Les réseaux privés virtuels

– Le VPN d'agrément. – Le grand public connaît les réseaux privés virtuels pour deux usages distincts. Ils permettent d'abord de « faire croire » à un hébergeur que le client se situe dans un lieu géographique différent de celui dans lequel il se situe réellement. Il en va ainsi d'un jeune Américain qui peut se connecter à une plateforme française de vidéo en ligne et visionner dès sa diffusion le dernier épisode de sa série française favorite, l'inverse étant également envisageable.

Les conditions générales d'utilisation des services numériques prévoient toujours l'existence d'un catalogue différencié selon le lieu de situation géographique du client. Elles prévoient également l'interdiction de l'usage de systèmes de contournement afin de respecter la réglementation sur la diffusion du contenu propre à chaque pays.

– Le télétravail. – De leur côté, les actifs utilisent notamment les réseaux privés virtuels dans le cadre du télétravail. Avec l'usage d'un tel système, un salarié ou dirigeant se connecte depuis son domicile au réseau de l'entreprise et peut travailler à distance en ayant accès à l'ensemble des données dématérialisées de l'entreprise.

Au-delà des problématiques propres à l'application du droit social dans le cadre du télétravail, ce second cas d'usage pose de nombreuses questions en matière de sécurité et de responsabilité. L'installation d'un tel système crée une porte d'entrée donnant accès aux données informatiques de l'entreprise, porte d'entrée pouvant se situer à l'autre bout du monde, sur la terrasse d'un café ou dans un aéroport…

– Problème de confidentialité. – La confidentialité des données personnelles détenues par l'entreprise étant en jeu, la Cnil, dans le cadre de l'installation massive et urgente de solutions de télétravail constatée lors du confinement du printemps 2020, a publié des recommandations le 12 mai 2020 à destination des entreprises www.cnil.fr/fr/les-conseils-de-la-cnil-pour-mettre-en-place-du-teletravail et des salariés www.cnil.fr/fr/salaries-en-teletravail-quelles-sont-les-bonnes-pratiques-suivre . Si les recommandations les plus lourdes pèsent sur l'entreprise, il est à noter que le salarié, devant être ici compris comme un utilisateur de système VPN, est principalement invité à faire la distinction entre les matériels, les logiciels et les usages professionnels et privés.

– Problème d'usurpation d'identité numérique. – L'existence de cette porte d'entrée sur le réseau informatique située à l'extérieur des bâtiments pose de réelles difficultés quant à l'identification des personnes qui utilisent le service VPN depuis leur domicile. En effet, cette porte s'ouvre potentiellement à toute autre personne ayant un accès physique audit domicile et connaissant les codes d'accès personnels de l'utilisateur du service VPN. Le conjoint et les enfants de l'utilisateur détiennent donc V. supra, n^o . potentiellement cet accès. Pour pallier ce risque d'usurpation d'identité numérique, la Cnil recommande l'utilisation d'un système d'authentification à deux facteurs. Le principe de ce système est le suivant : l'utilisateur s'identifie avec un login ou une clé physique et un code PIN, reçoit un code d'identification sur un appareil personnel et entre ce code d'identification dans le portail d'accès.

– Problème de localisation. – Enfin, en posant comme deuxième recommandation « Ne faites pas en télétravail ce que vous ne feriez pas au bureau », la Cnil apporte une position claire sur notre problématique de localisation, et considère que le VPN constitue une extension géographique virtuelle du lieu de situation du réseau physique. Il peut ainsi être considéré qu'à compter du moment où le salarié en télétravail a branché son ordinateur et l'a connecté au réseau de l'entreprise, il doit agir comme s'il était dans les locaux de l'entreprise, notamment en matière de discrétion sur les données stockées et traitées par son entreprise auxquelles il a accès.

– Principe de double localisation de l'utilisateur d'un VPN. – Le VPN connaît bien d'autres usages, et seuls les usages licites et « grand public » ont été repris ici. Cependant, quel que soit l'usage qui est fait de ce système, il faut retenir un principe de double localisation de l'utilisateur du service numérique connecté : sa localisation géographique physique et sa localisation géographique virtuelle qui correspond à la localisation géographique du réseau auquel il est connecté virtuellement.