Re: [Admin-ml] Autorisation responsabilité juridique pour les archives informatique.

Jean-Luc Bailloeul jlbailloeul at irtsnpdc.fr
Sam 16 Mai 15:06:35 CEST 2009


Le 16 mai 09 à 14:21, Piel Jayce a écrit :

> Le 14 mai 09 à 13:05, Christophe AVRILLON a écrit :
>
>> Bonjour à tous,
>>
>>
>> Aujourd'hui les responsabilités de chacun peuvent être mis en jeu  
>> pour ce qui est du respect de la confidentialité des données  
>> personnelles et de l'entreprise. Comment un administrateur réseau  
>> peut-il agir dans ce cas ?
Il s'agit avant tout de la responsabilité du chef d'entreprise. Elle  
est opposable au tien, dans la mesure ou il te confie la mission de  
faire respecter cette dite responsabilité.
>>
>>
>> Nous sommes 2 administrateurs réseau dans une société dans le  
>> domaine des services aux entreprises composé d'une 40taine de  
>> personnes, d'un département comptabilité, d'un service de  
>> documentation et d'agents administratifs.
>>
>> Nous faisions une archive trimestrielles (un snapshot) de toutes  
>> les données informatiques (personnelle et de l'entreprise).
>> Ceci sans autorisations écrites particulières.
>> Les archives sont stockées dans le coffre fort de notre banque pour  
>> une durée de 3 ans.
Sur quel support, ça m'intéresse (cf. topics sur les sauvegardes)
>>
>>
>> Dans vos expériences et bonnes pratiques,
>>
>> - Doit-on avoir une autorisation signé du patrons ?
oui et non, dans la mesure ou il te confie une mission  
d'administration réseau (et système), tes responsabilités et devoirs  
(mais aussi tes droits) en découlent (demande-t'il explicitement à un  
comptable de faire son bilan annuel, ou de s'assurer que les charges  
URSSAF sont calculées ?)
>>
>> - Doit-on avoir une autorisation signé des utilisateurs ?
Il ne s'agit pas, selon mes recherches, d'une obligation, mais c'est  
préférable. Nombre de structures font désormais signer une charte  
informatique. On intègre de plus en plus cette charte dans le  
règlement intérieur de la structure pour ne faire signer, in fine,  
qu'un seul document, à valeur opposable dans un tribunal (ce que n'a  
pas tacitement une charte).
>>
>> - Est une obligation tacite des administrateur informatique ?
Bien sûr que oui : l'obligation est tacite (il ne s'agit pas pour  
autant d'une autorisation tacite, à mon sens).
>>
>
>
> Tout dépend du contrat. D'une manière générale, plus on a de choses  
> écrites, mieux c'est.
ça, c'est très vrai.
>
> Maintenant, si c'est marqué dans ton contrat que tu dois assurer les  
> sauvegardes sans donner plus de détail, libre à toi de les stocker  
> où tu veux pour en assurer la pérennité. Et là oui, c'est une  
> autorisation tacite. Mais tu pex toujours faire signer un papier  
> indiquant comment tu gères les sauvegardes.
> Maintenant, si ce n'est pas marqué dans le contrat que tu dois  
> assurer les sauvegardes, c'est plus flou. Et en cas de conflit, ça  
> "risque" de poser problème. Là, il vaudrait mieux clarifier la chose.
dans l'autre sens, le problème se pose aussi. si tu n'as pas les  
moyens de restaurer les données perdues d'un utilisateur, faute de  
sauvegarde, on te reprochera de ne pas l'avoir fait. cela ne sera  
opposable que s'il est explicitement expliqué dans ton contrat que ce  
devait être fait.
>
>
> Dans tous les cas, ce ne sont pas les utilisateurs eux-même qui  
> doivent signer quelque chose, mais le responsable de l'entreprise en  
> question.
oui et non, le responsable doit prendre toutes les mesures qui  
s'imposent pour sécuriser son activité, ses données et leur  
confidentialité.
aujourd'hui, de plus en plus de structures font signer une charte info  
à leurs employés.
J'étudie en ce moment ces questions concernant les sauvegardes, mais  
aussi de notre obligation de logguer toutes les connexions réseau de  
nos usagers.
Nous sommes tenus de sauvegarder ces données, mais n'avons pas le  
droit de les consulter sauf à des fins de débug.
pour les sauvegardes, je pense que c'est le même principe (il doit  
exister des textes à ce sujet à la CNIL, je me renseignerai) : c'est  
d'autant plus vrai si tu conserves comme nous les données de  
messagerie electronique, qui elles sont nominatives et confidentielles  
(tout du moins le corps du message).

> Sur la confidentialité des données, je pense que ce n'est pas toi le  
> responsable, mais plus le donneur d'ordre. Maintenant, tu as un  
> devoir de conseil...
Je pense que ce n'est pas parce que tu sauvegardes des données, que tu  
en violes la confidentialité. ce n'est pas antinomique.
Les usagers ont tendance à nous penser tout puissant sur le réseau et  
que toute donnée nous est de fait connue, comme si nous n'avions que  
cela à faire que de regarder les mails qu'ils écrivent à leur tante  
Bertha.
Si tu exerces ta profession avec professionnalisme, bon sens, et  
discrétion, il ne peut t'être reproché de faire tout ce qui est en ton  
pouvoir pour sécuriser l'activité de ton entreprise.
J'ai un recueil sur la sécurité informatique de l'entreprise, je vais  
regarder si je trouve des références légales à ce sujet.
Cdt,
Jean-Luc
>
>
> -- 
> Jayce Piel
> MosX.org
> la renaissance.....
>
>
> _______________________________________________
> Admin-ml mailing list
> Admin-ml at mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>




Plus d'informations sur la liste de diffusion Admin-ml