Fuite d'informations : Quel encadrement juridique pour les Data loss prevention (DLP) ?

Parmi les risques relatifs aux atteintes aux données constituant le patrimoine informationnel de l’entreprise, les fuites d’informations en représentent une part importante. S’agissant des vols et fuites d’informations, le baromètre du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) indique que les entreprises interrogées estiment à 48% avoir un risque d’exposition fort alors que seulement 28% d’entre elles ont subi ce type d’attaque. Les atteintes peuvent être externes mais aussi internes. Afin de pallier les risques liés aux fuites et pertes d’informations, les directions des systèmes d’information et les RSSI installent des solutions dites de Data Loss/Leak Prevention (DLP).

un moyen de contrôle de l’activité des salariés

Le développement de la cybercriminalité a entraîné la prévention des fuites d’informations qu’elles soient volontaires ou involontaires. Les solutions de DLP sont de nature logicielle, technique et organisationnelle. Elles visent à identifier, surveiller et protéger le patrimoine informationnel d’une entreprise ou d’une organisation et ce, que les informations soient en cours d’utilisation ou qu’elles soient archivées, stockées sur un serveur ou sur un support mobile (smartphones, ordinateurs portables, tablettes, clés USB... voir le Référentiel de bonnes pratiques de l’AFNOR, Prévention et gestion de la fuite d’informations, BP Z90-001, décembre 2014). En pratique, les solutions de DLP se développent de plus en plus afin de prévenir les fuites internes d’informations et certaines entreprises se sont interrogées sur leur encadrement juridique, notamment en cas de sanctions disciplinaires prises à l’encontre d’un salarié auteur de la fuite.

La Cour d’appel de Paris à l’occasion d’une décision du 12 mai 2016 (décision inédite) a annulé le licenciement disciplinaire d’un salarié. En contravention avec la charte informatique de son employeur (une grande banque française), ce dernier avait envoyé à partir de son poste de travail vers son email personnel 3 messages contenant 5 pièces jointes non chiffrées. De fait, il s’agissait de documents professionnels identifiés comme étant "confidentiels". La découverte des faits a été réalisée au moyen du dispositif de DLP.

La Cour d’appel de Paris retient que le système de protection n’avait pas pour unique objet la sécurité du système d’information, mais qu’il servait également au contrôle de l'activité des salariés. En conséquence, il s’agissait d'un "changement de finalité du contrôle caractérisant une modification substantielle du filtrage et de la collecte d’informations". Ainsi, un tel changement nécessitait une déclaration modificative auprès de la CNIL et qu’en l’absence de cette déclaration et d’une information du comité d'entreprise, les données collectées au moyen de cet outil (le DLP) constituent des preuves illicites devant être écartées des débats. Le licenciement a été jugé sans cause réelle et sérieuse.

un risque juridique pour l'entreprise

Certes, si les outils de DLP ont pour but principal de protéger le SI des fuites d’informations, ils servent aussi à contrôler les salariés malveillants ou maladroits, et le cas échéant de les sanctionner. En effet, les salariés sont susceptibles d’être les auteurs de la fuite, comme c’était le cas dans cette affaire. Ceci explique pourquoi, de tels systèmes de sécurité doivent faire l’objet de formalités préalables auprès de la CNIL et d’une information des salariés et des instances représentatives du personnel. Il conviendra d’ajouter que leur utilisation impose de vérifier si la charte informatique l’autorise ; à défaut, une modification de la charte (annexée au Règlement intérieur de l’entreprise) s’impose !

D’ailleurs, la charte informatique de la banque était relativement ancienne (à tout le moins elle datait d'avant l’introduction de solutions de DLP) et contenait des stipulations très générales et inadaptées aux finalités des moyens mis en oeuvre. Pour motiver sa décision, la Cour a comparé la finalité des contrôles indiqués dans la charte informatique avec la finalité déclarée de l’outil afin de mettre en exergue le fait que la charte ne prévoyait pas la finalité de contrôle de l’activité des salariés par l’outil de DLP. De plus, dans un PV du comité d’entreprise, la banque affirmait : "il ne s’agit pas d’un outil de contrôle de l’activité des salariés. DLP est un outil de détection des fuites d’informations..." En outre, la charte indiquait que la société peut mettre en œuvre "plus généralement tout filtrage nécessaire pour préserver la sécurité du système d’information", ce qui s’est avéré très largement insuffisant pour la Cour.

En tout état de cause, force est de constater que la charte informatique n’est pas un outil statique et immuable. Il faut donc prendre acte de sa perfectibilité périodique. Il est donc recommandé de réviser régulièrement, autant que faire se peut (en fonction de la lourdeur des obligations relatives aux CHSCT et autres CE) la charte informatique si l’on entend non seulement assurer correctement la sécurité du patrimoine informationnel de l’entreprise mais aussi sanctionner les abus (par ex. tous les 5 ans). De plus, la mise en place d’un nouvel outil de sécurité (ex : DLP, déchiffrement de flux https) implique d’évaluer l’étendue de ses finalités ainsi que ses incidences techniques et juridiques. A défaut, l’entreprise risque de voir ses sanctions disciplinaires invalidées et ses traitements de données à caractère personnel non conformes aux règles relatives à la protection des données !

Eric A. Caprioli, Docteur en droit, avocat à la Cour de Paris, membre de la délégation française aux Nations Unies

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.

Sélectionné pour vous

Twitter va devoir détailler sa politique de modération en France

“L’IA générative va entraîner des considérations juridiques nouvelles sur le droit d’auteur”

Le site Pornhub change de main