Risk management et gouvernance Comment éviter d’envoyer votre PDG

derrière les barreaux à cause de son système d’information?

Etienne WéryAvocat aux barreaux de Bruxelles et Paris

Chargé d'enseignement à l'Université Robert Schuman (Strasbourg)

Aubin de PerthuisAvocat au barreau de Bruxelles

www.ulys.net

Salon Solution BusinessJeudi 6 mars 2008

Risk management et gouvernance

Informationbien de valeur

patrimoine de l’entrepriseComment la protéger?1) Contre les attaques externes

Criminalité informatique: textes et illustrations

2) Contre les attaques internes Cybersurveillance: principes et cas d’application

Risk management et gouvernance

(1) CONTRE LES ATTAQUES EXTERNES

Qu’entend-on par criminalité informatique? Criminalité informatique au sens large

Les délits commis au moyen de l’informatique Diffamation, racisme, pédopornographie, atteintes au

droit d’auteur, …

Acceptation sensu stricto : les délits dont l’informatique est l’objet

La loi du 28 novembre 2000, modifiée par la loi du 15 mai 2006, prévoit plusieurs catégories d’infractions :

Le faux et usage de faux en informatique (art. 210bis CP)

La fraude informatique (art. 504quater CP)

L’accès et le maintien non autorisé (art. 550bis CP)

Le sabotage de données et/ou de système (art. 550ter CP)

L’interception illégale de communications (article 259bis et 314bis CP + 124 et 125 LCE)

I. Faux et usage de faux en informatique

(art. 210bis CP)

4 Eléments constitutifs:

1. Altération de la vérité

2. Introduction, modification ou effacement de données dans un système informatique ou modification de l’utilisation possible de ces données.

Terminologie large et technologiquement neutre (pas de définition légale, cfr. exposé des motifs).

Données = “les représentations de l’information pouvant être stockées, traitées et transmises par le biais d’un système informatique” Le faux doit modifier la portée juridique de ces données.

3. Modification de la portée juridique des données

4. Intention frauduleuse ou dessein de nuire (dol spécial car modification de

l’art. 193 CP).

Exemples : Confection illégale ou falsification, copie (“skimming”) de cartes de crédit

Faux contrats numériques

Modification des données salariales par un employé dans la comptabilité informatique de l’entreprise

Gonfler les heures supplémentaires encodées

Falsification d’une signature électronique ou d’un email

Exemples : Utilisation d’une carte de crédit volée pour retirer de l’argent d’un distributeur automatique

Dépassement illicite du crédit octroyé par sa propre carte de crédit

Introduction d’instructions de programmation permettant d’obtenir à la suite de certaines transactions d’autres résultats en vue d’un avantage financier illicite (faux code de licence de logiciel par ex)

Manipulations illégitimes effectuées par un employé de banque sur les comptes des clients

Remarque : Dissociation entre fraude informatique et escroquerie : la fraude informatique vise les manipulations illicites de données à l’égard d’une machine, l’escroquerie, elle, vise la tromperie d’une personne.

II. La fraude informatique (art. 504quater CP)

a) Hacking externe

Accès non autorisé au système d’un tiers

Le maintien est la conséquence logique de l’accès, il suffit de se “promener” un certain temps pour qu’il y ait maintien => même si l’accès est licite, un séjour prolongé de manière non autorisée peut être poursuivi

Le dol général suffit => la simple curiosité est un délit

En cas de dol spécial : aggravation de la peine

Exemples :

Accès licite à une base de données payante où l’on déjoue les mécanismes permettant de calculer les prix liés à la durée de connexion

III. L’accès non-autorisé et le maintien (art. 550bis CP)

Monsieur X, sous prétexte de savoir si les protections des serveurs informatiques de l’un de ses concurrents sont aussi mauvaises que les siennes, pénètre dans le système informatique dudit concurrent.

Première décision belge faisant application de la nouvelle réglementation

Le tribunal considère qu’il n’y a pas intention méchanteméchante au sens de l’article 550bis §1, al. 2.

Cependant, constatant que le prévenu savait le caractère illicite de son comportement, le tribunal estime que les conditions sont remplies pour la poursuite de l’infraction conformément au §1 al. 1 et §2 du même article.

=> Corr. Eupen, 15 décembre 2003

b) Hacking interne

Accès illicite à partir de l’intérieur du réseau

Jouir de droits d’accès mais outrepasser ceux-ci

Dol spécial requis

Le seul fait d’entrer illicitement n’est pas incriminé

Exemples :

Employé qui accède à des fichiers confidentiels dans le but de nuire

Employé qui outrepasse ses droits quant à la manipulation de certaines données

Illustration

Monsieur C travaille comme informaticien au sein de la société Claranet. Il estime cependant que ses talents et mérites ne sont pas suffisamment reconnus et surtout, qu’il est mal rémunéré.

Via le logiciel Aenima, qui permet l’envoi en grande quantité de courriers électroniques vides et de gros fichiers par le biais d’une adresse anonyme, il accède au réseau de la société et encombre la bande passante, ce qui ralenti le système.

Altération du fonctionnement de systèmes de traitements automatisés de données

Accès frauduleux

=> TGI Lyon, 20 février 2001

c) Circonstances aggravantes

Hypothèses dans lesquelles, en plus de l’accès et de la promenade, il y a reprise de données, usage ou accès au système informatique d’un tiers ou encore dommage au système ou aux données…

En pratique, ce sera quasi toujours le cas puisqu’il est impossible d’accéder à un système sans l’utiliser.

Malgré la différence de régime, hacker externe (avec ou sans intention frauduleuse) et interne (avec dol spécial) se voient appliquer les mêmes peines puisque les circonstances aggravantes s’appliquent.

d) Hackertools

Outils ou logiciels qui facilitent le hacking

Dol spécial => ne pas entraver la libre circulation d’informations générales en matière de techniques de protection, en particulier via le web

Exemples :

Trafic de mots de passe

Trafic ou publication de n° de licence de logiciel sur le web

Commercialisation de logiciels de “craquage”

Exemples :

Introduction d’un virus

Destruction de fichiers

Rendre un disque dur inutilisable

Rendre un système d’exploitation inutilisable

Remarques :

Destruction de Hardware => art. 523 (machines destinées à produire, transformer ou distribuer l’énergie motrice) et 559 CP (destruction de propriétés mobilières)

Dol spécial

Circonstances aggravantes lorsque le sabotage cause un dommage ou entrave (totalement ou patiellement) le système informatique concerné

Actes préparatoires => double élément moral : dol spécial + connaissance de la nature préjudiciable des données

IV. Le sabotage de données et/ou de système (art. 550ter CP)

Illustration : Une dame S. travaille pour une association qui met à sa disposition un ordinateur.

Son mari utilise cet ordinateur et efface des données contenues sur le disque dur en copiant des fichiers prétendument personnels à son épouse.

Un instruction est, par ailleurs, lancée contre la dame S. pour vol de livres et de tableaux.

Dans la foulée, on reproche au mari l’accès frauduleux à un système et de suppression de données.

L’affaire monte jusqu’en cassation.

=> Cass. Fr., chambre criminelle, 25 mai 2004

Pour que soit établie l’infraction de suppression frauduleuse de données, il est nécessaire d’établir l’intention frauduleuse de la personne qui porte atteinte aux données.

En l’espèce, cette intention n’est pas démontrée.

Les deux §§ 2bis de l’article 314bis ajoutent une disposition empêchant une utilisation, diffusion, utilisation des dispositifs concernés

=

dispositifs d’interception des communications

V. Interception illicite de communications (article 314 bis)

Illustrations:

Utilisation par l’industrie des medias de logiciels espions pour récolter des données de traçage IP sur internet. Le juge hollandais a estimé que ces preuves avaient été collectées illicitement.

Litiges de droit social: une CCT n°81 déroge au principe d’interdiction d’écoute des communications et du secret des communications.

– Recevabilité de la preuve: la jurisprudence accepte pourtant certain moyens de preuve obtenus en contrariété avec les dispositions légales pénales susvisées (ex: quand l’employeur surveille les activités internet de ses employés ou accède à ses emails).

– Quid d’une dérogation par AR à une interdiction légale ?

V. Interception illicite de communications Loi sur les communication électroniques (13 juin 2005)

Illustrations:

Monsieur X travaille depuis 16 ans au sein de la société Y. malheureusement, les relations avec son employeur se dégradent. Il fait l’objet d’une procédure d’avertissement en raison de manquements professionnels qu’il conteste.

Quelques mois après ce licenciement, la société Y constate que nombreux de ses clients reçoivent des courriers et des télécopies prenant la forme de notes internes ou de courriers à l’entête de la société contenant des informations inexactes ou malveillantes. Plainte contre X est déposée.

Par la suite, et de façon régulière, des employés de sociétés du groupe auquel appartient la société Y, des concurrents, voire des organes de presse reçoivent des messages très nombreux au contenu diffamatoire. Ces messages semblent émaner d’employés de la société Y.

VI. Utilisation des réseaux de communication électronique à des fins illicites Loi sur les communications électroniques (art. 145)

Faux et usage de faux

Accès frauduleux (hacking interne)

Entrave au fonctionnement d’un système informatique

=> TGI du Mans, 7 novembre 2003

Compte tenu du nombre de messages envoyés, les serveursde messagerie de la société Y sont bloqués.

L’enquête débouche sur Monsieur X.

Tr. Corr. Bruxelles 18 décembre 2001

Condamnation pour propos racistes sur base de la loi du 30 juillet 1999

Les articles 114 §8, 1 et 2 et 118 de l’ancienne loi Belgacom (nouvel article 145 LCE) sont utilisés comme fondement:

« avoir utilisé l’infrastructure du provider « Infonie » pour tenir des propos racistes et xénophobes »

+ confiscation de l’objet ayant servi à commettre le délit

VII. Vol et recel de logiciel

Article 461 et 505 du CP s’appliquent aux logiciels qui ont une valeur économique même s’ils sont des biens immatériels (Corr. Bruxelles, 24 juin 1993)

Voir aussi Appel Bruxelles, 10 mai 1989 ou Corr. Bruxelles, 31 janvier 1986 acceptant le “vol de logiciel”

Risk management et gouvernance

(2) CONTRE LES ATTAQUES INTERNES

La cybersurveillance et ses limites:

comment concilier sécurité de l’entreprise

et respect des droits de ses employés?

L’analyse sous un angle juridique doit être

Fondée sur des principes légaux établis (loi vie privée, CCT, principes et jurisprudence, contrats et règlements de travail,…)

Etdépasser le clivage vie privée/vie professionnelle non pertinent

A. LES BASES LEGALES

• Vie privée– Art. 8 CEDH– Art 22 Constitution– Loi 8 décembre 1992 sur la

protection des données à caractère personnel (+ Avis de la Commission vie privée)

– CCT n°68 (vidéosurveillance), CCT n°81 (surveillance communications électroniques)

– Interdiction d’interception de communications électroniques: article 314bis Code pénal et article 124 loi sur communications électroniques

• Droit du travail

– Articles 2,3, 16 et 17 de la loi du 3 juillet 1978

– Loi du 8 avril 1965 sur règlements de travail

– Article 544 Code civil (propriété)

– Article 1383 et 1384 Code civil

– Contrats et règlements de travail

1. Art. 8 CEDH et 22 Constitution

– Distinction vie privée / vie professionnelle est dépassée:

– Arrêt Niemitz CEDH • “La protection de la vie privée ne s’arrête pas aux portes du lieu de

travail”

• “Lieu où se créent la plupart des relations sociales”

• “Dans les occupations de quelqu’un, on ne peut pas toujours démêler ce qui relève du domaine professionnel de ce qui en sort”

– CEDH protège le secret des conversations téléphoniques même sur le lieu de travail (arrêt Halford)

• Conditions des ingérences et contrôles:– Principe de légalité:Principe de légalité:

• base légale nécessaire

• le pouvoir de contrôle conféré par la loi du 3 juillet 1978 n’est pas suffisant

• Quid du contrat et du règlement de travail ?

– Principe de finalité:Principe de finalité:• Ingérence doit poursuivre des buts légitimes

• Quels sont ces buts légitimes ? (contrôle de l’employé, secret d’entreprise, sécurité du réseau,..)

– Principe de proportionnalité:Principe de proportionnalité:• Nécessaire, pertinent et adéquat au but poursuivi

• Il n’existe pas d’autres moyens moins intrusifs (contrôle automatique, firewalls, filtres,..)

– Principe de transparence:Principe de transparence:• Les moyens et finalités de contrôle doivent être

énoncés

• Le mode précis de contrôles doit être connu du travailleur

• Détermination des usages admis/interdits/tolérés

2. Loi du 8 décembre 1992 concerne les traitements de données à caractère personnel

– Données à caractère personnel: • toute information relatives à une personne (photo, nom,

téléphone, video,..)• identifiée ou identifiable (adresse IP, adresse email,..)

– Traitement: toute opération de collecte, enregistrement, transfert, effacement, conservation,…

La loi ne fait AUCUNE distinction vie privée / vie professionnelle Le seul critère: traitement de données à caractère personnel La loi doit être respectée sur le lieu de travail

• Obligation de déclaration Commission vie privée• Finalités déterminées et explicites (transparence)• Finalités légitimes (légitimité du but poursuivi):

– Consentement– Obligation légale– Exécution d’un contrat

• Données adéquates, pertinentes et nécessaires (principe de proportionnalité)

• Collecte doit être loyale et licite• Droit d’accès, rectification, opposition

Obligation d’information:Obligation d’information:– Données traitées et destinataires– Moyens de protection– Responsable du traitement

Traitement transparent – informations à communiquer: (voir Avis 1/2000 Traitement transparent – informations à communiquer: (voir Avis 1/2000 Commission vie privée):Commission vie privée):

– les modalités d’utilisation du courrier électronique et de l’Internet qui sont permises, tolérées ou interdites ;

– les finalités et modalités du contrôle de cette utilisation (nature des données collectées, étendue et circonstances des contrôles, personnes ou catégories de personnes sujettes aux procédures de contrôle

– l’existence d’un stockage des données de télécommunication et la durée de ce stockage, par exemple sur un serveur central, dans le cadre de la gestion technique du réseau, et les éventuels systèmes de cryptage existants ;

– les décisions pouvant être prises par l’employeur à l’endroit de l’employé sur la base du traitement des données collectées à l’occasion d’un contrôle ;

– le droit d’accès de l’employé aux données à caractère personnel le concernant

3. Article 314bis Code pénal et 124 LCEInterdiction d’intercepter, enregistrer ou prendre connaissance sans consentement de tous les intéressésS’appliquent également sur le lieu de travail

Article 314bis:• pendant transmission• communications privées (>< non publiques)

Article 124 LCE:• contenu de la communication et données y relatives• Pendant et après transmission• Recouvre donc téléphone, mais aussi visite de sites internet et

emails (quid des factures détaillées payées par employeur ? )

• Exceptions aux articles 314 bis Cp et 124 LCE:– Bon fonctionnement du réseau– Loi le permet ou l’impose– État de nécessité (prévention infractions graves ou sécurité

? )– Consentement de tous les participants

• Il y a deux participants !• le consentement général donné dans règlement de travail ne suffit

pas selon la Commission• Doit pouvoir être retiré à tout moment• Pouvoir de contrôle consacré par Loi sur le contrat de travail : pas

suffisamment précis selon doctrine et jurisprudence

Difficilement praticable Difficilement praticable

4. CCT n°81

• Rendue obligatoire par AR du 12 juin 2002 (pas applicable aux faits antérieurs)

• Uniquement d’application pour les salariés • Concerne les données de connexion (>< contenu)• N’entend pas déroger à l’article 214 LCE et

314bis Cp problème car hiérarchie des normes fait primer la loi sur la CCT

4.1. Finalités4.1. Finalités

4 finalités4 finalités considérées a priori comme légitimeslégitimes par la CCT:

1. prévenir les faits illicites ou diffamatoires, contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui

2. Protéger les intérêts économiques, commerciaux, et financiers de l’entreprise auxquels est attaché un caractère de confidentialité et en vue de lutter contre les pratiques contraires

3. Assurer la sécurité ou le bon fonctionnement technique des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise

4. De garantir le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise

4.2 Information préalable des travailleurs4.2 Information préalable des travailleurs et de leurs représentants: et de leurs représentants:

Information Information collectivecollective doit porter sur: doit porter sur:- la politique de contrôle ainsi que les prérogatives de l’employeur et du personnel de

surveillance ;- la ou les finalités poursuivies ;- le fait que des données personnelles soient ou non conservées, le lieu et la durée de

conservation ;- le caractère permanent ou non du contrôle

Outre les informations ci-dessus, l’information Outre les informations ci-dessus, l’information individuelleindividuelle doit porter doit porter sur: sur:

- l'utilisation de l'outil mis à la disposition des travailleurs pour l'exécution de leur travail, en ce compris les limites à l'utilisation fonctionnelle ;

- les droits, devoirs, obligations des travailleurs et les interdictions éventuelles prévues dans l'utilisation des moyens de communication électronique en réseau de l'entreprise ;

- les sanctions prévues au règlement de travail en cas de manquement.

Modes d’information:Modes d’information:

• Information collective:Information collective:– Organes sociaux (conseil d’entreprise, comité pour la prévention et la protection

du travail, délégation syndicale)– Pas de forme

• Information individuelle:Information individuelle:– A chaque travailleur– Modes de communication:

• Dans le cadre d’instructions générales (circulaire, affichage,..)• Règlement de travail• Contrat de travail • Consignes d’utilisation fournies à chaque utilisation de l’outil informatique

Modification du règlement de travail le plus souvent nécessaire Modification du règlement de travail le plus souvent nécessaire (sanctions prévues, droits et obligations du personnel de surveillance)(sanctions prévues, droits et obligations du personnel de surveillance)

4.3. Individualisation4.3. Individualisation

Individualisation directe:Individualisation directe:• 3 premières finalités uniquement (pas contrôle politique informatique)• Pas de procédure d’information ou d’audition préalable

Individualisation indirecte:Individualisation indirecte:• Si contrôle a pour finalité le contrôle du respect des directives relatives à

l’usage de l’outil informatique au sein de l’entreprise• Identification des données:

– Après un premier avertissement– Contrôle si nouvelle anomalie constatée– Audition préalable de l’intéressé avant toute sanction

• Loi sur le contrat de travail:Loi sur le contrat de travail:– Employé agit sous le contrôle et l’autorité de l’employeur– En se conformant à ses instructions– Avec probité, diligence, soin, conscience et temps– Employeur garant des bonnes mœurs

• Règlement et contrat de travailRèglement et contrat de travail– L’article 6 de la loi du 8 avril 1965 instituant les règlements de travailL’article 6 de la loi du 8 avril 1965 instituant les règlements de travail

• « Le règlement de travail doit indiquer (…):• 5° les droits et obligations du personnel de surveillance ».

– L’article 2, § 1 er de la Convention collective de travail n° 39 du 13 L’article 2, § 1 er de la Convention collective de travail n° 39 du 13 décembre 1983 concernant l’information et la concertation sur les décembre 1983 concernant l’information et la concertation sur les conséquences sociales de l’introduction des nouvelles technologiesconséquences sociales de l’introduction des nouvelles technologies

• Charte informatiqueCharte informatique limites: interdiction non professionnelle totale est-elle possible? • N.B.: règles différentes secteur public / secteur privé

• Employeur est donc en droit d’édicter des règles d’utilisation – des moyens de communication électronique et – des procédures de contrôle

• Moyennant respect des principes mentionnésNécessité d’une politique d’utilisation des outils

électroniques: cohérente Conforme à l’esprit d’entreprise légaleTechniquement réalisable

C. Applications

Documents stockés sur le disque dur de l’employéDocuments stockés sur le disque dur de l’employé

• Le fait que l’ordinateur soit propriété de l’employeur n’enlève rien à la protection vie privée

• Cf Arrêt Nikon en France: contrôle sur le poste de l’employé des messages personnels lorsqu’ils sont identifiés dans un fichier intitulé “personnel” illégal et rejet de la preuve

• Arrêt Cass. Fr. Après Nikon: – les documents sont présumés professionnels sauf si mention contraire dans ce cas

accès hors de la présence de l’employé– Documents cryptés sans autorisation empêchant accès

• Présomption du caractère professionnel des fichiers stockés sans mention contraire confirmée par Cass. Fr. 18/5/2007

C. Applications

• Documents professionnels:Documents professionnels:– Assouplissement des règles– Pas de différence fondamentale avec accès documents papier: le

principe de l’accès est “normal”– Soumis à protection de l’article 8 CEDH (échange professionnels

sont inclus dans notions de correspondance et vie privée)

• Documents personnels:Documents personnels:– Identification comme tels– Transparence et loyauté du contrôle– Dans circonstances exceptionnelles (finalités légitimes et contrôle

nécessaire: activités illégales, concurrence déloyale)– Ultime moyen (proportionnalité)µ

C. Applications

• Souvent: discussion sur la force probante du document (listing internet, impression du poste de travail,..)

• Problème autre que l’admissibilité de la preuve– Lisibilité du document (les juges sont profanes)– Possibilité de modifier le document– Preuve de l’utilisation effective

• Solutions possibles:– Intervention du Juge d’instruction (peu pratique)

• (cf. Cass. Fr. 23/05/2007: application du nouvel article 145 NCPC)

– Intervention d’un expert, et à tout le moins, présence du travailleur– Présence d’un huissier

Exemples en jurisprudence

• Employé surfe 57% de son temps sur internet: le juge reçoit les logs comme preuve et admet licenciement

• Production de correspondance avec tierce personne: pas de consentement de celle-ci rejet de la preuve

• Utilisation de l’ordinateur à des fins privées découverte en l’absence de l’employé lors de l’utilisation par une collègue: la Cour accepte, en estimant qu’il existait un consentement explicite de l’employé qui pouvait prévoir cet accès en son absence

• La CT de Bruxelles rejette des logs au motif qu’ils auraient pu être manipulés (et non rejet de l’admissibilité)

CONCLUSION

• Importance de la Charte informatique et règlement de travail

• Nécessité d’informer les travailleurs et les contrôleurs

• Nécessité de prendre les précautions en cas de constatation de fautes ou d’infraction

• Elaboration d’une politique cohérente de l’usage de l’outil informatique

&WWW.ULYS.NET

etienne.wery@ulys.netaubin.deperthuis@ulys.net

cOMMENTAIRE

S

QUESTION

S