Peut-on intervenir librement sur les postes informatiques des salariés ?
Il est fréquent de prévoir des interventions d’opérateurs chargés de la maintenance informatique sur les postes des salariés d’une entreprise.
La mise en œuvre d’opérations de maintenance est susceptible de permettre aux administrateurs ou prestataires qui les assurent à avoir accès à la messagerie, à l’historique de connexions Internet, aux fichiers, etc., disponibles sur les postes de travail des salariés visés par l’opération.
Ces opérations peuvent notamment être réalisées par le biais de logiciels de télémaintenance, permettant de prendre le contrôle à distance de l’outil informatique.
Certaines précautions doivent être prises lors de telles interventions.
Ainsi, il y a lieu d’informer préalablement et de recueillir l’accord du salarié visé, pour permettre un accès et une intervention à distance de l’administrateur ou prestataire informatique, celui-ci pouvant être sollicité par simple validation d’un message d’information apparaissant sur son écran.
Certaines solutions se contentent d’un message d’avertissement. Il est peu probable qu’un message d’avertissement suffise à considérer que l’accord a été donné par l’intéressé.
La traçabilité des opérations de maintenance, par exemple par la tenue d’un registre des interventions, doit également être assurée.
Cette traçabilité fera l’objet d’une déclaration à la CNIL, si les éléments conservés dépassent le cadre de la déclaration simplifiée n° 46.
Enfin, il est nécessaire de rappeler aux intervenants, par le biais de leur contrat de travail, de la charte informatique de l’entreprise, ou encore du contrat conclu avec le prestataire, leur obligation de discrétion professionnelle, consistant notamment en l’espèce à ne pas divulguer les informations dont ils prennent connaissance dans le cadre de leurs fonctions, en particulier lorsque celles-ci relèvent de la vie privée des salariés ou sont couvertes par le secret des correspondances. Une définition précise de leur rôle sera bienvenue.
En tout état de cause, ce type d’interventions doit être limité aux hypothèses où le bon fonctionnement du système informatique de l’entreprise ne peut être assuré par d’autres moyens moins intrusifs.
Ce type d’opérations ne peut en aucun cas être utilisé à des fins de contrôle par l’employeur de l’activité de ses employés sur leur poste informatique, et il doit en outre respecter le principe de proportionnalité posé par la loi Informatique et Libertés du 6 janvier 1978.
L’utilisation des logiciels de prises en main à distance, à des fins strictes de maintenance informatique, n’est pas soumise à déclaration auprès de la CNIL. A priori, ce type d’information ne constituant pas un traitement de données à caractère personnel au sens de la loi précitée, aucune consultation des instances représentatives du personnel n’est requise.