L’Anssi a publié en octobre 2014 une recommandation déterminante pour tous ceux qui s’interrogent sur le droit de filtrer ou non les flux HTTPS. Le point avec Polyanna Bigle et Eric Barbry, avocats au Cabinet Alain Bensoussan. http://www.alain-bensoussan.com
Cette recommandation de l’Anssi, hautement technique, comporte une annexe juridique sur la question souvent cruciale dans les entreprises : cette pratique est-elle légale ou non ?
Une annexe juridique traite en effet du délicat problème de l’analyse des flux entrants et sortants depuis les postes de travail fixes et nomades des employés d’entreprise ou organismes publics.
« Le protocole HTTPS correspond à la déclinaison sécurisée de HTTP encapsulé à l’aide d’un protocole de niveau inférieur nommé TLS – anciennement SSL. Ce protocole est conçu pour protéger en confidentialité et en intégrité des communications de bout en bout (entre un client et un serveur). Il apporte également des fonctions d’authentification du serveur mais aussi optionnellement du client. » Le filtrage de flux HTTPS correspond à une opération de déchiffrement, c’est-à-dire la mise en « clair » des flux chiffrés et par la même confidentiels. www.ssi.gouv.fr
Cette pratique n’est pas sans risque et doit être faite avec discernement, dans le respect des dispositions légales et réglementaires.
Singulièrement, le droit des données à caractère personnel et le droit au respect de la vie privée constituent le fil rouge de cette recommandation.
L’Anssi légitime le filtrage des flux HTTPS au regard de la responsabilité particulière qui pèse sur l’employeur (au titre de l’article 1384 du Code civil), la nécessaire protection de ses intérêts, ou encore l’obligation de lutter contre le téléchargement illicite d’objets couverts par des propriétés intellectuelles.
Nombreuses étaient les entreprises qui pratiquaient un tel filtrage, mais qui faute de cadre juridique précis, ne rendaient pas cette pratique officielle.
Les outils de cybersurveillance déployés sans respecter les règles essentielles de consultation et d’information des employés leur sont inopposables.
Telle est la jurisprudence de la Cour de Cassation. Ainsi, pour d’autres, ce type de filtrage n’a pas été déployé faute de règles intérieures l’autorisant expressément.
Les recommandations
Tout en légitimant ce type d’outils, l’Anssi rappelle quelques règles de principe simples :
– Proportionnalité : tout n’est pas filtrable. Une analyse d’opportunité préalable est donc nécessaire
– Transparence vis-à-vis des employés. Une modification de la charte des systèmes d’information s’impose donc
– Protéger la vie privée résiduelle des employés par des mécanismes juridiques mais surtout techniques
– Responsabiliser les administrateurs des systèmes d’information pour l’utilisation de ce type d’outils. Une charte des administrateurs est indispensable
– Respecter la loi informatique et libertés sur les données à caractères personnels. Les démarches préalables auprès de la Cnil doivent ainsi être anticipées avec une cartographie des outils de filtrage
En conclusion, il s’agit maintenant de s’interroger sur les dangers de ne pas déployer correctement une solution de filtrage …