Le mot de passe en entreprise, un statut à créer

Des affaires d'usurpation de mots de passe à l'entrée des systèmes d'information ont défrayé la chronique ces derniers mois. L'occasion de s'interroger sur le statut juridique du mot de passe. Avec l'e-mail, l'entreprise crée en effet une identité numérique pour ses collaborateurs, et le mot de passe en est une autre. Ce dernier est partout : à l'entrée des téléphones mobiles, des ordinateurs individuels, de l'intranet de l'entreprise, sur le compte de messagerie, etc. Mais l'entreprise doit accompagner cette création d'une démarche censée accorder un véritable statut juridique au mot de passe. Sur le plan juridique, ce sésame présente en effet un certain nombre de caractéristiques qui peuvent, au final, constituer son statut.

La Cnil (Commission nationale de l'informatique et des libertés) a eu l'occasion de se prononcer par délibération du 5 juillet 1988 sur les qualités exigées d'un mot de passe. Elle a constaté que ' la base de données était accessible grâce à un mot de passe de quatre caractères seulement '. Elle a alors préconisé le recours à six caractères minimum, voire plus. La Cnil a également remarqué qu'' aucune interruption de service n'était prévue en cas de saisies successives de mots de passe erronés '. Là encore, elle jugeait cette absence de procédure comme fautive.

Une deuxième caractéristique concerne la confidentialité du mot de passe. La pratique consistant à l'écrire sur un Post-it collé sur le côté de l'écran, doit devenir une faute juridique. Il convient donc d'insérer cette obligation de confidentialité dans des normes juridiques telles que la charte d'usage internet ou informatique, elle-même intégrée dans le règlement intérieur, dans le contrat de travail, ou dans une note de service. Si le collaborateur échange son mot de passe avec d'autres ou le révèle à des tiers volontairement, il a manqué à son obligation de confidentialité avec toutes les conséquences prévisibles pour lui. Par ailleurs, il peut être dit que le mot de passe a un ' détenteur légitime '. Dans un arrêt rendu le 21 décembre 2006⁽¹⁾, la Chambre sociale de la Cour de cassation confirme que le fait qu'un salarié avait tenté, sans motif légitime et par emprunt du mot de passe d'un autre salarié, de se connecter ' sur le poste informatique du directeur de la société ' constituait un comportement qui pouvait justifier un licenciement pour faute grave.

Le mot de passe est aussi un moyen de preuve ; c'est ce que l'on appelle une convention de preuve. Cette pratique existe en droit français. Elle a été introduite par la loi en 2000⁽²⁾ et figure désormais à l'article 1316-2 du code civil. Celui-ci précise que ' lorsque la loi n'a pas fixé d'autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous les moyens le titre le plus vraisemblable, quel qu'en soit le support '. Ainsi, quantité de contrats et de chartes stipulent que ' la saisie du mot de passe confidentiel remis à l'utilisateur, vaudra preuve de l'utilisation du système entre les parties '. Le mot de passe devient alors le moyen de preuve décidé par les parties.

Enfin, le mot de passe peut être une signature. Le domaine de la carte bancaire constitue un exemple fameux de cette pratique. Stipulée au contrat qui lie le client à sa banque, la saisie du code confidentiel vaut engagement du client à donner un mandat irrévocable à son établissement bancaire de payer tel commerçant. Ici, le mot de passe dépasse alors le statut de moyen d'authentification pour déborder sur celui, classique pour une signature, de preuve d'un engagement. Cet exemple est à méditer dans l'entreprise également. Au final, le mot de passe représente une solution technique relativement performante, à condition de créer aussi les conditions juridiques de sa performance.