Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

dimanche 11 décembre 2016

Entreprise 2.0: lorsque pédagogie des réseaux sociaux rime avec sécurité

Les réseaux sociaux sont de plus en plus incontournables pour les entreprises. Mais en fusionnant sphères privées et professionnelles, ces réseaux facilitent des "attaques" ciblées sur les informations des entreprises et la vie privée des internautes
Twitter Facebook Delicious
Mis à jour le 16/09/2009 | Imprimer | Envoyer

Gartner estime que d'ici 2011, 10% de l'ensemble des coûts informatiques d'une entreprise seront imputables aux employés notamment via l'acquisition et l'utilisation de leur propre matériel à des fins professionnelles et privées. Cette tendance est déjà très nettement observable aujourd'hui en ce qui concerne les terminaux mobiles par exemple. Gartner évoque également la probabilité selon laquelle, d'ici 2015, 90 % des outils technologiques sur le lieu de travail feront l'objet d'une personnalisation par les employés. En l'absence d'une politique de sécurité minimale, l'accélération de ces tendances va donc poser de nouveaux défis de sécurité pour les entreprises.

Vers une adoption positive des réseaux sociaux par les entreprises

Cependant, les responsables d'entreprises ne doivent pas pour autant assimiler maîtrise de l'information au sein de l'entreprise et interdiction d'utilisation des réseaux sociaux. Outre les bénéfices directs que peuvent leur apporter les sites de réseaux sociaux en termes de communication, il conviendrait de développer au sein de l'entreprise une véritable éducation numérique des employés. Il serait ainsi utile que l'entreprise explique, non seulement les avantages, mais également les menaces qui découlent d'une utilisation non réfléchie des réseaux sociaux par les employés.

L'objectif de cette sensibilisation consisterait notamment à démontrer combien les réseaux sociaux constituent autant de portes d'entrée potentielles vers des informations sensibles des entreprises via les profils privés de leurs employés et comment lutter contre les attaques de social engineering.

Comment lutter contre les pratiques de social engineering?

Cette pratique consiste à rassembler puis exploiter les données personnelles publiées par des employés sur ses différents résaux sociaux et de relier entre elles ces données afin d'accéder frauduleusement à des informations sensibles de l'entreprise. Les attaques de social engineering sont donc le plus souvent réalisées inconsciemment depuis l'intérieur des entreprises par les employés ainsi visés. La nature hybride des réseaux sociaux mêlant étroitement vie privée et vie professionnelle des internautes facilite sensiblement ces pratiques de rebond pour commettre différents types de délits (usurpation d'identité, phishing, etc.).

Deux vidéos d'Orange business au sujet du social engineering et des réseaux sociaux dans la vie privée

Il existe toutefois des parades face à de telles menaces. Ainsi, en privilégiant une approche de responsabilisation collective au sein de l'entreprise, cette sensibilisation au bon usage des réseaux sociaux bénéficie à l'ensemble des acteurs concernés: de l'entreprise qui souhaite éviter la divulgation d'informations sensibles, jusqu'aux employés de celle-ci qui apprennent ainsi à mieux protéger leur vie privée dans leur utilisation personnelle d'Internet.

Si on prend pour exemple le réseau social Facebook, quelles pourraient être les principales recommandations pour une utilisation avertie de ce service? Pour répondre à cette question , l'AWT a sollicité l'avis de Jean-Philippe Moiny, Chercheur au Centre de Recherches Informatique et Droit (CRID) de la Faculté de droit des Facultés Universitaires Notre-Dame de la Paix de Namur.

L'inscription sur Facebook est-elle sans conséquence légale?

Absolument pas, faire défiler des conditions d'utilisation et les accepter peut signifier conclure un contrat (clickwrap agreement). Pire, dans certains cas, le simple fait d'utiliser un site vaut acceptation des conditions d'utilisation liées à ce site (browserwrap agreement). Cliquer peut donc signifier s'engager, conclure un contrat. Donc, s'inscrire sur un réseau social, c'est se soumettre à des obligations.

Le contrat passé avec Facebook est simple: l'utilisateur autorise l'exploitation des données personnelles qu'il télécharge sur le site contre un accès et un droit d'utiliser ce dernier. En s'inscrivant sur ce réseau, on concède, selon les paramètres de confidentialité mis en place, une licence non-exclusive, transférable, sous-licenciable, sans redevance et mondiale, pour l'utilisation des contenus de propriété intellectuelle publiés sur Facebook. Cette licence de propriété intellectuelle se termine lorsque l'on supprime ses contenus de propriété intellectuelle ou son compte (sauf si celui-ci est partagé avec d'autres personnes qui ne l'ont pas supprimé). Certaines données serviront ultérieurement à la réalisation de publicités ciblées selon le profil de l'utilisateur. Et surtout, elles seront généralement difficiles à supprimer.

Si mon profil est uniquement visible par mes "amis", suis-je à l'abri d'une intrusion dans ma vie privée?

Le site Facebook offre une gamme de paramètres de confidentialité permettant à l'utilisateur de déterminer qui peut accéder à quelles informations publiées sur son profil. Par exemple, l'utilisateur peut établir différentes listes d'amis ayant des droits d'accès différents à ses informations. Mais, Facebook peut unilatéralement modifier les possibilités de paramétrage. De plus, il ne faut pas perdre de vue que les programmes informatiques n'offrent pas une sécurité infaillible en termes de protection des données. Comme le faisait remarquer Jacques Gérard lors de la journée JuriTic (FUNDP-CRID) consacrée à Facebook le 21 avril 2009, des portions du code de programmation des bases de données du célèbre site de réseautage social circulent sur Internet.

De nombreuses données à caractère personnel sont présentes sur Facebook, c'est-à-dire des données relatives à une personne physique identifiée ou identifiable. En principe, les utilisateurs sont contractuellement obligés de s'identifier correctement (indépendamment des questions d'existence et de validité du contrat en cause). Leur profil est donc souvent un véritable recueil de données personnelles (âge, sexe, centre d'intérêts, photos, etc.) protégées par la loi de 1992.

Certains utilisateurs diffusent également des données relatives à d'autres personnes via leur profil. Dans ce cas, celui qui diffuse via Internet, des données à caractère personnel relatives à d'autres personnes devient un responsable de traitement de ces données. Cela signifie qu'il doit satisfaire aux obligations consacrées dans la loi de 1992. La personne concernée par les données publiées doit être informée du traitement. Ce traitement doit être licite, loyal, légitime et ses finalités déterminées, les données utilisées ne doivent pas être excessives, etc.

Si une personne est lésée par la diffusion d'informations la concernant elle peut ainsi se plaindre auprès de la Commission de la Protection de la Vie Privée ou s'adresser au tribunal. En cas de dommage, le responsable de traitement qui aura violé la loi de 1992 devra lui verser des dommages et intérêts.

Les applications ludiques proposées sur Facebook sont-elles sans danger?

Quel utilisateur de Facebook ne s'est pas amusé avec les tests de QI, les quizz du style "A quel personnage historique ressemblez-vous?". Pour fonctionner, ces applications doivent accéder aux informations de la plateforme Facebook contenant, entre autres, les informations de l'utilisateur qui les installe sur son profil. Le problème, c'est que ces applications, en accédant à un profil peuvent aussi accéder à celui des amis qui n'auraient pas pris soin de limiter le partage de leurs informations sur la plateforme Facebook.

Autrement dit, une application installée sur le profil de A est susceptible d'accéder à des informations du profil de B, ami de A. Par conséquent, il est fondamental non seulement pour l'utilisateur A de limiter le partage d'informations avec l'application qu'il installe mais il est tout aussi important pour l'utilisateur B de limiter le partage d'informations avec la plateforme des applications de Facebook. Ainsi, l'application installée par son ami ne pourra pas accéder à ses informations ou, du moins, à la majorité de ses informations. En effet, dès que des applications extérieures à Facebook sont ajoutées à un profil, un partage minimal d'information avec la plateforme est imposé.

Comment supprimer définitivement un compte Facebook et ses informations?

Pour "disparaître" de Facebook, deux solutions s'offrent à l'utilisateur:

  • une procédure de base avec laquelle les informations restent sur les serveurs de Facebook, mais ne sont plus accessibles aux autres utilisateurs du réseau social. Le désinscrit peut ainsi se réinscrire plus tard et disposer à nouveau de son compte Facebook en un clic. Cette solution s'apparente à une "mise au frigo" temporaire du profil;
  • une procédure plus radicale et moins visible, accessible via la rubrique d'aide, permet théoriquement de supprimer définitivement les informations du compte Facebook. Néanmoins, les conditions d'utilisation et la politique de confidentialité signalent que des copies de sauvegarde peuvent subsister pour "une période raisonnable de temps".

Dans le même ordre d'idées, il faut éviter de dire combien on trouve son employeur "injuste" dans le cadre du statut journalier, surtout si on le compte parmi ses amis. En effet, on aura beau supprimer ces données, celles-ci subsisteront un certain temps dans les actualités! Cette réfléxion vaut également pour les opinions politiques ou religieuses. Même après les avoir supprimées de la rubrique "Informations" du profil, on continuerea à les voir apparaître dans le moteur de recherche dans différents groupes pendant un certain temps après leur suppression. Le temps sans doute, que les serveurs soient mis à jour!

Une personne mal intentionnée a créé un faux profil à mon nom sur Facebook. Que faire?

Dans ce cas, le plus simple est de signaler directement à Facebook cette usurpation d'identité. Elle constitue d'ailleurs une violation de la déclaration des droits et obligations de Facebook. L'utilisateur doit dans ce cas mentionner précisément la violation du droit à laquelle il est confronté, faute de quoi il ne pourra pas contacter efficacement Facebook. Si Facebook ne réagit pas, la question de sa responsabilité civile en tant qu'intermédiaire de l'Internet peut alors être posée. Dans ce contexte particulier, il faut discerner:

  • un éventuel litige avec un autre utilisateur mal intentionné (relevant du droit belge),
  • un éventuel litige avec la société Facebook relevant exclusivement du droit californien.

En effet, la Déclaration des Droits et Obligations du 1 er mai 2009, précise bien que: "Vous porterez toute plainte afférente à cette Déclaration ou à Facebook devant les tribunaux d'état et fédéraux sis dans le comté de Santa Clara, en Californie. Le droit de l'État de Californie est le droit appliqué à cette Déclaration, de même que toute action entre vous et nous, sans égard aux principes de conflit de lois. Par ailleurs, en cas de plainte à notre encontre suite à vos actions ou à votre contenu sur Facebook, vous indemniserez Facebook pour toute perte, responsabilité, réclamation, demande, dépenses et frais, y compris les honoraires raisonnables d'avocat, afférents à cette plainte".

Une personne mal intentionnée diffuse des calomnies à mon sujet via son profil Facebook. Que faire?

Sans entrer dans les détails de la nuance entre calomnie et diffamation, il s'agit d'imputer à une personne un fait précis de nature à porter atteinte à son honneur et devant faire l'objet d'une certaine publicité (présence de témoins, etc.). Il s'agit toujours d'une infraction de droit pénal belge qui requiert de son auteur une intention méchante: il doit agir dans le but de nuire (dol spécial).

A chaque fois qu'il est question d'infraction pénale, il appartient au procureur ou, le cas échéant, à la partie civile (à savoir le préjudicié) de démontrer que les conditions de l'incrimination (éléments matériel et moral) sont présentes. Ces éléments démontrés, les principes de la responsabilité civile classique peuvent jouer pour que la victime puisse obtenir réparation.

Un "ami" a publié des photos de moi en état d'ébriété. Je ne veux pas qu'elles soient diffusés. Que faire?

L'image est une donnée à caractère personnel, la loi belge de 1992 s'applique donc au traitement d'images concernant des personnes physiques identifiables. Cependant, le droit à l'image est en principe fondé sur l'article 4 de la loi de 1994 relative au droit d'auteur et aux droits voisins. Ainsi, il faut le consentement d'une personne pour pouvoir la prendre en photo et également pour pouvoir diffuser la photo.

Chaque type de diffusion requiert un consentement particulier. Par exemple, une photo prise pour être diffusée sur un blog ne pourra être publiée sur le site Web d'un magazine sans un nouveau consentement de la personne photographiée. Par conséquent, pour mettre une photo de quelqu'un sur Facebook il faut d'abord son consentement à la prise de vue et ensuite, son consentement pour la diffusion de la photo sur Facebook. Celui qui ne respecte pas ces règles peut faire l'objet d'une action en cessation et, le cas échéant, être tenu à payer des dommages et intérêts.

Qu'en est-il de la protection des mineurs qui créent un profil sur Facebook?

La Déclaration des Droits et Obligations sur Facebook précise en toutes lettres que "Facebook ne collecte ni ne sollicite aucune information auprès d'enfants de moins de 13 ans et n'autorise pas non plus leur inscription".

Pour les mineurs âgés de 13 à 18 ans, Facebook recommande que l'autorisation des parents soit obtenue avant l'inscription sur le réseau. En effet, les mineurs sont titulaires de leurs droits mais sont en principe incapables de les exercer. Néanmoins, la jurisprudence leur reconnaît une certaine autonomie selon qu'ils aient ou non le discernement et selon les actes juridiques concernés. Par exemple, les "actes de la vie courante", d'un point de vue patrimonial, seront considérés comme valables lorsqu'un mineur a le discernement, mais il est clair qu'un enfant de 7 ans n'a pas le même discernement qu'un adolescent de 16 ans.

Les parents sont les représentants légaux du mineur et ils doivent en principe, exercer ses droits. Si le traitement des données est légitimé sur base du consentement de l'utilisateur, les représentants légaux du mineur (en principe ses parents) doivent intervenir et donner ce consentement. En principe, le mineur qui veut s'inscrire sur Facebook ne peut contracter qu'avec ses parents. Mais quel est le mineur qui a demandé à ses parents de l'aider à comprendre les conditions d'utilisation de Facebook avant de s'inscrire sur le réseau afin de mesurer la portée de ses actes?

En matière de protection des données, le droit communautaire requiert que le consentement de la personne concernée soit libre, pleinement informé et indubitable. Dès lors que le doute existe déjà lorsque des adultes sont en cause sur Facebook, la situation des mineurs en est a fortiori encore plus critiquable.

Conclusion

Le succès des réseaux sociaux n'est pas prêt de se démentir à condition que la protection des internautes y soit un minimum assurée. L'éducation du grand public n'est qu'une question de temps et il y a fort à parier que les internautes bien informés feront eux-aussi évoluer les réseaux sociaux dans un sens favorable à l'utilisateur.

Pour en savoir plus

Portail de la Région wallonne