La cybersurveillance des salariés
Le rapport de la C.N.I.L. relatif à la cybersurveillance du 05/02/02 n’apporte finalement que très peu de nouveauté au vu du premier rapport que la C.N.I.L. avait adopté sur la question le 28 mars 2001…il y a à peine un an.Quelques questions non abordées dans le précédent rapport font toutefois leur apparition et le ton général du présent document semble plus favorable pour les employeurs et les administrateurs réseaux.
Est-ce là le signe d’une réaction de la C.N.I.L. face à la jurisprudence récente très défavorable à ces personnes? Voilà en résumé ce qu’il faut retenir de ce nouveau rapport:
Avant d’aborder les différents points sur lesquels le présent rapport met l’accent, il faut souligner que le rapport fait référence aux trois grands principes posés par les dispositions du code du travail en matière de mesures de contrôle prises par l’employeur:- le principe de proportionnalité (article L. 120-2 du code du travail);
– le principe d’information préalable des salariés (article L. 121-8 du même code);- le principe de consultation et de discussion préalable du Comité d’entreprise ou des représentants du personnel (article L. 432-2 du même code).
Sur la base de ces principes la C.N.I.L. souhaite que les entreprises privilégient la discussion collective et la pédagogie en matière de cybersurveillance. Elle met ensuite en garde les salariés sur le fait qu’ ‘il est faux de croire que l’ordinateur mis à la disposition des salariés sur leur lieu de travail serait, en tant que tel, protégé par la loi de 1978 et relèverait de la vie privée du salarié’. A contrario, elle rappelle aux employeurs qu’ ‘il est faux de croire qu’une information préalable suffit pour permettre tout abus’ dans les modes de surveillance et de contrôle.1.Le contrôle des connexions à Internet
Concernant le contrôle des connexions à Internet, la commission estime qu’un usage strictement professionnel de ce nouvel outil n’est pas raisonnablement envisageable sans une tolérance pour une utilisation à des fins personnelles. Néanmoins, elle rappelle que l’employeur est en droit de fixer les conditions et limites de cette utilisation sans que cela constitue en soit. une atteinte à la vie privée des salariés ou agents publics. A ce titre, la mise en place de dispositifs de filtrage de sites non autorisés, associés au pare-feu (sites diffusant des produits à caractère pornographiques, pédophiles, incitation à la haine raciale, révisionnistes …) peut constituer une mesure de prévention dont il y a lieu d’informer les salariés ou agents publics. De même, l’exigence de sécurité imposée par le réseau de l’entreprise peut amener l’employeur à interdire le téléchargement de logiciels, la connexion à un forum ou à un ‘chat’ , l’accès à une boîte aux lettres personnelle par Internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter…
La Commission considère qu’un contrôle a posteriori des données de connexion à Internet, de façon globale devrait dans la plupart des cas être suffisant sans qu’il soit nécessaire de procéder à un contrôle nominatif individualisé des sites accédés. Les modalités d’un tel contrôle de l’usage d’Internet doivent faire l’objet d’une consultation du comité d’entreprise ou de toute instance équivalente dans la fonction publique (article L. 432-2-1 du code du travail) et d’une information des utilisateurs, y compris lorsque le contrôle est dépourvu d’un caractère directement nominatif (article L. 121-8 du code du travail).
La mise en place d’un dispositif de contrôle individuel destiné à produire, poste par poste, un relevé des durées de connexion ou des sites visités doit s’analyser en un traitement automatisé d’informations nominatives qui doit être déclaré à la CNIL. La Commission estime qu’une durée de conservation de l’ordre de six mois devrait être suffisante, dans la plupart des cas, pour dissuader tout usage abusif d’Internet (ce délai de conservation de six mois est plus long que celui de trois mois que la C.N.I.L. préconise dans le cadre de la L.S.Q. pour la conservation des données de connexion par les fournisseurs d’accès pour les besoins d’enquête et de recherche d’infractions criminelles. Cela peut paraître surprenant et paradoxal. La C.N.I.L. donne ainsi plus de moyens aux employeurs pour tracer un employé qui a consulté des sites de charme pendant son temps de travail qu’elle n’en accorde aux juges d’instructions et aux officiers de police judiciaire pour retrouver la trace de criminels de haut rang). Le dossier de déclaration doit en outre comporter l’indication et la date à laquelle les instances représentatives du personnel ont été consultées sur de tels dispositifs.
2. Le contrôle de l’usage de la messagerie
L’utilisation de la messagerie électronique professionnelle pour envoyer ou recevoir, dans des proportions raisonnables, un message à caractère personnel correspond à un usage généralement et socialement admis. D’ailleurs, compte tenu des termes de l’arrêt de la Chambre sociale de la Cour de cassation en date du 2 octobre 2001 une interdiction ne permettrait pas à l’employeur de prendre connaissance dans des conditions régulières du contenu de celles des correspondances qui relèveraient de la vie privée des personnes.
Après avoir rappelé la dernière position jurisprudentielle sur le sujet, la Commission pose comme présomption qu’un e-mail envoyé ou reçu depuis le poste du travail mis à disposition par l’entreprise ou l’administration revêt un caractère professionnel, sauf indication manifeste dans l’objet du message ou dans le nom du répertoire où il pourrait avoir été archivé par son destinataire qui lui conférerait alors le caractère et la nature d’une correspondance privée, protégée par le secret des correspondances. Le principe n’est donc plus le secret des correspondances applicable aux e-mails émis et reçus depuis le lieu de travail. Ces correspondances sont présumées être professionnelles et appartenir en tant que telles à l’employeur. Cette présomption semble être une réaction de la C.N.I.L. face à la jurisprudence du 2 octobre 2001.
Une fois de plus, ce sont des exigences de sécurité, de prévention ou de contrôle de l’encombrement du réseau qui peuvent justifier la mise en place par les entreprises ou les administrations d’outils de mesure de la fréquence ou de la taille des fichiers transmis en pièce jointe au message électronique ou encore d’outils d’archivage des messages échangés. L’emploi de tels outils de contrôle ou de sauvegarde doit être porté à la connaissance des salariés ainsi que la durée de conservation du message ‘sauvegardé’. Lorsqu’un dispositif de contrôle individuel poste par poste du fonctionnement de la messagerie est mis en place, il s’agit d’un traitement automatisé d’informations nominatives qui doit répondre aux mêmes exigences que précédemment exposé à propos du contrôle des connexions à Internet.
3. Les fichiers de journalisation
La Commission rappelle que les fichiers de journalisation des connexions (fichiers log) destinés à identifier et enregistrer toutes les connexions ou tentatives de connexion à un système automatisé d’informations constituent une mesure de sécurité, généralement préconisée par la CNIL dans le souci que soient assurées la sécurité et la confidentialité des données à caractère personnel, conformément à l’article 27 de la loi de 1978. Il n’ont pas pour vocation première le contrôle des utilisateurs. Lorsqu’ils sont associés à un traitement automatisé d’informations nominatives, ils n’ont pas, en tant que tels, à faire l’objet des formalités préalables auprès de la CNIL mais doivent seulement être portés à la connaissance de la CNIL au titre des mesures de sécurités entourant le fonctionnement du traitement principal dont ils sont le corollaire.
En revanche, la mise en œuvre d’un logiciel d’analyse des différents journaux (applicatifs et systèmes) permettant de collecter des informations individuelles, poste par poste, destiné à contrôler l’activité des utilisateurs, doit être déclaré à la CNIL. Dans tous les cas de figure, les utilisateurs doivent être informés de la mise en place des systèmes de journalisation et de la durée pendant laquelle les données de connexion permettant d’identifier le poste ou l’utilisateur s’étant connecté sont conservées ou sauvegardés. La C.N.I.L. réaffirme qu’une durée de conservation de l’ordre de 6 mois ne paraît pas excessive au regard de la finalité des fichiers de journalisation.
Elle affirme ensuite qu’aucune disposition de la loi du 6 janvier 1978 ne prive le responsable de l’entreprise de la possibilité d’opposer les informations enregistrées dans les fichiers de journalisation associés à un traitement automatisé d’informations nominatives à un salarié (ou un agent public) qui n’en n’aurait pas respecté les conditions d’accès ou d’usage (Cass. Soc., 18 juillet 2000).
4. Le rôle des administrateurs de réseaux
La C.N.I.L. définit le rôle des administrateurs qui doivent veiller à assurer le fonctionnement normal et la sécurité des réseaux et systèmes et qui sont ainsi conduits à avoir accès à l’ensemble des informations relatives aux utilisateurs (messagerie, connexions au internet, fichiers ‘logs’, etc.) y compris celles qui sont enregistrées sur le disque dur du poste de travail. De même, ils utilisent des logiciels de télémaintenance qui permettent de détecter et réparer les pannes à distance ou à prendre le contrôle, à distance, du poste de travail d’un salarié (‘prise de main à distance’). La Commission considère qu’une telle activité ne soulève aucune difficulté particulière au regard de la loi du 6 janvier 1978 à condition que les mesures de sécurité nécessaires à la protection des données soient mises en œuvre.
Toutefois, la finalité de telles applications ne doit pas être détournée à des fins autres que celles liées au bon fonctionnement et à la sécurité. De même, les administrateurs de réseaux et systèmes, tenus au secret professionnel, ne doivent pas divulguer des informations qu’ils auraient été amenés à connaître dans le cadre de leurs fonctions, et en particulier lorsque celles-ci sont couvertes par le secret des correspondances ou relèvent de la vie privée des utilisateurs et ne mettent en cause ni le bon fonctionnement technique des applications, ni leur sécurité, ni l’intérêt de l’entreprise. Ils ne sauraient non plus être contraints de le faire, sauf disposition législative particulière en ce sens. Ces rappels ne font que confirmer le jugement qu’avait rendu le tribunal correctionnel de Paris en date du 2 novembre 2000.
5. Un bilan annuel ‘informatique et libertés’
‘Les mesures de sécurité qui conduisent à conserver trace de l’activité des utilisateurs ou de l’usage qu’ils font des technologies de l’information et de la communication ou qui reposent sur la mise en œuvre de traitements automatisés d’informations directement ou indirectement nominatives devraient faire l’objet d’un bilan annuel ‘informatique et libertés’ à l’occasion de la discussion du bilan social soumis au comité d’entreprise ou au comité technique paritaire ou à toute autre instance équivalente’.
6. La désignation d’un délégué à la protection des données
Les entreprises ou les administrations pourraient désigner, en concertation avec les instances représentatives du personnel, un ‘délégué à la protection des données et à l’usage des nouvelles technologies dans l’entreprise’. Ce délégué pourrait être plus particulièrement chargé des questions relevant des mesures de sécurité, du droit d’accès et de la protection des données personnelles sur le lieu de travail. Son rôle serait d’informer et de former les divers acteurs concernés aux questions d’informatique et de libertés.
.
très pertinent!! beaucoup d’informations très utiles !