Le DSI a-t-il le droit de donner des informations sur un salarié en particulier à la demande de sa direction ?

Qui n'a jamais été confronté en tant que DSI à la demande d'un dirigeant de fournir des informations concernant le temps passé non professionnellement sur Internet d'un salarié ?
Partagez vos expèriences !
Pensez-vous que vous en avez le doit ?
Et si oui dans quelle circonstances ?

La récolte de données à caractère personnels

L’administrateur, dans le cadre de ses fonctions, doit assurer d’une part le fonctionnement optimal des ressources informatiques dont il a la charge mais doit également assurer la sécurité de l’entreprise et des données personnelles qu’il conserve.
Son action doit donc se placer dans un cadre légal précis, il doit notamment respecter 3 principes du code du travail :

• Principe de proportionnalité

Article L120-2 : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas proportionnées au but recherché ».

Cela signifie que nul ne doit imposer des contraintes disproportionnées à l’objectif recherché. Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage légitime et déterminé. Ces données personnelles doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis.

La lecture individuelle des logs a ainsi été jugée contraire au principe de proportionnalité.

• Principe de transparence

Article L121-8 : « Aucune information concernant personnellement un salarié (…) ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié »

Cela signifie que lors de l’informatisation d’une société, les employés doivent être clairement informés des objectifs poursuivis, du caractère obligatoire ou facultatif de leurs réponses, des modalités de l’exercice de leurs droits.

• Principe de discussion collective

Article L432-2 : « Le comité d’entreprise est informé et consulté préalablement à tout projet important d’introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d’avoir des conséquences sur (…) la formation ou des conditions de travail du personnel »

Cela signifie que tout traitement informatique doit faire l’objet d’une information et consultation auprès du responsable du personnel et du comité d’entreprise. Celui-ci doit être régulièrement informé et consulté sur la mise en œuvre de nouvelles technologies.

Confidentialité et Logs : le rôle de l'administrateur.

Un administrateur peut-il fournir les logs d'une personne sur les ordres d'un responsable de service ?

Réponse : Non, Alinéa 2 de l’article 432-9 du code pénal : "l’administrateur a le droit d’ “ accéder ” aux données personnelles, mais il ne peut les « intercepter »"
A la suite de l’arrêt en date du 17 décembre 2001, la Cour d’appel de Paris a apporté un éclairage nouveau qui contribue à définir le rôle de l’administrateur réseau dans toutes entreprises.
Selon cet arrêt, il relève donc bien de la fonction d’administrateur réseau d’en contrôler l’usage d’Internet, ce qui implique nécessairement l’accès à des données personnelles et à leur contenu, mais dans une certaine limite : la divulgation des contenus, y compris à la demande de son employeur […] ne relève pas des objectifs de sécurité du réseau et peut engager la responsabilité pénale de l’administrateur sur les fondements de l’article 226-15 du code pénal.