Vous êtes ici : Accueil > NTIC > La cybersurveillance au travail
Dimanche 20 Mai 2012

La cybersurveillance au travail
( 2004)



La cybersurveillance au travail au centre des préoccupations de la CNIL

La Cnil (Commission nationale de l’informatique et des libertés) a rendu public, le 11 février, un rapport sur la « cybersurveillance des salariés sur les lieux de travail ».

Ce document arrive un an après un premier « rapport d’étude » sur ce même thème.
Mais « compte tenu des nombreuses demandes de conseils, plaintes ou demandes de renseignements » dont elle est saisie, la Cnil a estimé utile de faire part de nouveaux « éclaircissements et conclusions ».

Contrôle de l’usage de l’informatique La Cnil met en garde contre deux idées fausses :

_ l’ordinateur mis à la disposition des utilisateurs sur leur lieu de travail relèverait de la vie privée du salarié,
_ une information préalable des salariés suffirait à autoriser tous les modes de surveillance.

Elle rappelle qu’un point d’équilibre doit être trouvé entre l’objectif de sécurité de l’entreprise et le droit au respect de la vie privée du salarié, et recommande la tolérance d’un « usage raisonnable » des connexions à Internet et de la messagerie. La Cnil rappelle qu’aucune disposition légale n’interdit à l’employeur de mettre en place des dispositifs de filtrage de sites non autorisés, d’édicter des prescriptions dictées par l’exigence de sécurité de l’entreprise (comme l’interdiction de se connecter à un forum), ni de contrôler a posteriori les données de connexion à Internet, à condition que ce contrôle fasse l’objet d’une consultation du Comité d’entreprise et d’une information des utilisateurs. De même s’agissant de la messagerie : les modalités de contrôle de l’usage d’une messagerie d’entreprise doivent être soumises aux représentants du personnel et faire l’objet d’une information auprès des utilisateurs.

Quant aux fichiers de journalisation des connexions, qui permettent d’identifier et d’enregistrer toutes les connexions à un système automatisé d’informations et ont pour finalité de garantir une utilisation normale des ressources des systèmes d’information, ils constituent une mesure de sécurité préconisée par la Cnil. En tant que tels, lorsqu’ils sont associés à un traitement automatisé d’informations nominatives, ces fichiers de journalisation (proxis, caches, firewall...) n’ont pas à faire l’objet de déclaration auprès de la Cnil. En revanche, la mise en oeuvre d’un logiciel d’analyse des différents journaux (applicatifs et systèmes) permettant de collecter des informations individuelles poste par poste destiné à contrôler l’activité des utilisateurs doit être déclarée à la Cnil. Et dans tous les cas, les utilisateurs doivent être informés de la mise en place des systèmes de journalisation et de la durée pendant laquelle les données sont conservées ou sauvegardées.

Rôle des administrateurs de réseaux

Les administrateurs, qui doivent veiller à assurer le fonctionnement normal et la sécurité des réseaux et systèmes, sont conduits à avoir accès à l’ensemble des informations relatives aux utilisateurs (messagerie, connexions à Internet).

Toutefois, précise la Cnil, « aucune exploitation à des fins autres que celles liées au bon fonctionnement et à la sécurité des applications des informations dont les administrateurs de réseaux peuvent avoir connaissance dans l’exercice de leurs fonctions ne sauraient être opérées, d’initiative ou sur ordre hiérarchique ». De même, les administrateurs de réseaux et systèmes, tenus au secret professionnel, ne doivent pas divulguer des informations qu’ils auraient été amenés à connaître dans le cadre de leurs fonctions, et en particulier lorsque celles-ci sont couvertes par le secret des correspondances ou relèvent de la vie privée.

Désignation d’un délégué à la protection des données

La Cnil recommande l’élaboration d’un bilan annuel « informatique et libertés » (bilan des mesures de sécurité), élaboré et présenté à l’occasion de la discussion du bilan social soumis au comité d’entreprise.

Elle préconise enfin la désignation d’un délégué à la protection des données et à l’usage des nouvelles technologies, en concertation avec les instances représentatives du personnel, dès lors que les effectifs et le mode d’organisation des entreprises le justifieraient et le leur permettraient. Interlocuteur des responsables de l’entreprise ainsi que des instances représentatives du personnel et des salariés, ce délégué pourrait devenir un « correspondant informatique et libertés » dans l’entreprise sur les questions relevant des mesures de sécurité, du droit d’accès et de la protection des données personnelles.

(Source du document : Fédération Générale des Fonctionnaires CFTC)
Copyright © 2001-2012. Syndicat National CFTC Finances Publiques - Agir pour ne pas subir.