Cadre de l'exploitation des données de traces
Communication des traces aux autorités
Les traces peuvent aujourd’hui être communiqués aux autorités judiciaires dans le cadre d’une procédure.
Les demandes de communication de données prévues à l’article L. 34-1-1 du Code des postes et des communications électroniques comportent les informations suivantes :
- Le nom, le prénom et la qualité du demandeur, ainsi que son service d’affectation et l’adresse de celui-ci.
- La nature des données dont la communication est demandée et, le cas échéant, la période concernée.
- La motivation de la demande.
NB : La réglementation évoluent vers une communication sur simples demandes des autorités de police.
Communication des traces aux chefs d'établissement
Le chef d'établissement dispose d'un pouvoir de contrôle qui s'exerce à la fois sur le personnel et les élèves. Toutefois ce pouvoir de contrôle doit s'exercer dans le respect du principe de proportionnalité. Dans le cas du personnel comme des élèves, ce principe protège d'éventuels abus.
La légitimité et la proportionnalité du contrôle par rapport au but recherché seront recherchés par le juge dans le cas où l'affaire serait portée devant les tribunaux.
Un chef d'établissement est fondé à accéder aux logs dans la mesure ou sa motivation est légitime (assurer la sécurité du système d'information dont il est responsable, mettre un terme à des actions illicites, assurer l'obligation générale de surveillance des élèves, etc.). Le chef d'établissement dispose d'un droit d'accès aux logs mais ce droit d'accès est soumis au principe de proportionnalité. Ce droit doit également respecter le droit à la vie privée de l'élève ou du personnel, même si ce droit n'est pas un droit absolu et opposable envers et contre tout.
Le chef d'établissement dispose de ce droit d'accès mais il est de plus fondé à recueillir tous les éléments de preuve grâce auxquels il peut engager une procédure disciplinaire contre un élève ou un personnel, voire ester en justice.
Attention toutefois à la façon dont ces éléments de preuve sont recueillis.
En effet, pour que les preuves recueillies aient un caractère probant et légal, elle doivent non seulement répondre à la condition de légitimité du contrôle évoquée ci-dessus mais elles doivent également répondre à une autre condition qui est celle de la fiabilité du contrôle. En clair, il faut à la fois du point de vue technique et organisationnel, s'entourer de précautions indispensables pour garantir la fiabilité des éléments de preuve.
Pour les investigations sur le poste de travail, cela amene à définir une procédure organisationnelle (qui a été validée par un cabinet d'avocat spécialisé) et dont les éléments génériques valables dans tous les cas dans la recherche des preuves.
Conclusion
En dehors de toute action de la justice, le chef d'établissement peut il exiger les données de preuves pour désigner nommément un coupable ?
La réponse est oui.
La demande de traces par un chef d'établissement est-elle légitime et le RSSI est-il en mesure d'y répondre sans enfreindre le droit à la vie privée ?
Le chef d'établissement doit respecter le principe de proportionnalité et ne peut enfreindre le droit à la vie privée. Il y a une différence entre rechercher des éléments de preuve et traquer une personne. Le RSSI est d'ailleurs soumis aux mêmes règles.
Procédure administrative
Voici la procédure administrative pour les demandes de communication des données de traces par les chefs d'établissement. Cette procédure s'applique aussi aux demandes formulées par les chefs de service.
- le chef d'établissement est habilité à demander le contrôle,
- le chef de service est habilité à demander le contrôle sous couvert du secrétaire général (d'académie ou de l'inspection),
- la demande doit être adressée au RSSI sous la forme écrite,
- la date de survenance et la nature des incidents justifiant la procédure de contrôle doivent être fournis,
- l'attestation du déroulé de l’opération de contrôle (agent, huissier de justice, etc.)