Un employé curieux est-il un hacker ?
Les employés ont souvent accès à des informations sensibles sur le réseau interne de leur entreprise. Fouiller dans ces informations constitue-t-il une infraction pénale? Un arrêt récent de la Cour de cassation jette un nouveau regard sur cette problématique.
Le sujet est venu sur le devant de la scène médiatique avec le piratage russe lors des élections américaines : il y a piratage lorsqu’un individu entre dans un réseau informatique sans y être autorisé.
La curiosité n’est pas punissable
Le législateur belge a non seulement rendu punissable le piratage par une personne externe à l’entreprise (piratage externe), mais aussi la transgression du pouvoir d’accès à un système informatique par les personnes qui ont accès au réseau (piratage interne). La simple curiosité n’est donc pas (pénalement) punissable.
Il y a par exemple piratage lorsqu’une infirmière recherche le dossier médical électronique d’un chanteur célèbre qui est en traitement dans l’hôpital, afin de vendre ces données à un journal à sensation. L’infirmière n’est pas autorisée à consulter ces données et les a consultées à des fins frauduleuses, à savoir tirer profit de cette information à caractère personnel.
Celui qui a accès à tout ne peut pas pirater
La Cour d’appel de Gand a jugé qu’il y a également piratage interne quand une personne qui a en principe le droit de consulter certaines données l’a fait pour des raisons autres que le simple exercice de sa fonction. En l’espèce, il était question de recherche de documents confidentiels sur le serveur interne par un membre du personnel du service informatique. La Cour d’appel a décidé qu’il s’agissait bien de piratage interne malgré le fait que le service informatique détient par définition un droit d’accès à l’ensemble du réseau. L’arrêt a fait valoir que ce membre du personnel avait détourné sa compétence de son objectif, à savoir assurer la maintenance du réseau informatique interne.
La Cour de cassation a décidé fin janvier que ce raisonnement n’était pas correct. Ce n’est pas l’objectif de l’accès qui est décisif, mais bien les attributions ou les autorisations conférées à l’employé. Si celui-ci a le pouvoir d’accéder à tous les documents, il ne saurait être question de piratage interne. Un droit d’accès à toutes les données de l’entreprise exclut dès lors une condamnation pour piratage.
La “Sainte Trinité” pour toute entreprise : sélectionner, informer et protéger
Bien que la curiosité ne soit pas pénalement punissable, l’employeur doit quand même se méfier. Toute entreprise, organisme ou administration dispose aujourd’hui de données à caractère personnel sensibles: données financières de clients ou de citoyens, informations médicales de patients ou données relatives au comportement d’achat. Il relève de la responsabilité de celui qui collecte ces données de bien les protéger.
L’année prochaine, seront d’application de nouvelles règles européennes qui renforcent la protection, le traitement et le contrôle de ces données (plus d’infos sur le Règlement Général sur la Protection des Données ou RGPD ici).
Les entreprises et les autorités devraient donc veiller à un “code de conduite” interne et notamment à prévenir la fouille dans les données sensibles. Bien qu’il ressorte de cet arrêt récent que la transgression du but qui a été donné à l’autorisation de consulter des données n’est pas punissable, cela ne prive pas l’employeur de la possibilité d’infliger des sanctions déontologiques à son employé.
En outre, les entreprises et autorités doivent garder à l’oeil les trois points essentiels d’une bonne protection des données :
- La sélection. Il faut se demander si l’entreprise ou l’autorité a bien besoin de toutes les données qu’elle demande. Souvent, il semble que beaucoup de données qui sont demandées ne sont jamais utilisées.
- L’information. Il faut dire très clairement aux employés quelles sont les données qu’ils peuvent utiliser et dans quel but, dans quelles les limites et avec quelles sanctions en cas d’infraction.
- La protection. Il faut protéger également les données en interne. Certainement pour les données ou dossiers très sensibles, il est utile de penser à des mots de passe, des lieux ou des dossiers séparés.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici