27/03/17

Un employé curieux n'est pas pour autant un hacker : où se situe la limite?

La digitalisation de notre société teste notre curiosité. Les informations ne sont qu'à un clic. Quand cela concerne des informations personnelles, notre maitrise de nous-même est mise à l'épreuve. Cela vaut également au travail. Les employés ont souvent accès à toutes les informations, y compris les informations sensibles, sur le réseau interne. Cela peut les tenter d'aller fouiller dans des informations qui ne leur sont pas destinées et qui ne sont pas indispensables à l'exercice de leur propre travail. Cela constitue-t-il une infraction pénale? Un arrêt récent de la Cour de cassation jette un nouveau regard sur cette problématique.

La curiosité n'est pas punissable

Le sujet est venu au premier plan dans les médias avec le piratage russe lors des élections américaines: il y a piratage lorsqu'une personne non autorisée entre dans un réseau informatique sans y être autorisée.

Le législateur belge a non seulement rendu le piratage par un externe punissable (piratage externe), mais aussi la transgression du pouvoir d'accès à un système informatique par les personnes qui ont accès au réseau (piratage interne). La simple curiosité n'est donc pas (pénalement) punissable.

Il y a par exemple piratage lorsqu'une infirmière recherche le dossier médical électronique d'un chanteur célèbre qui est en traitement dans l'hôpital afin de vendre ces données à un journal à sensation. L'infirmière n'était pas autorisée à consulter ces données et les a consultés à des fins frauduleuses, à savoir tirer profit de cette information à caractère personnel.

Celui qui a accès à tout ne peut pas pirater

La Cour d'appel de Gand a jugé qu'il y a également piratage interne quand une personne qui a en principe le droit de consulter certaines données, l'a fait pour des raisons autres que le simple exercice de sa fonction. En l'espèce, il était question de recherche de documents confidentiels sur le service interne par un membre du personnel du service informatique. La Cour d'appel a décidé qu'il s'agissait bien de piratage interne malgré le fait que le service informatique détient par définition un droit d'accès à l'ensemble du réseau. L'arrêt a fait valoir que ce membre du personnel avait détourné sa compétence de son objectif, à savoir maintenir le réseau informatique interne.

La Cour de cassation a décidé fin janvier que cela n'était pas correct. Ce n'est pas l'objectif de l'accès qui est décisif, mais bien la compétence. Si on a le pouvoir d'accéder à tous les documents, il ne saurait être question de piratage interne. Un droit d'accès à tout exclut dès lors une condamnation pour piratage.

La "sainte trinité" pour toute entreprise: sélectionner, informer et protéger

Bien que la curiosité ne soit pas pénalement punissable, l'employeur doit quand même se méfier. Toute entreprise, organisme ou administration dispose aujourd'hui de données à caractère personnel sensibles: données financières de clients ou de citoyens, informations médicales de patients ou données relatives au comportement d'achat. Il relève de la responsabilité de celui qui collecte ces données de bien les protéger. L'année prochaine, seront d'application de nouvelles règles européennes qui renforcent la protection, le traitement et le contrôle de ces données (Règlement Général sur la Protection des Données ou RGPD, voir aussi Eubelius Spotlights juin 2016).

Les entreprises et les autorités devraient donc veiller à "l'hygiène interne" et à prévenir la fouille dans les données sensibles. Bien qu'il ressorte de cet arrêt récent que la transgression du but qui a été donné à l'autorisation de consulter des données n'est pas punissable, cela ne prive pas l'employeur de la possibilité d'infliger des sanctions déontologiques.

En outre, les entreprises et autorités doivent garder à l'œil les trois points essentiels d'une bonne protection des données. Un, se demander si l'entreprise ou l'autorité a bien besoin de toutes les données qu'elle demande (sélection). Souvent il semble que beaucoup de données qui sont demandées ne sont jamais utilisées. Deux, dire très clairement aux employés quelles sont les données qu'ils peuvent utiliser et dans quel but, dans quelles les limites et avec quelles sanctions en cas d'infraction (information). Trois, protéger également les données en interne. Certainement pour les données ou dossiers très sensibles, il est utile de penser à des mots de passe, des lieux ou des dossiers séparés (protection). Il convient aussi de sélectionner celui qui reçoit accès à ces données en fonction des nécessités de l'emploi.

Catherine Van de Heyning
catherine.vandeheyning@eubelius.com

Tom Bauwens
tom.bauwens@eubelius.com

dotted_texture