Filtrage des flux HTTPS : Droit ou obligation ?

L’Agence nationale de la sécurité des systèmes d’information (Anssi) vient du publier une recommandation déterminante pour tous ceux qui s’interrogent sur le droit ou non de filtrer les flux https.

Mais au delà de l’intérêt que l’on peut porter à cette recommandations sur son aspect technique on remarquera qu’elle comporte une annexe juridique déterminante pour tous ceux qui se posent la question de savoir si cette pratique est légale ou non.

L’annexe juridique traite du délicat problème du filtrage flux entrants et sortants depuis les postes de travail fixes et nomades des salariés ou agents d’une entreprise ou d’une entité publique.

Impact. L’Anssi justifie cette démarche tout en rappelant que cette pratique n’est pas sans risque et doit être mise en œuvre avec discernement, dans le respect des obligations légales et singulièrement du droit des données personnelles et du respect de la vie privée des salariés ou agents publics.

L’Anssi légitime et il faut l’en féliciter, le filtrage des flux https au regard de la responsabilité particulière qui pèse sur l’employeur d’une part (article 1384 du code civil), la nécessaire protection de ses intérêts (données, secrets,..) ou encore l’obligation de lutter contre le téléchargement illégal.

Nombreuses sont les entreprises ou les acteurs publics qui aujourd’hui pratiquent un tel filtrage mais qui, faute de cadre juridique, ne rendent pas cette pratique « officielle ». Or les jurisprudences les plus récentes de la Cour de cassation rappellent que tous les outils de cybersurveillance déployé sans respecter les règles essentielles (informations des personnels et déclaration Cnil s’il y a lieu) sont inopposables aux collaborateurs de l’entreprise.

Pour d’autres, la majorité sans doute, ce type de filtrage n’a pas été déployé faute de règles l’autorisant clairement.

Actions. Tout en légitimant l’usage de ce type d’outils, l’Anssi rappelle quelques règles simples :

• Le principe de proportionnalité. Il faut en effet s’assurer du besoin et ne pas filtrer tout et n’importe quoi, par principe … Une analyse d’opportunité amont s’avère donc nécessaire ;
• Le principe de transparence et l’information préalable nécessaire des collaborateurs de l’entreprise – il convient ici de modifier la charte des systèmes d’information en conséquence ;
• La nécessité de prévoir des mécanismes de protection de la vie privée résiduelle des salariés ou des agents ;
• La nécessité de responsabiliser les administrateurs de ce type d’outil. L’Anssi rappelle ici l’importance de disposer d’une charte administrateur ;
• Le respect des obligations issues de la loi informatique et libertés et donc l’obligation de satisfaire a minima aux démarches préalables et de satisfaire au légitime droit d’accès du salarié ou de l’agent public.

Question. Depuis la publication de cette recommandation, la question n’est plus désormais de savoir s’il est légal ou non de déployer une solution de filtrage protocolaire, mais de s’interroger sur les dangers de ne pas le faire.

Il s’agit donc aujourd’hui de savoir si un tel filtrage est un droit ou s’il est devenu une obligation …

Polyanna Bigle