Ces données doivent bien entendu être protégées. Parmi les dispositifs de protection mis en œuvre par les entreprises pour garantir la confidentialité de ces données, le chiffrement occupe une place de premier plan. Cette technique consiste à convertir des données de façon à les rendre totalement incompréhensibles pour quiconque. La seule façon de déchiffrer ces mêmes données consiste alors à utiliser une clé dite de “déchiffrement”.
Certaines situations peuvent contraindre l’employeur à procéder au déchiffrement des flux de données entrants et sortants de l’entreprise.
Dans ce cas, l’employeur - et/ou son éventuel sous-traitant - doit se montrer particulièrement précautionneux et respecter un certain nombre de règles et de procédures, sous peine d’être pénalement sanctionné.
1) Chiffrement, déchiffrement… En quoi ces procédés d’apparence purement technique présentent-ils des enjeux juridiques essentiels pour l’employeur ?
Afin de garantir la confidentialité des flux de données transitant sur leur réseau, la plupart des entreprises utilisent un protocole dit “TLS” (Transport Layer Security).
Cette méthode permet de conserver l’intégralité des données échangées, tout en apportant des fonctions d’authentification du serveur et, dans certains cas, de l’utilisateur final.
Toutefois, en utilisant cette technique de chiffrement, l’entreprise n’est plus en mesure d’analyser et de contrôler les données entrantes et sortantes de son réseau.
La sécurité de son système d’information s’en trouve alors sérieusement compromise.
En effet, des sites mal intentionnés peuvent profiter de l’utilisation de ce protocole pour extraire des informations du réseau interne ou, au contraire, introduire des contenus malveillants, tout ceci à l’insu des salariés et de l’employeur.
A cet égard, les menaces et attaques ciblant spécifiquement les flux chiffrés ont explosé au cours des dernières années [1].
Dans ce contexte, la CNIL a admis, dans une note du 31 mars 2015 [2], que le déchiffrement des flux de données HTTPS [3] par les employeurs pouvait constituer une mesure légitime.
En effet, certains cas de figure peuvent amener l’employeur à contrôler les flux de données chiffrées circulant via les outils informatiques utilisés par ses salariés, dans le but de garantir la sécurité de son système d’information.
Cette mesure doit toutefois être encadrée dans la mesure où elle porte nécessairement atteinte aux droits des salariés. A défaut, l’employeur est susceptible d’engager sa responsabilité.
2) Sous quelles conditions l’employeur peut-il légitimement procéder au déchiffrement des données ?
Le déchiffrement de données par l’employeur est légitime dès lors qu’il vise à assurer la sécurité de son système informatique.
Dans cette perspective, l’employeur - et/ou son sous-traitant informatique - est tenu de respecter plusieurs conditions.
Ainsi, avant toute chose, l’employeur doit informer ses salariés en amont sur :
les catégories de personnes impactées par la mesure de déchiffrement ;
les raisons de cette mesure (identification de logiciels malveillants, détection de flux entrants ou sortants anormaux, protection du patrimoine informationnel…) ;
la nature de l’analyse réalisée ;
les données conservées ;
les modalités d’investigation des équipes chargées de la gestion des ressources informatiques dans l’entreprise ;
l’existence de dispositifs permettant une utilisation personnelle qui ne serait pas soumis à l’analyse des flux ;
les sites faisant l’objet d’une “liste blanche” (cf. infra).
Cette information prend communément la forme d’une charte informatique.
Afin de lui attribuer une valeur contraignante et garantir son efficacité, il est fortement recommandé d’annexer cette charte au règlement intérieur de l’entreprise.
Dans cette hypothèse, l’employeur doit consulter le Comité social et économique (CSE) puis procéder aux formalités applicables au règlement intérieur : dépôt au greffe du Conseil de prud’hommes et transmission à Direction régionale de l’économie, de l’emploi, du travail et des solidarités.
Ensuite, l’employeur est tenu de mettre en place une gestion stricte des droits d’accès des administrateurs aux courriers électroniques.
A cet égard, la Cour de cassation a eu l’occasion de rappeler que
« les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors sa présence » [4].
Les courriers électroniques sont soumis à la même présomption [5].
Par ailleurs, l’employeur doit veiller à minimiser les traces conservées à la suite de l’analyse des flux. Ainsi, la CNIL préconise de conserver uniquement les fichiers malveillants, ainsi que les informations relatives à leur source et leur destination, en excluant les identifiants et les mots de passe.
Enfin, l’employeur doit assurer la protection des données d’alerte extraites de l’analyse. Pour ce faire, il peut utiliser la technique du chiffrement ou bien stocker les données en dehors de l’environnement de production, par exemple. La CNIL fixe la durée maximale de conservation de ces données à six mois.
Outre les mesures précitées recommandées par la CNIL, l’ANSSI [6] (Agence nationale de la sécurité des systèmes d’information) recommande de nommer un administrateur, qui sera expressément et exclusivement autorisé à accéder aux contenus déchiffrés. Cet administrateur est tenu à une obligation de confidentialité, y compris à l’égard de l’employeur.
3) Quels sont les risques juridiques associés à la mise en œuvre du déchiffrement de données ?
La technique du déchiffrement ne saurait être mise en œuvre sans avoir préalablement et scrupuleusement envisagé l’atteinte à un certain nombre de droits, y compris fondamentaux, qui en découle.
En effet, le déchiffrement en tant que tel peut porter atteinte aux libertés individuelles que sont, entre autres :
la protection des données à caractère personnel,
la vie privée des salariés et de leurs interlocuteurs,
le secret des correspondances privées.
Toutes ces atteintes sont, en principe, pénalement répréhensibles.
Dès lors, les mesures de déchiffrement doivent être justifiées par la nature de la tâche et la nécessité de maintenir le réseau des systèmes informatiques en condition de sécurité.
Le déchiffrement doit ainsi revêtir un caractère proportionné au but poursuivi, et respecter les conditions énumérées supra.
Dans tous les cas, le salarié dont les données ou fichiers identifiés comme “personnels” sont étudiés, doit impérativement être présent lors de cette analyse, ou du moins “dûment appelé” [7].
4) Quels sont les flux de données exclus du périmètre du déchiffrement ?
Certains sites internet requièrent, par principe, un certificat d’authentification destiné à sécuriser l’échange de données entre serveurs.
Ces sites sont répertoriés au sein d’une “liste blanche”. Le déchiffrement de données provenant de ces sites internet est alors exclu.
Il en va ainsi des sites :
des banques,
de certains services de messagerie,
des organismes de sécurité sociale,
des mutuelles,
des laboratoires d’analyses médicales…
Cette liste blanche tend à s’élargir, en raison du renforcement des mesures de sécurité des fournisseurs de service ou des éditeurs de logiciels [8].
Nous l’aurons compris, le déchiffrement de données constitue un sujet particulièrement délicat pour l’employeur, celui-ci devant se prémunir contre un certain nombre de risques.
L’employeur doit donc se montrer particulièrement vigilant lorsqu’il envisage de procéder à des mesures de déchiffrement de données concernant directement ou indirectement ses salariés.
Plus encore, il doit impérativement prévoir des obligations spécifiques encadrant l’usage de ces mesures lorsqu’il a recours à un sous-traitant.
Ces dispositions sont alors développées :
dans la charte d’utilisation des moyens informatiques et de communications électroniques annexée au règlement intérieur - mentionnée au début de l’article - opposable à l’ensemble des salariés ;
dans le contrat d’externalisation entre l’employeur et le sous-traitant.
En pratique, le sous-traitant doit être soumis aux mêmes obligations que celles auxquelles est tenu l’employeur. A défaut, celui-ci encourt le risque d’engager sa propre responsabilité.
