce dernier avait
confirmé la délibération de la Cnil qui avait
autorisé cette société à mettre en œuvre un traitement de données à caractère personnel ayant
pour finalité la réalisation d'études épidémiologiques à partir de données issues des feuilles de
soins électroniques anonymisées à bref délai.
« La délibération Cnil n°2011-246 confirmée par
le Conseil d'Etat n'ouvre pas l'usage du NIR au
secteur privé
Pour autoriser à la société Celtipharm de
procéder au traitement de données à caractère personnel contesté par l'auteur, la Cnil
relève expressément dans sa décision que :
« le dispositif mettra en œuvre à plusieurs
reprises une fonction d'anonymisation irréversible à clé secrète type FOIN (. . .). Les données
d'identification du patient feront l'objet d'une
double anonymisation FOIN2 : une première

69

façon constante10, mais surtout, elle rend en
pratique impossible toute limitation quant
à l'usage de l'équipement en question.
Or, ces limitations sont essentielles pour
des raisons qui ne tiennent pas uniquement à l' « ordre public » de l'entreprise, qui veut que ses salariés utilisent
- par principe -, le système d'information de cette dernière pour exercer leur
mission professionnelle.
Elles tiennent également au fait que les
malware qui menacent les systèmes
d'information des entreprises occidentales sont la plupart du temps introduits
et propagés dans les systèmes par leurs
utilisateurs légitimes et à leur insu, suite
à une navigation internet ou à un téléchargement inapproprié infectant leur
poste puis, par propagation, le reste du
système d'information. Ces malware ne
sont pas à prendre à la légère. Ils sont le
fait de groupes organisés, qui peuvent par
des actions ciblées déstabiliser des pans
entiers de l'économie du pays en prenant
le contrôle, ou en perturbant le fonctionnement du système d'information d'un
certain nombre d'entreprises agissant
dans des secteurs clé : énergie, transport,
télécom ou banque par exemple.

Le débat actuel est un combat
d'arrière-garde
Dans ce contexte, il nous semble que
le débat chronophage de la recherche
du « juste équilibre » entre l'intérêt de
l'entreprise et la protection des salariés est
un combat d'arrière-garde. Le problème
n'est pas là. Le problème est que les
salariés soient suffisamment conscients
et disciplinés pour accepter, et respecter, des restrictions dans l'utilisation du
système d'information pour des raisons
qui tiennent essentiellement à la vulnérabilité de ces systèmes. Et ce d'autant plus
anonymisation sera réalisée par les organismes concentrateurs techniques (OCT) et une
deuxième par la société Celtipharm. La clé détenue par l'OCT n'est jamais portée à la connaissance de la société Celtipharm». En d'autres
termes, à aucun moment le traitement autorisé
par la Cnil, prévoyant une double anonymisation, ne permet à Celtipharm d'enregistrer directement le NIR et ainsi d'accéder à l'identité des
personnes concernées.
Or, pour introduire son propos, l'auteur pose
le débat en ces termes : « l'utilisation du NIR à
des fins commerciales apparaît (. . .) désormais
possible et l'on peut légitimement s'interroger
sur les conséquences négatives à venir pour la
protection des données des personnes concernées ». « la Cnil a autorisé une société commerciale à utiliser le numéro de sécurité sociale (NIR)
afin de permettre l'analyse des feuilles de soins
adressées par les pharmaciens, par voie électronique, à la sécurité sociale ». Ainsi rappellet-il alors, tout au long de son article, que la Cnil
opère par cette délibération un véritable revirement de sa doctrine qui jusqu'alors rejetait toute
demande d'opérateurs privés portant sur l'utilisation du NIR.

EXPERTISES FÉVRIER 2015

que ce débat n'a plus guère de sens : pratiquement tout le monde peut disposer d'un
smartphone personnel, avec lequel il peut
faire ce qu'il veut sans mettre en danger le
système d'information de son entreprise.
Quant aux entreprises, à elles de ne pas
vouloir « le beurre et l'argent du beurre »,
ce qu'elles font en encourageant l'usage
du BOYD ou le travail à domicile avec les
PC personnels.
En conclusion, nous militons fermement
pour l'adoption de chartes informatiques
simples, courtes, et directes : quatre pages
maximum, des interdictions claires, des
contrôles et des sanctions applicables, et
pas de mélange entre l'outil professionnel
et l'outil personnel. Un retour au bon sens,
peut-être ?

Isabelle RENARD
Avocat
Isabelle Renard IT LAW

Notes
(1) Cass. Soc. 18 oct. 2006, n°04-48025
(2) Cass. Soc., 18 Oct.2011, N°10-626782
(3) Cass. Soc., 9 février 2010, N°08-645253
(4) Cass. Soc., 12 février 2013, N°11-28649
(5) Jurisprudence constante depuis Cass.Soc.,
17 mai 2005, Bull.Civ.2005, V,n°1089
(6) Cass.Soc.,23 mai 2007, n°05-17818
(7) Cass. Soc., 17 juin 2009, n°08-40274 pour un
site classé Seveso
(8) Bring Your Own Device
(9) Agence Nationale de la Sécurité des Systèmes
d'Information
(10) Voir not. « Note technique - Recommandations
de
sécurité
relatives
aux
ordiphones
n°DAT-NT-10/ANSSI/SDE/NP du 19 juin 2013

Il cite plusieurs décisions de rejet formulées
par la Cnil à l'encontre de demandes émanant
d'opérateurs privés (Délibérations n°2006-45,
n°2006-46 et n°2006-55, toutes trois rendues le
23 février 2006).
Ces trois décisions s'opposent aux traitements
proposés par trois acteurs privés sur la base d'un
accès direct au NIR sans aucun procédé d'anonymisation, supposant par là même son accès
libre aux données personnelles des patients
référencés.
Un tel procédé, logiquement rejeté par la Cnil,
est parfaitement distinct de celui autorisé à
Celtipharm, puisque ce dernier prévoit au
contraire une double anonymisation préalable,
garantie du respect des données personnelles
en cause. Par conséquent, l'autorisation délivrée
par la Cnil au profit de Celtipharm ne constitue
en rien un revirement de sa doctrine.
Cette double anonymisation, raison véritable
ayant amené la Cnil à autoriser notre traitement,
est volontairement occultée par Guillaume
Desgens-Pasanau dans le seul but de faciliter
son argumentaire »



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399

COUVERTURE
SOMMAIRE
MAGAZINE - LOGICIELS : Oracle jugé pour ses audits de licences
INTERVIEW - CATHERINE CHAMBON - FOCUS SUR LA CYBERCRIMINALITÉ
DOCTRINE
MONNAIES VIRTUELLES (PARTIE 1) - Le cas Bitcoin : Paradoxes et processus d’une crypto-monnaie
RÉALITÉ AUGMENTÉE - Vers un encadrement juridique 3.0 ?
PÉNAL - Le vol de données informatiques
SOCIAL - Intérêt de l’entreprise / protection des salariés : un combat d’arrière-garde
RÉSEAUX SOCIAUX - Politique d’utilisation des données
RESPONSABILITÉ - L’abus de procédure sanctionné comme fraude aux droits
JURISPRUDENCE SPIRULINE SANS FRONTIÈRE (S.S.F.) / GUILLAUME C.
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - COUVERTURE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - SOMMAIRE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - MAGAZINE - LOGICIELS : Oracle jugé pour ses audits de licences
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 44
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 45
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 46
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 47
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 48
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 49
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 50
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - INTERVIEW - CATHERINE CHAMBON - FOCUS SUR LA CYBERCRIMINALITÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 52
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 53
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 54
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 55
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - MONNAIES VIRTUELLES (PARTIE 1) - Le cas Bitcoin : Paradoxes et processus d’une crypto-monnaie
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 57
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 58
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 59
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 60
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 61
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 62
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 63
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - RÉALITÉ AUGMENTÉE - Vers un encadrement juridique 3.0 ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 65
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 66
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - PÉNAL - Le vol de données informatiques
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - SOCIAL - Intérêt de l’entreprise / protection des salariés : un combat d’arrière-garde
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 69
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - RÉSEAUX SOCIAUX - Politique d’utilisation des données
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 71
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 72
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 73
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - RESPONSABILITÉ - L’abus de procédure sanctionné comme fraude aux droits
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 75
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - JURISPRUDENCE SPIRULINE SANS FRONTIÈRE (S.S.F.) / GUILLAUME C.
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 77
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 78
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 79
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2015 - n°399 - 80
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com