Cybersurveillance des salariés : la Cnil rend son rapport

« Pense à acheter du pain avant de rentrer. ». Qui n’a jamais reçu ce genre de message dans sa boîte électronique professionnelle ? Bien innocent, il est potentiellement générateur d’ennuis pour son destinataire, si jamais son entreprise a interdit l’usage personnel des outils de communication mis à sa disposition. Au delà de l’anecdote, la Cnil (Commission nationale informatique et libertés) remarque que les progrès des NTIC (nouvelles technologies de l’information et de communication) facilitent la surveillance du salarié par son entreprise. Et qu’il convient donc de mettre en place des dispositifs clairs et précis, capables de protéger à la fois le salarié et l’entreprise qui, la plupart du temps, utilise des outils automatisés de sécurité pour protéger ses « secrets de fabrication » d’intrusions extérieures.Des recommandations pas toujours faciles à appliquer Pour ce rapport, dont la préparation a duré plus de six mois, la Cnil a rencontré tout un ensemble d’acteurs concernés, comme les responsables de la sécurité informatique des Aéroports de Paris et de Thomson Multimédia, les organisations syndicales et patronales, etc. Premier résultat, un tour d’horizon des « technologies et des traces », quelquefois un peu naïf. Ainsi, concernant les serveurs proxy, qui permettent d’accélérer l’accès au Web en conservant en mémoire les pages les plus visitées mais aussi, du coup, de dresser avec précision la liste des sites, les rapporteurs soulignent les dangers de surveillance tout en indiquant : « Pour être tout à fait complet, il convient de préciser que tout internaute a le choix de renoncer à l’usage du proxy […] en décochant l’option proxy dans son navigateur. » En oubliant donc que beaucoup de machines en entreprises sont suffisamment verrouillées pour que l’utilisateur ne puisse changer aucun détail de sa configuration. Il arrive même qu’il ne puisse pas changer l’heure… Quant aux informations stockées sur le disque dur, le rapport indique qu’un salarié peut tout simplement installer un logiciel comme RedHand pour « vérifier si son ordinateur a été utilisé enson absence ». A condition que l’installation d’applications soit permise…Le rapport s’attache ensuite à rappeler des principes de base comme l’obligation pour l’entreprise d’informer ses salariés de l’existence de tels outils de surveillance, sous peine de ne pouvoir les utiliser comme preuve en cas de conflit. Au final, la Cnil dresse un ensemble de recommandations de bon aloi, censées aider à éviter les débordements. Le débat pour l’établissement de règles claires ne fait que commencer…Pour en savoir plus : Le rapport de la CnilLire aussi : * La surveillance du mail devient légale* La Cnil met en garde des dérives sur les NTIC