Abaisser la barrière – Les employeurs doivent prendre des mesures pour restreindre l'accès aux informations confidentielles
Avec la prolifération des technologies et du cloud computing, les employeurs ont souvent du mal à fournir à leurs employés les outils leur permettant d'accéder aux informations dont ils ont besoin pour accomplir efficacement leur travail tout en préservant la confidentialité des informations confidentielles et exclusives. La loi sur la fraude et les abus informatiques (CFAA) est depuis longtemps un outil dont les employeurs peuvent se servir pour empêcher leurs employés actuels ou anciens, ainsi que leurs concurrents commerciaux externes, d'accéder à des informations informatiques et de les utiliser sans autorisation appropriée. Historiquement, la CFAA interdisait aux employés de « pirater » des bases de données informatiques sécurisées et d'obtenir des informations sécurisées dans ces bases de données pour leur usage personnel.
Certaines cours ont également étendu l'application de la CFAA à un employé qui était généralement autorisé à accéder à des informations provenant d'une base de données informatique sécurisée, mais qui a utilisé cet accès pour obtenir des informations à des fins non autorisées ou inappropriées. L'été dernier, cependant, la Cour suprême des États-Unis, dans l'affaire Van Buren c. États-Unis, a précisé que la CFAA ne s'applique pas dans de telles situations.
Dans cette affaire jugée par la Cour suprême, le plaignant Nathan Van Buren était un sergent de police qui, dans le cadre de ses fonctions quotidiennes, avait accès à une base de données des forces de l'ordre de l'État contenant des informations sur les permis de conduire. Van Buren n'était autorisé à utiliser cette base de données qu'à des fins d'application de la loi. Cependant, un citoyen privé a payé Van Buren pour utiliser ses identifiants de connexion afin d'obtenir des informations sur les permis de conduire.
Van Buren a été arrêté et accusé d'une infraction grave à la CFAA, ce qui lui a valu d'être finalement condamné à 18 mois de prison. Van Buren a fait appel, arguant que la clause « dépasse l'accès autorisé » de la CFAA ne s'applique pas aux employés qui abusent de l'accès qui leur a été accordé par leur employeur ou qui utilisent cet accès à des fins inappropriées. La Cour suprême des États-Unis lui a donné raison. La Cour a estimé que l'objectif de l'employé n'était pas pertinent, même lorsque cet objectif était interdit par la politique de l'entreprise ou les supports de formation. La Cour a plutôt jugé que la CFAA n'était violée que lorsque les employeurs prenaient des mesures pour interdire à leurs employés d'accéder à des informations sur les ordinateurs qu'ils étaient autorisés à utiliser et que les employés contournaient ces restrictions à des fins abusives.
Dans une décision prise à 6 voix contre 3, la Cour a estimé que « si une personne a accès à des informations stockées dans un ordinateur, par exemple dans le « dossier Y », à partir duquel elle peut légalement extraire des informations, elle ne viole pas la CFAA en obtenant ces informations, qu'elle les ait extraites à des fins interdites ou non. Mais si les informations se trouvent plutôt dans le « dossier X » interdit, auquel la personne n'a pas accès, elle enfreint la CFAA en obtenant ces informations ». Ainsi, « la responsabilité découle d'une enquête visant à déterminer si l'on peut ou non accéder à un système informatique, et si l'on peut ou non accéder à certaines zones du système ».
Si la décision de la Cour suprême restreint la portée de la CFAA, elle fournit aux employeurs des indications précieuses sur les comportements effectivement interdits par cette loi. Les employeurs « abaissent la barre » en prenant des mesures pour restreindre l'accès aux informations qu'ils souhaitent empêcher leurs employés d'utiliser de manière abusive. La question de savoir quelles mesures doivent être prises exactement reste toutefois ouverte. La Cour a expressément déclaré : « aux fins qui nous occupent ici, il n'est pas nécessaire de déterminer si cette question porte uniquement sur les restrictions technologiques (ou « basées sur des codes ») d'accès, ou si elle concerne également les restrictions prévues dans les contrats ou les politiques ». Il n'est donc pas clair si les employeurs doivent protéger leurs fichiers par un mot de passe pour en restreindre l'accès, ou s'il suffit simplement d'interdire aux employés d'accéder aux informations informatiques contenues dans les manuels destinés au personnel. Ces questions feront certainement l'objet de futurs litiges au titre de la CFAA.
Pour garantir que la CFAA protège les informations stockées sur ordinateur contre toute utilisation abusive par un employé, les employeurs doivent se référer aux meilleures pratiques en matière de sécurité des données. Ces meilleures pratiques comprennent, sans s'y limiter : (1) protéger par mot de passe toutes les informations confidentielles et exclusives – ces mots de passe doivent être mis à jour fréquemment et ne doivent être communiqués qu'aux employés qui ont réellement besoin de connaître ces informations ; (2) activer un pare-feu pour empêcher tout accès non autorisé à votre réseau informatique ; (3) crypter les données hautement confidentielles ; (4) utiliser un réseau privé virtuel (ou VPN) pour restreindre davantage l'accès non autorisé à votre réseau ; et (5) informer spécifiquement les employés des bases de données ou des informations non autorisées et contrôler régulièrement ces bases de données pour s'assurer qu'elles ne sont pas consultées sans autorisation appropriée.
