Droits et devoirs de l'administrateur S&R - Management du SI - Systèmes & Réseaux Pro
Marsh Posté le 06-04-2011 à 16:59:04
La question de l'accès aux mots de passe est à mon avis obsolète car tout système récent empêche l'accès direct aux mots de passe, ils sont chiffrés.
Sinon il faut changer le SI
Un article intéressant avec un point de vue juridique :
http://2003.jres.org/actes/paper.130.pdf
Au final ce sont les jurisprudences qui délimitent le droit.
Marsh Posté le 06-04-2011 à 17:32:00
Merci beaucoup pour ton document, il est vachement intéressant et répond à la plupart de mes interrogations. Merci
Marsh Posté le 06-04-2011 à 18:03:53
Les liens données ne sont pas assez explicite.
Le respect de la vie privée et les données appartenant à l'entreprise
Pour qu'une donnée/mail soit considérée comme privée, elle doit être clairement identifiée en tant que telle (dossier nommé "personnel ou privé", objet du mail commençant par "personnel ou privé" ).
Donc si la donnée/mail n'est pas identifié en tant que telle, c'est une donnée de l'entreprise et peut donc être lue.
Car les données, email en faisant parti, appartiennent à l'entreprise.
Ce que dit la jurisprudence: on peut utiliser les outils de communication de l'entreprise à des fins personnelles. Mais ces correspondances étant privées, elles entre dans le cadre de l'article 8 de la convention européenne des droits de l'homme. Mais l'employé doit explicitement indiquer ce qui est privé.
Je l'ai vécu dans ma boite (en raison d'un pot de vin), un pote dans la sienne (suite à un accident mortel sur son lieu de travail).
L'employeur prévient le CE et peut reprendre tous les backup pour les lire (données réseau, email).
Dans le 1er cas, le CE avait saisis la CNIL qui a classé sans suite la plainte car l'employeur était dans son droit.
Edit
Les mots de passe
Les lois Bâles (finances) ou même Sarbanes Oxley (Sox) sont reconnues en France.
Je ne connais pas trop les lois Bâles et Bâles II, mais pour Sox si l'entreprise est une filiale d'une société américaine cotée en bourse, la loi est applicable sur le territoire français (il y a une jurisprudence la dessus).
Sur les mdp, je crois qu'il y a des similitudes entre Sox et Bâles.
La loi anti terrorisme de 2001 dit que tout organisme public ou privé donnant accès à internet à des tiers devient FAI et est donc soumis aux mêmes règles: pouvoir identifier qui se connecte (c'est parfois en contradiction avec les recommandation de la cnil qui empêche justement de conserver des données nominatives... vive la législation!)
Donc pour Sox: un compte unique et non générique pour chaque utilisateur. Chaque utilisateur est pénalement responsable de ce qui se fait sous son compte (afin de respecter ceci: celui qui demande, celui qui valide, celui qui fait et celui qui vérifie sont bien des personnes différentes).
Idem, en gros, avec la loi anti terrorisme.
=> un mdp de compte utilisateur ne doit jamais être divulgué (d'ailleurs la plupart des systèmes respecte cette règle: un mdp peut être changé mais non révélé)
Marsh Posté le 06-04-2011 à 18:10:45
Attention, le document a presque 8 ans maintenant.
Ensuite, l'accès aux mdp est possible dans des tas de logiciels.
Quelques notions de bon sens :
- le système d'information utilisé par le salarié est la propriété de l'entreprise. Et ce dernier bosse pour sa boite. Aussi mdp, boite emails, fichiers, etc. tout doit être accessible par la société.
- il en va de la pérennité de l'activité de l'entreprise de pouvoir accéder à toutes les données.
Quelques exceptions cependant :
- le droit reconnait au salarié sur son temps de travail d'utiliser la messagerie à titre perso. Il doit alors se plier à l'organisation en rapport (en gros bien notifier que les mails persos sont persos).
- d'une manière générale, le salarié doit être informé de l'organisation du système d'information et des moyens de journalisation et contrôle mis en place.
Il existe des tas de documents en rapport, pas mal obsolètes attention, et des exemples de chartes.
Marsh Posté le 06-04-2011 à 18:24:42
je ne suis pas d'accord avec les mdp, j'ai édité mon post précédent.
Je ne suis pas juriste, mais j'ai bossé dans pas mal de boite US qui n'ont pas les mêmes législations sur le droit à la vie privé donc quelques malentendus souvent rencontrés.
Marsh Posté le 06-04-2011 à 16:10:03
Bonjour à tous
J'aimerai savoir où je peux trouver (site, livre, documentaire...) des informations juridiques sur les droits et devoirs de l'administrateur S&R. Par exemple :
- A-t-il le droit de rediriger une adresse mail après le départ d'un collaborateur?
- A-t-il le droit de donner accès aux mails d'un collaborateur partit à son N+1?
- A-t-il le droit de connaître les mots de passe des utilisateurs?
- A-t-il le droit d'accéder à des données "confidentielles" ? (apparemment, oui, tant que rien qui ne mette en péril la société ne soit divulgué :lien)
- A-t-il le droit d'accéder aux mails des utilisateurs? (Même qu'au-dessus, à priori oui
Je n'ai pas trouvé d'infos vraiment pertinentes...
Merci d'avance
PS : je ne demande pas forcément la réponse à toutes ces questions, mais juste si vous avez une source d'information sur ce genre de questions =)
Message édité par Profil supprimé le 06-04-2011 à 16:44:48