Veille Juridique
La Responsabilité des administrateurs Système et réseau
Présentation du métier et du rôle de l'ASR
L’Administrateur système et réseau est chargé de la mise en place et du suivi du SI au sein des grandes entreprises, des SSII ou des administrations. Il a précisément pour mission de gérer l’utilisation du réseau de l’organisation (performances, optimisation, migration, évolution, sécurité…), les postes de travail (accès à internet, mots de passe, sauvegardes), d’intégrer les nouveaux équipements au réseau. Il est important pour lui d’identifier clairement ses missions et ses responsabilités afin de prendre toutes les mesures utiles pour ne pas encourir de risques.
L'administrateur Système et réseau doit
- Informer, former, conseiller, alerter les acteurs de l’organisation pour tout ce qui concerne le système informatique et notamment les risques encourus (atteinte aux fichiers, captation de données)
- Sécuriser le système, il doit tout mettre en oeuvre pour y parvenir.
- Contrôler l’activité sur le réseau afin de prévenir les risques
- Pratiquer une veille juridique (loi, directive européenne,jurisprudence, recommandations Cnil)
L'administrateur Système et réseau à les obligations de
L’ASR dispose certes de moyens d’investigation (contrôle du débit, durée des connexions, sites web, accès en sa qualité d’administrateur aux serveurs de fichiers, aux serveurs web et aux serveurs de messagerie) mais il doit néanmoins agir en respectant des principes :
De loyauté : sa démarche doit être juste, sincère et être uniquement justifiée par un impératif de sécurité. Elle doit être conforme à la finalité pour laquelle le contrôle a été décidé. Dans le cas contraire, il engagerait sa responsabilité pénale et professionnelle.
De transparence : les acteurs internes à l’organisation ainsi que les tiers doivent être informés de l’éventualité d’un contrôle. Le règlement intérieur et la charte informatique informent les acteurs de l’entreprise des dispositifs de contrôle mis en œuvre.
De confidentialité : l’ASR est tenu au secret professionnel : il a l’interdiction de diffuser à quiconque, les informations qu’il aurait eu à connaître dans le cadre de ses fonctions. Il ne doit en aucun cas divulguer ses informations.À défaut, il mettrait en œuvre sa responsabilité pénale en vertu de l’article 226.15 du code pénal.
Aspects Juridiques
L’article 432-9 alinéa 2 du code pénal prévoit en effet que, si l’ASR peut accéder aux données à caractère personnel des salariés, il n’est cependant pas autorisé à les divulguer.
Cette obligation de confidentialité de l’administrateur système et réseau fait également l’objet d’une clause dans son contrat de travail.
La Directive 200258 du 12 Juillet 2002 précise que l’ASR doit prendre toutes les « mesures appropriées » pour assurer la sécurité.
Cours d’appel arrêt du 17 décembre 2002 : renforce le rôle des administrateurs système et réseau quant à la nécessité de surveiller le trafic sur les réseaux de leurs entreprises. La découverte de la consultation d'un salarié, des sites pedophiles c'est faite à l'occasion d'une opération de maintenance.
Sanctions
Art 432-9 : le détournement, la suppression ou l’ouverture de correspondances ou la révélation du contenu de ces correspondances, est puni jusqu’à trois ans d’emprisonnement ainsi que 45000 euros d’amende.
Conclusion
L’ASR occupe une place déterminante dans l’entreprise dont l’objectif est d’optimiser l’utilisation des ressources informatiques lesquelles sont perçues comme des outils de la compétitivité. Il dispose de pouvoirs très étendus pour sécuriser le système informatique mais doit, dans le cadre de ses contrôles, respecter le secret des correspondances ainsi que la vie privée de ses salariés. Son rôle et ses responsabilités évoluent du fait de l’externalisation des SI.
L’Administrateur système et réseau est chargé de la mise en place et du suivi du SI au sein des grandes entreprises, des SSII ou des administrations. Il a précisément pour mission de gérer l’utilisation du réseau de l’organisation (performances, optimisation, migration, évolution, sécurité…), les postes de travail (accès à internet, mots de passe, sauvegardes), d’intégrer les nouveaux équipements au réseau. Il est important pour lui d’identifier clairement ses missions et ses responsabilités afin de prendre toutes les mesures utiles pour ne pas encourir de risques.
L'administrateur Système et réseau doit
- Informer, former, conseiller, alerter les acteurs de l’organisation pour tout ce qui concerne le système informatique et notamment les risques encourus (atteinte aux fichiers, captation de données)
- Sécuriser le système, il doit tout mettre en oeuvre pour y parvenir.
- Contrôler l’activité sur le réseau afin de prévenir les risques
- Pratiquer une veille juridique (loi, directive européenne,jurisprudence, recommandations Cnil)
L'administrateur Système et réseau à les obligations de
L’ASR dispose certes de moyens d’investigation (contrôle du débit, durée des connexions, sites web, accès en sa qualité d’administrateur aux serveurs de fichiers, aux serveurs web et aux serveurs de messagerie) mais il doit néanmoins agir en respectant des principes :
De loyauté : sa démarche doit être juste, sincère et être uniquement justifiée par un impératif de sécurité. Elle doit être conforme à la finalité pour laquelle le contrôle a été décidé. Dans le cas contraire, il engagerait sa responsabilité pénale et professionnelle.
De transparence : les acteurs internes à l’organisation ainsi que les tiers doivent être informés de l’éventualité d’un contrôle. Le règlement intérieur et la charte informatique informent les acteurs de l’entreprise des dispositifs de contrôle mis en œuvre.
De confidentialité : l’ASR est tenu au secret professionnel : il a l’interdiction de diffuser à quiconque, les informations qu’il aurait eu à connaître dans le cadre de ses fonctions. Il ne doit en aucun cas divulguer ses informations.À défaut, il mettrait en œuvre sa responsabilité pénale en vertu de l’article 226.15 du code pénal.
Aspects Juridiques
L’article 432-9 alinéa 2 du code pénal prévoit en effet que, si l’ASR peut accéder aux données à caractère personnel des salariés, il n’est cependant pas autorisé à les divulguer.
Cette obligation de confidentialité de l’administrateur système et réseau fait également l’objet d’une clause dans son contrat de travail.
La Directive 200258 du 12 Juillet 2002 précise que l’ASR doit prendre toutes les « mesures appropriées » pour assurer la sécurité.
Cours d’appel arrêt du 17 décembre 2002 : renforce le rôle des administrateurs système et réseau quant à la nécessité de surveiller le trafic sur les réseaux de leurs entreprises. La découverte de la consultation d'un salarié, des sites pedophiles c'est faite à l'occasion d'une opération de maintenance.
Sanctions
Art 432-9 : le détournement, la suppression ou l’ouverture de correspondances ou la révélation du contenu de ces correspondances, est puni jusqu’à trois ans d’emprisonnement ainsi que 45000 euros d’amende.
Conclusion
L’ASR occupe une place déterminante dans l’entreprise dont l’objectif est d’optimiser l’utilisation des ressources informatiques lesquelles sont perçues comme des outils de la compétitivité. Il dispose de pouvoirs très étendus pour sécuriser le système informatique mais doit, dans le cadre de ses contrôles, respecter le secret des correspondances ainsi que la vie privée de ses salariés. Son rôle et ses responsabilités évoluent du fait de l’externalisation des SI.