Bilan

«Le listing Ashley Madison n'a pas plus de valeur que la liste Falciani»

La publication de la liste des adresses mails des personnes inscrites sur le site web Ashley Madison fait grand bruit. De nombreux abonnés ont utilisé leur adresse professionnelle. Une pratique interdite par la plupart des entreprises.
  • Utiliser son adresse mail professionnelle pour des activités privées (comme l'inscription sur le site web Ashley Madison) est interdite dans la plupart des entreprises suisses.

    Crédits: Image: Eva Hambach/AFP
  • Plusieurs millions de noms d'utilisateurs de la plateforme de mise en relation de personnes en couple ont été publiés ces derniers jours.

    Crédits: Image: AFP
  • En dehors des impacts privés que peut avoir la divulgation des noms, des répercussions professionnelles peuvent être envisagées pour les abonnés s'étant inscrits avec leur adresse mail professionnelle.

    Crédits: Image: Philippe Lopez/AFP
  • Pour François Charlet, juriste spécialisé dans le domaine de la technologie, le listing obtenu par un moyen illégal n'est pas utilisable en cas d'action en justice. De la même manière que la liste Falciani.

    Crédits: Image: DR

C'est le scandale de hacking qui fait du bruit ces jours-ci. Des pirates informatiques se sont emparés des données privées des personnes inscrites sur le site web de rencontres Ashley Madison. Et ils viennent de les publier. Or, ce site web est spécialement destiné aux personnes en couple souhaitant trouver un(e) partenaire hors de leur relation officielle.

Piratage de données et business de l'infidélité: deux ingrédients qui ont tout pour composer une recette de scandale. Et sur le web, le buzz est là. De nombreuses crises de couples sont à prévoir et le nombre de divorces pourrait grimper sous l'effet de ces révélations. Mais au-delà des impacts dans la vie des ménages se posent aussi des questions d'ordre professionnel.

En effet, de nombreux utilisateurs de ce site web ont cherché à se protéger en évitant d'utiliser leur adresse privée. Afin d'éviter d'attiser les soupçons de leur conjoint(e). Une adresse privée alternative a souvent été utilisée. Mais certains ont préféré une autre adresse courriel qu'ils avaient à disposition: leur adresse professionnelle. Un choix qui contrevient souvent aux règlements intérieurs des entreprises et administrations, comme le rappelle l'avocat spécialisé dans le droit des technologies François Charlet dans un post de blog.

Ainsi, en plus des adresses mail proposées par les services d'e-mails helvétiques (Bluewin.ch, vtx.ch, romandie.ch, sunrise.ch), de nombreuses adresses liées à des entreprises ou des administrations émergent aussi, dont 19 liées à l'administration fédérale, cinq à l'EPFL, neuf chez Swisscom, 32 chez UBS,...

Le juriste explique ces dangers pour les salariés, mais relativise la portée du listing obtenu par un piratage.

Bilan: Quelle est la situation pour les nombreuses personnes inscrites, notamment en Suisse, sur le site Ashley Madison et qui ont utilisé leur adresse professionnelle?

François Charlet: Rappelons d'abord le contexte global. De manière générale, la majorité des employeurs, privés ou publics, ont édicté des règles concernant l'usage d'internet au bureau, et notamment l'utilisation de leur adresse courriel professionnelle, mais aussi des activités autorisées ou non sur leur poste de travail ou avec du matériel fourni par l'entreprise (téléphone notamment). Dans l'immense majorité des cas, il y a une prohibition de l'usage personnel de ces outils, sauf des cas particuliers ou notamment l'urgence.

Il existe évidemment une tolérance pour les usages du quotidien, comme prévenir un proche d'un retard à un rendez-vous. Mais chaque employé doit prendre garde à ne pas abuser: une communication téléphonique qui s'éterniserait sur des confidences personnelles, des souvenirs ou le récit complet et détaillé de la journée de l'enfant du couple constituerait une forme d'abus. Il existe une marge d'appréciation et il faut prendre garde à ne pas la franchir fréquemment ou excessivement.

... mais s'inscrire sur un site comme Ashley Madison s'inscrit donc dans les abus...

F.C.: S'inscrire sur un site de rencontres avec son adresse mail professionnelle constitue évidemment un abus de la part de l'employé, qu'il s'agisse d'Ashley Madison ou d'un autre. A fortiori si l'employé s'est connecté depuis son ordinateur professionnel. L'employeur a intérêt à ce que ses employés travaillent pendant leur temps de travail et de présence au bureau. Et qu'ils utilisent le matériel mis à leur disposition pour travailler et non pour leurs activités privées.

Dans la plupart des sociétés, le règlement interne prévoit pour la hiérarchie la possibilité de procéder à des contrôles du matériel. Ces contrôles peuvent notamment porter sur la navigation sur internet par les employés ou sur le contenu des e-mails échangés depuis la boîte professionnelle. Et en cas d'infraction, un avertissement voire un licenciement peuvent être envisagés. Selon moi, il s'agirait davantage d'une violation du rapport de confiance entre l'employé et l'employeur.

Un employé d'une entreprise suisse peut-il donc risquer le licenciement pour s'être inscrit sur ce site de rencontres?

F.C.: Si cela peut être théoriquement possible, c'est fort peu probable. Et cela pour plusieurs raisons. Déjà, si cet abus est le premier commis par un employé, cela donnera d'abord lieu à un avertissement. Si un employeur venait à licencier un collaborateur sur ce motif uniquement, ce dernier pourrait probablement le contester. Je ne peux pas me placer à la place du juge mais il y a des chances que celui-ci juge le licenciement abusif.

Mais l'argument principal réside dans la nature de la source: ce fichier piraté des données Ashley Madison. Il s'agit de données volées et donc obtenues par un moyen illégal. Ce qui rend son utilisation légalement compliquée voire impossible. On est dans un cas de figure similaire au listing Falciani, que l'ex-informaticien de la banque HSBC avait dérobé de manière illégale. Or, comment la justice, donc l'Etat, pourrait-elle affirmer que les données du fichier Falciani sont inutilisables car obtenues de façon illégale, et dans le même temps valider des décisions basées sur un autre listing volé? Non, légalement le listing Ashley Madison n'a pas plus de valeur que la liste Falciani.

Et cela entraîne une autre conséquence. Une entreprise qui s'aviserait de contrôler les postes et les boîtes mail de ses employés dont les noms figurent sur le listing Ashley Madison serait dans une situation bancale. En effet, il faudrait annoncer une opération de contrôle généralisée à tous les collaborateurs, et non viser spécifiquement ceux dont le nom figure dans la liste, car cela pourrait entraîner une contestation de la part d'un collaborateur sanctionné: il pourrait soupçonner ses supérieurs d'avoir fait usage du listing Ashley Madison et donc remettre en cause la légalité de la sanction en instillant un doute dans l'esprit des juges.

De son côté, un employé sanctionné par sa hiérarchie parce qu'il a utilisé son mail professionnel peut-il se retourner contre Ashley Madison dont les données n'ont pas été suffisamment protégées?

F.C.: C'est très complexe et une telle action aurait peu de chances d'aboutir. Pour une raison très simple: quand un internaute s'inscrit sur Ashley Madison, il accepte les conditions générales d'utilisation. Or, même si le site dégaine l'argument marketing de la confidentialité, il ne donne aucune garantie absolue sur la sécurité des données: il s'engage à tout mettre en oeuvre pour lutter contre le piratage. Je ne connais aucun site web qui soit à l'abri de façon absolue des hackers, même les sites les plus ultra-protégés et sécurisés au monde.

Par contre, une personne dont le nom serait cité et qui en subirait un préjudice pourrait se retourner contre le(s) diffuseur(s), surtout si cette personne ne s'est pas inscrite sur ce site et que son adresse mail a été utilisée par un tiers mal intentionné ou qui ne tiendrait pas compte des implications éventuelles. Pour un employeur, il sera difficile de prouver que c'est bien son collaborateur qui s'est inscrit et pas une autre personne. D'où l'aspect encore moins pertinent de ce listing.

Matthieu Hoffstetter
Matthieu Hoffstetter

JOURNALISTE À BILAN

Lui écrire

Titulaire d'une maîtrise en histoire et d'un Master de journalisme, Matthieu Hoffstetter débute sa carrière en 2004 au sein des Dernières Nouvelles d'Alsace. Pendant plus de huit ans, il va ensuite couvrir l'actualité suisse et transfrontalière à Bâle pour le compte de ce quotidien régional français. En 2013, il rejoint Bilan et se spécialise dans les sujets liés à l'innovation, aux startups, et passe avec plaisir du web au print et inversement. Il contribue également aux suppléments, dont Bilan Luxe. Et réalise des sujets vidéo sur des sujets très variés (tourisme, startups, technologie, luxe).

Du même auteur:

Offshore, Consortium, paradis fiscal: des clefs pour comprendre
RUAG vend sa division Mechanical Engineering

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info


Image Footer

"Tout ce qui compte.
Pour vous."