Cyber-surveillance : La Cnil cherche un ‘juste équilibre’

Cloud

Dans un rapport sur la cyber-surveillance dans le cadre de l’entreprise, la Cnil avance plusieurs recommandations pour autoriser un usage privé mais modéré des nouvelles technologies par les salariés, sans risquer de remettre en cause la sécurité de l’entreprise. Deux grands thèmes : information des salariés et secret professionnel pour les administrateurs réseau.

Nouvelles technologies et vie privée au sein de l’entreprise… Vaste débat auquel s’est attaquée la Commission nationale informatique et liberté (CNIL) qui a rendu, lundi 11 février, une série de recommandations sur la cyber-surveillance visant à trouver un équilibre entre respect de la vie privée de l’employé et souci de sécurité (et de productivité) de l’employeur. Ces recommandations complètent un précédent rapport sur la cyber-surveillance publié en mars 2001 (voir édition du 29 mars 2001). Pour la Cnil, « une interdiction générale et absolue de toute utilisation d’Internet à des fins autres que professionnelles ne paraît pas réaliste dans une société de l’information et de la communication ». Autrement dit, difficile d’interdire un usage privé d’Internet et de la messagerie à partir du moment où l’entreprise donne l’accès au réseau des réseaux.

Privilégier le contrôle global

Le salarié peut-il pour autant profiter de cette liberté ? Sûrement pas. Et pour la Cnil, « aucune disposition légale n’interdit évidemment à l’employeur d’en fixer les conditions et limites ». Celles-ci peuvent être dictées par une exigence de sécurité de l’entreprise « telles que l’interdiction de télécharger des logiciels, l’interdiction de se connecter à un forum ou d’utiliser le chat, l’interdiction d’accéder à une boîte aux lettres personnelle par Internet compte tenu des risques de virus ». La Commission n’encourage pas pour autant la chasse aux sorcières et estime qu’un « contrôle a posteriori des données de connexion à Internet, de façon globale, par service ou par utilisateur ou un contrôle statistique des sites les plus visités devrait dans la plupart des cas être suffisant sans qu’il soit nécessaire de procéder à un contrôle nominatif individualisé des sites (visités)« .

Ce contrôle doit, bien entendu, s’effectuer dans le respect de la loi, notamment conformément à l’article L 432-2-1 du code du travail, et faire l’objet d’une consultation du comité d’entreprise. Bref, surveiller mais informer les salariés qu’ils sont « sur écoute ». Les points de surveillance se concentrent essentiellement sur l’usage de la messagerie et le contrôle des connexions à travers la création de fichiers de journalisation. Ces derniers feront l’objet d’une déclaration auprès de la Commission dans le cadre de « la mise en oeuvre d’un logiciel d’analyse des différents journaux (applicatifs et systèmes) permettant de collecter des informations individuelles poste par poste destinées à contrôler l’activité des utilisateurs ».

Administrateurs réseaux : le droit de dire non

La Cnil précise le rôle du responsable informatique. Susceptible d’avoir accès à toutes les données informatiques, l’administrateur réseau ne saura être soumis à une pression patronale pour divulguer des informations confidentielles autres que celles liées à la sécurité du système. L’administrateur bénéficierait ainsi d’une sorte de secret professionnel à la manière des médecins. Enfin, parmi d’autres recommandations (dont l’usage des technologies liées à une correspondance syndicale), la Cnil préconise la désignation d’un « délégué à la protection des données et à l’usage des nouvelles technologies dans l’entreprise ». « Chargé des questions relevant des mesures de sécurité, du droit d’accès et de la protection des données personnelles », il sera l’interlocuteur entre les instances dirigeantes, l’administration et les représentants du personnel.