La relation entre la cybersécurité et la vie privée nécessite un difficile équilibre des intérêts, et on ne sait pas ce que les employeurs sont autorisés à faire aujourd’hui, soulignent trois avocats du cabinet d’avocats Thommessen à Dagens Næringsliv le 12 janvier.
Ove A. Vanebo
En particulier, les avocats se préoccupent de surveiller l’activité dans les systèmes informatiques et de savoir si les activités des employés peuvent être surveillées.
La raison de l’incertitude est que l’employeur ne peut surveiller l’utilisation des équipements électroniques par les employés que dans le cadre de la réglementation sur l’accès de l’employeur aux boîtes aux lettres et autres matériels stockés électroniquement, dans le cas où cela est fait pour gérer des systèmes informatiques ou pour « découvrir ou clarifier les failles de sécurité dans le réseau ».
Les avocats posent des questions sur ce qui constitue réellement une « brèche de sécurité dans le réseau » et se demandent si des mesures peuvent être prises (« le cas échéant ») lorsque la menace pour la sécurité peut provenir de l’utilisation des systèmes par ses propres employés. Ils pointent le manque de sources permettant d’éclairer la question, et déplorent le manque de précisions après que les règles actuelles « sur la surveillance ont été élaborées au milieu des années 2000, et sont restées en pratique inchangées depuis leur entrée en vigueur en 2009″. . »
À mon avis, des questions pertinentes sont soulevées, et il y a certainement des aspects peu clairs du règlement. Mais je ne suis pas d’accord sur le fait que nous sommes presque sur un « terrain nu » en termes de sources et de compréhension du contenu du terme « atteinte à la sécurité » et de la possibilité de surveillance.
L’expression dans le règlement a une histoire qui remonte au-delà du milieu des années 2000. Dès 1996, les règlements de la loi sur le registre personnel ont été modifiés pour faire des exceptions à la licence pour les journaux d’activité pour, entre autres, une « violation de la sécurité du système informatique », ce qui est également reflété dans le règlement actuel avec un libellé modifié.
Il existe un certain nombre de déclarations de l’Autorité norvégienne de protection des données et de la théorie juridique qui peuvent éclairer le contenu de la formulation, tant pour ce règlement que pour le règlement ultérieur sur les données personnelles.
L’expression d’aujourd’hui, « brèche de sécurité dans le réseau », implique un accès assez large et général pour effectuer une surveillance afin de découvrir des problèmes. La formulation n’est pas limitée à des personnes externes ou à des actions spécifiques.
Dans l’affaire Netclean, évoquée par les avocats, l’Autorité norvégienne de protection des données souligne qu’une faille de sécurité « doit être comprise comme un événement entraînant une violation de la confidentialité, de l’intégrité et de la disponibilité dans le traitement des informations ».
Une situation tout à fait inappropriée serait créée si la réglementation excluait les actions des employés.
Dans les cas que j’ai moi-même aidés, il a été question d’employés téléchargeant de grandes quantités d’informations pour les transmettre à des entreprises concurrentes, et aussi de questions sur le danger que des employés transmettent des informations d’archives internes à des puissances étrangères.
Il ne fait guère de doute que cela apparaît comme une « brèche de sécurité ».
En décembre 2000, l’Autorité norvégienne de protection des données a émis des commentaires sur les dispositions de sécurité contenues dans la réglementation actuelle en matière de données personnelles. Là, l’autorité de contrôle souligne, entre autres, que « des mesures de sécurité doivent être établies à la fois dans le but de prévenir les atteintes à la sécurité, et de déceler les incidents pouvant entraîner des atteintes à la sécurité », et que cela « signifie que toute tentative d’utilisation non autorisée du système d’information doit être enregistré ».
De même, il est mentionné dans l’ancien guide « Evaluation des risques des systèmes d’information » de l’Autorité norvégienne de protection des données que « des failles de sécurité peuvent survenir lorsque ses propres employés agissent avec intention et ont un certain niveau de compétence ». Dans les travaux juridiques de Stefan Jørstad sur la surveillance des employés, il part du principe que la surveillance visant à découvrir les failles de sécurité inclura également « les cas où le but du traitement est de découvrir si, par exemple, les employés ont exposé des informations dans le système informatique à des personnes non autorisées tiers, etc. ».
Pour les mesures spécifiques pouvant être mises en œuvre, il est probablement moins approprié que le règlement du règlement « soit repris pour réévaluation ». Le règlement laisse une large marge de manœuvre. Il est plus exigeant de décider quel type de méthodes et quelle quantité d’informations sont nécessaires et proportionnées. Il y aura toujours une évaluation concrète ici. La jurisprudence et la théorie existantes fournissent de nombreux exemples.
Une clarification doit certainement être envisagée. Néanmoins, il existe probablement déjà suffisamment de sources pour prendre position sur la plupart des questions.(Termes)Copyright Dagens Næringsliv AS et/ou nos fournisseurs. Nous aimerions que vous partagiez nos cas en utilisant des liens, qui mènent directement à nos pages. La copie ou d’autres formes d’utilisation de tout ou partie du contenu ne peuvent avoir lieu qu’avec une autorisation écrite ou dans la mesure permise par la loi. Pour plus de termes voir ici.
