Administrateur système : n’est pas lanceur d’alerte qui veut ! (tribune)

CloudDatacentersDSIGouvernanceJuridiquePolitique de sécuritéProjetsRégulationsSécuritéServeurs
6 38 Donnez votre avis

Un ‘SysAdmin’ peut-il se réfugier derrière le statut de lanceur d’alerte pour mettre au jour les secrets inavouables de son employeur ? A la lumière d’une récente affaire, l’avocat François Coupez dresse les limites de l’exercice.

Le tribunal correctionnel d’Annecy, dans un jugement du 4 décembre 2015, s’est penché sur l’application du statut protecteur de « lanceur d’alerte », récemment reconnu par le Code du travail, dont souhaitait bénéficier un administrateur système ayant exfiltré des documents et courriers électroniques de son employeur (in fine publiés dans la presse) pour échapper aux sanctions pénales. Retour sur les enseignements de cette décision…

Le classique du document abandonné à l’imprimante…

Toute cette affaire commence par un comportement malheureusement banal et que l’on retrouve dans nombre d’entreprises en dépit de toutes les sensibilisations sur le sujet : un membre de l’équipe des ressources humaines a laissé un document qu’il venait d’imprimer sur l’imprimante commune. Or, ce document concernait spécifiquement le licenciement à venir d’un salarié de cette société, administrateur « infrastructure réseau » à l’époque des faits, en conflit avec son employeur concernant le paiement d’heures supplémentaires. Et c’est justement cette personne qui l’a trouvé, en a pris connaissance et a été particulièrement choquée de son contenu, le licenciement devant se faire, selon lui, par des moyens déloyaux.

L’histoire aurait pu se finir simplement aux prud’hommes et porter sur la qualification de ces documents. Mais cela aurait été sans compter sur les habilitations particulières d’accès aux systèmes d’information de l’entreprise dont disposait ledit administrateur système (accès aux boîtes mail par un compte administrateur spécial, ainsi que, selon l’entreprise, « la connaissance d’environ 800 mots de passe de l’entreprise »)… et surtout sa volonté de les utiliser dans cette affaire. Ainsi, deux semaines après cette découverte, il avait décidé de consulter les serveurs partagés utilisés par le service des ressources humaines et avait finalement découvert des informations ne le concernant pas directement, mais mentionnant spécifiquement une inspectrice du travail ainsi que son supérieur hiérarchique.

Persévérant à aller bien au-delà des raisons pour lesquelles ses attributions spéciales lui ont été attribuées, il a copié ces éléments ainsi qu’un fichier de messages électroniques, étant entendu que le contenu de ces échanges ne le concernait en rien. Notons que, pour l’employeur, cette copie provenait en réalité d’une intrusion sur les boîtes aux lettres électroniques (ce qui ne peut être prouvé par l’entreprise en raison d’une conservation des logs de connexion trop brève). L’administrateur a par la suite reconnu que, quelques semaines après, il avait adressé l’ensemble de ces éléments à l’inspectrice du travail en question (sur sa boîte à lettre personnelle et en créant une boîte uniquement pour cet envoi, détruite depuis). Plus tard, il a appris que ces documents avaient été publiés, notamment par un journal.

Compte tenu des éléments de fait mis en avant par l’employeur, l’administrateur système ayant abusé de ses prérogatives pouvait difficilement échapper à une condamnation pour accès et maintien frauduleux dans un système d’information, ainsi qu’atteinte au secret des correspondances. Les faits se seraient d’ailleurs produits après le 15 novembre 2014 (date de l’entrée en vigueur de la loi contre le terrorisme ayant ajouté un équivalent du délit de « vol » d’information, NDLR), il aurait pu être également condamné pour extraction, détention et transmission frauduleuse de données d’un système d’information.

Les seules solutions qui s’offraient à lui pour être relaxé n’étaient donc que très limitées :

  • plaider que l’appréhension de ces documents était nécessaire dans un but de défense judiciaire de ses intérêts ;
  • ou expliquer qu’il doit être considéré comme un « lanceur d’alerte ».

« L’exercice des droits de la défense »

Les magistrats de la Cour de cassation ont en effet reconnu à plusieurs reprises depuis un arrêt fondateur de 1998[1] une faculté qu’ont les salariés, dans une circonstance très particulière, d’extraire de l’information de l’entreprise et/ou de conserver des informations après leur départ de l’entreprise, contrairement aux règles prévues et sans autorisation de son employeur. Cette faculté, tirée d’une interprétation jurisprudentielle allant en contradiction totale avec la loi, s’explique uniquement pour permettre le respect des droits de la défense. Dès lors, elle nécessite d’une part que les informations aient été obtenues dans l’exercice de leurs fonctions, et qu’ils soient d’autre part « strictement nécessaires à l’exercice des droits de sa défense » (que le contentieux soit en cours ou seulement prévisible).

Les magistrats reconnaissent que l’administrateur système aurait pu utiliser le document « qu’il a affirmé avoir trouvé par hasard dans la photocopieuse, dans le cadre d’une procédure prudhommale ». En l’occurrence et après avoir étudié les faits prouvant l’intrusion dans le système d’information pour accéder aux autres documents considérés, les magistrats ont estimé que ces dernières informations n’avaient pas été obtenues dans l’exercice des fonctions de l’administrateur, mais grâce au détournement de ses droits d’accès privilégiés (« les documents copiés ne résultent donc pas d’une découverte effectuée par hasard »).  La position des magistrats s’inscrit ainsi dans le cadre de la jurisprudence[2].

De plus, ces documents litigieux ne sont pas strictement nécessaires à la défense, car ils ne concernaient pas directement l’administrateur et ne pouvaient donc s’inscrire dans le cadre d’un litige prudhommal à venir.

Le statut de lanceur d’alerte ne protège pas de tout…

La loi relative à la lutte contre la fraude fiscale et la grande délinquance économique et financière du 6 décembre 2013 a inséré un article L. 1132-3-3 ad hoc dans le Code du travail prévoyant spécifiquement le cas des « lanceurs d’alerte », en les protégeant contre toute mesure de rétorsion qui serait basée sur le fait de relater ou de témoigner « de bonne foi, de faits constitutifs d’un délit ou d’un crime dont il aurait eu connaissance dans l’exercice de ses fonctions » (des dispositions existaient auparavant, dont l’article 1161-1 du Code du travail, mais elles étaient limitées aux faits de corruption et à des situations de conflit d’intérêts).

Comme l’indique la circulaire du 23 janvier 2014 d’application de cette loi, le nouveau texte ne limite pas sa protection « aux révélations faites à l’employeur ou aux autorités administratives ou judiciaires, de sorte que le salarié sera également protégé en cas de révélation à des tiers (la presse par exemple) ».

Dans ce jugement, le salarié n’avait pas hésité à invoquer cet article, mais les magistrats ont tout simplement écarté son application, celui-ci étant postérieur au fait (cf. CA Basse-Terre du 13 octobre 2014). On peut d’ailleurs penser que le critère déclencheur, soit la façon dont le salarié a eu connaissance des agissements, n’aurait pas vocation à évoluer avec ce nouveau texte : la loi protégerait ainsi les salariés « lanceurs d’alerte » découvrant les faits par hasard dans le cadre de leurs activités normales, et non les « chercheurs d’alertes potentielles » ne respectant les règles établies ni en matière de sécurité, ni en matière de confidentialité, pour arriver (ou pas) à leurs fins.

Notons pour conclure que l’inspectrice du travail destinatrice des documents « incriminants » (et finalement publiés) a également été condamnée, pour recel, détournement de correspondance électronique et violation du secret professionnel.

De l’importance de la charte « administrateurs »

A ce titre, une charte dédiée aux titulaires de droits d’accès privilégiés au système d’information de l’employeur, tels que le « SysAdmin », semble un excellent outil pour rappeler à chacun les règles applicables et essayer d’éviter que tout le monde se retrouve au tribunal, comme en l’espèce.

Francois CoupezComme les magistrats l’ont implicitement rappelé à maintes reprises, « de grands pouvoirs engendrent de grandes responsabilités »[3]. Le dévoiement de la confiance accordée a donc des conséquences importantes, ici d’ordre pénal.

Par François Coupez, Avocat à la Cour, Associé du cabinet ATIPIC Avocat et titulaire du certificat de spécialisation en droit des nouvelles technologies. L’auteur tient particulièrement à remercier Me Aurore Bonavia pour ses apports lors de la rédaction cet article.

[1] Notamment, Cass.soc, 2 décembre 1998, Cass.crim, 11 mai 2004, n°03-80254 ; Cass.soc. 18 novembre 2009 ; Cass.crim, 23 février 2011, n°10-82.679 ; Cass.crim, 16 juin 2011, n°10-85079, Cass.crim, 25 novembre 2014, n°13-84414.

[2] CA Chambéry 21 mai 2015.

[3] Stan Lee, même si certains l’attribuent à Voltaire.

A lire aussi, les précédentes tribunes de F. Coupez :

Fin du Safe Harbor : quel avenir pour les flux de données vers les États-Unis ?

Protection des données personnelles : une loi de plus en plus instrumentalisée

Protection des données personnelles et Big Data : inconciliables, vraiment ?


Lire la biographie de l´auteur  Masquer la biographie de l´auteur