Après avoir réalisé une série de contrôles sur place portant sur la protection de la vie privée des salariés, des clients, des fournisseurs, etc. dont les données personnelles sont enregistrées dans un système informatique, la CNIL a relevé l'existence de nombreuses failles de sécurité. Aussi, elle propose aux détenteurs de fichiers, par l'intermédiaire de leur direction des systèmes d'information (DSI) ou de leur responsable informatique, de suivre ses conseils pour assurer un premier niveau de sécurité aux données qu'elles traitent.

http://www.cnil.fr/la-cnil/actu-cnil/article/article//10-conseils-pour-securiser-votre-systeme-dinformation-1/

Elle rappelle également que la Loi informatique et libertés impose aux organismes de mettre en œuvre des fichiers garantissant la sécurité des données qui y sont traitées. A défaut, des sanctions peuvent être prononcées, notamment en cas d'atteinte avérée.

Sécurisation des données

Adopter une politique de mot de passe rigoureuse

Tout d'abord, la CNIL rappelle que l'accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est une nécessité. Concernant le mot de passe, il doit être : individuel, difficile à deviner, et rester secret.

Il ne doit pas, par exemple, être écrit sur un support proche du poste de travail ou facile d'accès (ex : post-it comportant ces informations collé à l'écran).
La DSI ou le responsable informatique doit impérativement :

1.    Mettre en place une politique de gestion des mots de passe rigoureuse :
Un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois).

2.    Le système doit contraindre l'utilisateur à choisir un mot de passe différent des 3 qu'il a utilisés précédemment :
Généralement attribué par l'administrateur du système, le mot de passe doit être modifié obligatoirement par l'utilisateur dès la première connexion.

3.    Les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu'ils utilisent eux-mêmes, et ce à fréquence régulière.

Concevoir une procédure de création et de suppression des comptes utilisateurs

L'accès aux postes de travail et aux applications doit s'effectuer à l'aide de comptes utilisateurs nominatifs, et non "génériques" (compta1, compta2…), afin de pouvoir éventuellement être capable de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l'ensemble des intervenants.

La CNIL rappelle que les comptes "génériques" ne permettent pas d'identifier précisément une personne, et en cas de faille de sécurité il est impératif pourtant d'identifier cet utilisateur.

Cette règle doit également s'appliquer aux comptes des administrateurs systèmes et réseaux et des autres agents chargés de l'exploitation du système d'information.

Sécuriser les postes de travail

Les postes des agents doivent être paramétrés afin qu'ils se verrouillent automatiquement au-delà d'une période d'inactivité (10 minutes maximum).

Les utilisateurs doivent être incités à verrouiller systématiquement leur poste dès qu'ils s'absentent de leur bureau (ex : pour aller aux commodités ou prendre le café).

Le contrôle de l'usage des ports USB sur les postes "sensibles", interdisant par exemple la copie de l'ensemble des données contenues dans un fichier, est fortement recommandé (ex : bloquer par un support rigide fixe, l'accès aux ports USB).

Identifier précisément qui peut avoir accès aux fichiers

L'accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l'exécution des missions qui leurs sont confiées. Aussi, la CNIL invite les organismes à élaborer "le profil d'habilitation" de l'agent ou du salarié concerné.

Pour chaque mouvement ou nouvelle affectation d'un salarié à un poste, le supérieur hiérarchique concerné doit identifier le ou les fichiers auxquels celui-ci a besoin d'accéder et faire procéder à la mise à jour de ses droits d'accès.

Une vérification périodique des profils des applications et des droits d'accès aux répertoires sur les serveurs est donc nécessaire afin de s'assurer de l'adéquation des droits offerts et de la réalité des fonctions occupées par chacun.

Veiller à la confidentialité des données vis-à-vis des prestataires

Les interventions des divers sous-traitants du système d'information d'un responsable de traitement doivent présenter les garanties suffisantes en termes de sécurité et de confidentialité à l'égard des données auxquelles ceux-ci peuvent, le cas échéant, avoir accès. La loi impose ainsi qu'une clause de confidentialité soit prévue dans les contrats de sous-traitance.

Les éventuelles interventions d'un prestataire sur des bases de données doivent se dérouler en présence d'un salarié du service informatique et être consignées dans un registre.
Les données qui peuvent être considérées "sensibles" au regard de la loi, par exemple des données de santé ou des données relatives à des moyens de paiement, doivent au surplus faire l'objet d'un chiffrement.
Notons que l'administrateur systèmes et réseau n'est pas forcément habilité à accéder à l'ensemble des données de l'organisme. Pourtant, il a besoin d'accéder aux plates-formes ou aux bases de données pour les administrer et les maintenir.

En chiffrant les données avec une clé dont il n'a pas connaissance, et qui est détenue par une personne qui n'a pas accès à ces données (le responsable de la sécurité par exemple), l'administrateur peut mener à bien ses missions et la confidentialité est respectée.

Sécuriser le réseau local

Afin de sécuriser un système d'information vis-à-vis des attaques extérieures, il faut :

1.    Un premier niveau de protection est indispensable, et mis en œuvre grâce à des dispositifs de sécurité logique spécifiques tels que des routeurs filtrants (ACL), pare-feu, sonde anti-intrusions, etc. Une protection fiable contre les virus et logiciels espions suppose une veille constante pour mettre à jour ces outils, tant sur le serveur que sur les postes des agents.

2.    La messagerie électronique doit faire l'objet d'une vigilance particulière.

3.   Les connexions entre les sites parfois distants d'une entreprise ou d'une collectivité locale doivent s'effectuer de manière sécurisée, par l'intermédiaire des liaisons privées ou des canaux sécurisés par technique de "tunneling" ou VPN (réseau privé virtuel).

4.    Les réseaux sans fil doivent être sécurisés compte tenu de la possibilité d'intercepter à distance les informations qui y circulent :
-    utilisation de clés de chiffrement,
-    contrôle des adresses physiques des postes clients autorisés.

5.    Les accès distants au système d'information par les postes nomades doivent faire préalablement l'objet d'une authentification de l'utilisateur et du poste.

6.  Les accès par internet aux outils d'administration électronique nécessitent des mesures de sécurité fortes, notamment par l'utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS.

Notons qu'un référentiel général de sécurité, relatif aux échanges électroniques entre les usagers et les autorités administratives, sera prochainement en vigueur, et imposera à chacun des acteurs des mesures de sécurité spécifiques.

Sécuriser l'accès physique aux locaux

L'accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnels habilités. Ces locaux doivent faire l'objet d'une sécurisation particulière :

-    vérification des habilitations
-    gardiennage,
-    portes fermées à clé,
-    digicode,
-    contrôle d'accès par badge nominatifs.

La DSI ou le responsable informatique doit veiller à ce que les documentations sensibles (techniques, plans d'adressages réseau, contrats, etc.) soient elles aussi protégées.

Anticiper le risque de perte ou de divulgation des données

Afin de prévenir toute perte ou divulgation de données, il convient d'identifier les éventuelles causes, à savoir :
     l'erreur ou la malveillance d'un salarié ou d'un agent ;
     le vol d'un ordinateur portable ;
     une panne matérielle ;
     les conséquences d'un dégât des eaux ou d'un incendie.
Une fois ce diagnostic effectué, il faut veiller à :

1.    Stocker les données sur des espaces serveurs prévus à cet effet et faisant l'objet de sauvegardes régulières.

2.    Stocker les supports de sauvegarde dans un local distinct de celui qui héberge les serveurs (idéalement dans un coffre ignifugé).

3.   Sauvegarder les données sensibles ou capitales pour l'activité de l'organisme hébergées par les serveurs.

4.    Doter ces serveurs d'hébergement d'un dispositif de tolérance de panne.

5.    Rédiger une notice relative à la procédure "urgence - secours" qui décrit comment remonter rapidement ces serveurs en cas de panne ou de sinistre majeur.

6.    Mettre en œuvre un dispositif de sécurisation adapté pour les supports nomades (ordinateurs portables, clé USB, assistants personnels etc.), par chiffrement, au regard de la sensibilité des dossiers ou documents qu'ils peuvent stocker.

7.    Détruire avant de les jeter, les matériels informatiques en fin de vie, tels que les ordinateurs ou les copieurs (ou expurgés les disques durs avant de les donner à des associations).

8.  Formatage de bas niveau destiné à effacer les données qui peuvent être stockées sur les disques durs et les périphériques de stockage amovibles en réparation, réaffectés ou recyclés.

Anticiper et formaliser une politique de sécurité du système d'information

L'ensemble des règles relatives à la sécurité informatique doit être formalisé dans un document accessible à l'ensemble des agents ou des salariés. Sa rédaction requiert l'inventaire préalable des éventuelles menaces et vulnérabilités qui pèsent sur un système d'information. Il convient de faire évoluer régulièrement ce document, au regard des modifications des systèmes et outils informatiques utilisés par l'organisme concerné.

Enfin, le paramètre "sécurité" doit être pris en compte en amont de tout projet lié au système d'information.

Sensibiliser les utilisateurs aux "risques informatiques" et à la loi "informatique et libertés"

Le principal risque en matière de sécurité informatique est l'erreur humaine. Les utilisateurs du système d'information doivent donc être particulièrement sensibilisés aux risques informatiques liés à l'utilisation de bases de données. Cette sensibilisation peut prendre la forme de formations, de diffusion de notes de service, ou de l'envoi périodique de fiches pratiques.

Elle doit également formaliser dans un document, de type "charte informatique", qui peut préciser :

1.    Les règles à respecter en matière de sécurité informatique. A cela s'ajoute l'obligation de veiller à ce que les utilisateurs nettoient régulièrement leurs vieux documents et messages électroniques sur leurs postes, nettoient régulièrement le répertoire d'échange partagé entre les différents services afin qu'il ne se transforme pas en espace "fourre-tout" (fichiers personnels des agents mélangés avec des dossiers sensibles).

2.    Les règles relatives au bon usage de la téléphonie, de la messagerie électronique ou encore d'internet.

3.    Les conditions dans lesquelles un salarié ou un agent peut créer un fichier contenant des données personnelles (par exemple après avoir obtenu l'accord de son responsable, du service juridique ou du CIL de l'entreprise ou de l'organisme dans lequel il travaille).

Et s'accompagner d'un engagement de responsabilité à signer par chaque utilisateur.

Cet article a été rédigé par notre équipe de juristes.Cliquez pour en savoir plus

Un salarié peut, grâce aux connaissances acquises, aux méthodes de fabrication et de la clientèle de son ancienne entreprise, créer sa propre entreprise.

Il a la liberté d'entreprendre en l'absence de dispositions de non-concurrence.

Mais cette activité concurrente de celle de son ancien employeur doit être exercée de manière loyale. La création d’une entreprise par un ancien salarié ne doit dissimuler aucun détournement de clientèle, aucun dénigrement et aucune confusion avec l'entreprise qu'il a quittée. Même en l’absence d’une clause de non concurrence dans le contrat de travail, le salarié ne peut exercer une activité identique ou similaire à celle de son ancien employeur dans des conditions déloyales, après la rupture du contrat.

En outre, un salarié a aussi l’interdiction de créer une entreprise concurrente à celle de son employeur alors qu'il est encore à son service. Il ne doit, en effet, accomplir aucun acte effectif de concurrence avant la fin du contrat de travail.

Selon l'article 1134 du code civil, les conventions doivent être exécutées de bonne foi, ce qui met à la charge du salarié et de l’employeur une obligation générale de loyauté. Cette obligation débute dès la signature du contrat de travail et continue durant toute son existence. Le salarié a donc l’interdiction d’exercer toute activité concurrente de celle de l'employeur pour son propre compte ou pour celui d'une autre entreprise au cours d'un arrêt de travail, notamment pour maladie, pour congé de maternité ou congé sabbatique. Le salarié prend alors le risque de se voir licencier pour faute grave.

Le non-respect de l’obligation de loyauté par le salarié engendre, dans la plupart des cas, la rupture du contrat. La jurisprudence considère que l’acte déloyal du salarié peut être une cause réelle et sérieuse de licenciement. L'acte de concurrence déloyale du salarié envers son employeur peut également constituer une faute grave ou lourde justifiant le départ immédiat du salarié de l’entreprise sans préavis, ni indemnités. La Cour de cassation a rappelé en 2002 le principe selon lequel le salarié qui exerce temporairement et bénévolement une activité n'implique aucun acte déloyal. Aucune faute grave ne peut donc lui être reprochée (Cass. Soc., 4 juin 2002). En revanche, si l'activité bénévole fait concurrence à celle de son employeur, il y a faute grave (Cass. Soc., 2 décembre 1997).

La jurisprudence est dense pour définir des agissements constitutifs de concurrence déloyale d’un salarié.

Par exemple :

-    le détournement de la clientèle de l'ancien employeur (Cass . com., 28 avr. 1980) ;

-    le cadre qui entretient des relations avec une société concurrente ou qui utilise, en vue de les détourner ultérieurement à son profit personnel, ses relations professionnelles avec les fournisseurs et les clients de l'entreprise ;

-    l’utilisation d’une enseigne similaire et le fichier des clients ;

-    la confusion entre des sociétés concurrentes, de désorganiser l'entreprise rivale et de porter atteinte à son image commerciale (CA Dijon, 5 janv. 1993) ;

-    les salariés qui, au mépris d'un engagement de non-concurrence, ont, après avoir démissionné d'une entreprise, fondé dans la même localité une société exerçant une activité identique dont ils sont devenus les cogérants (Cass. com., 5 févr.1991) ;

-    le salarié qui entame des pourparlers avec d'autres membres de l'entreprise en vue de créer une entreprise directement concurrente à celle de son employeur (Cass. Soc.15 Nov. 1984).

Cet article a été rédigé par notre équipe de juristes.Cliquez pour en savoir plus

La loi de programmation pour la cohésion sociale du 18 janvier 2005 a instauré pour les entreprises et les groupes d’entreprises d’au moins 300 salariés une obligation triennale de négocier sur la gestion prévisionnelle des emplois et des compétences (GPEC).

Mais cette négociation sur la GPEC est-elle un préalable obligatoire à l’ouverture d’une procédure de licenciement pour motif économique ? Non, a répondu la Cour de cassation, dans un arrêt du 30 septembre 2009.

Dans cette affaire, une société qui envisageait de fermer l’un de ses centres avait saisit le comité central d’entreprise (CCE) d’un projet de licenciement collectif pour motif économique. Le CCE avait saisi en référé le tribunal d’une demande de suspension de la procédure de licenciement, au motif qu’aucune négociation sur la GPEC n’avait été engagée au préalable.

La Cour de cassation a jugé qu’un comité d’entreprise peut être valablement consulté sur un projet de licenciement économique collectif, sans que l’employeur ait au préalable engagé une négociation sur la GPEC, ni consulté le comité d’entreprise sur l'évolution annuelle des emplois et des qualifications.

La Cour de cassation a mis fin à la confusion qui régnait sur cette question. Certaines cours d’appel, en effet, avaient jugé que le fait de ne pas avoir mis en place de GPEC ne constituait pas un trouble manifestement illicite de nature à entraîner la procédure de licenciement (CA Rennes, 11 janvier 2007). D’autres, au contraire, avaient estimé que le comité d’entreprise pouvait demander la suspension de la procédure d’élaboration d’un plan de sauvegarde de l’emploi (PSE) jusqu’à l’ouverture des négociations sur la GPEC (CA Paris, 7 mars 2007).

La solution dégagée par la Cour de cassation est conforme à l’accord national interprofessionnel du 14 novembre 2008 sur la GPEC dont l’article 7 dispose : « (…) la GPEC n'est pas une étape préalable aux procédures de licenciements collectifs et aux PSE qui obéissent à des règles spécifiques et doit, de ce fait, être dissociée de leur gestion » (Source : Cass. soc. 30 septembre 2009 n° 07-20.525).

Cet article a été rédigé par notre équipe de juristes.Cliquez pour en savoir plus