Droit & Informatique

La cybersurveillance sur les lieux de travail

Extrait du rapport "La cybersurveillance sur les lieux de travail" présenté par M. Hubert BOUCHET, vice-président de la CNIL, adopté par la Commission nationale de l'informatique et des libertés en scéance plénière du 5 février 2002.

La surveillance cantonnée par le droit

La loi du 31 décembre 1992 a posé les jalons d'un droit "informatique et libertés" dans l'entreprise. Principe de proportionnalité ("nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne sauraient pas proportionnées au but recherché" - article L.120-2 du code de travail); consultation du comité d'entreprise lors de l'introduction de nouvelles technologies; information préalable des salariés sur tout dispositif de collecte de données le concernant personnellement (nul moyen de preuve ne peut être opposé par l'employeur aux salariés si le dispositif de contrôle a été mis en oeuvre à leur insu).

Ces principes et droits font écho à la loi du 6 janvier 1978 qui impose que tout traitement de données personnelles soit déclaré à la CNIL, que les salariés soient informés de son existence, de ses finalités, de ces caractéristiques et qu'ils aient accès aux informations les concernant.

"Le salarié a droit, même au temps et au lieu de travail, au respect de sa vie privée; celle-ci implique en particulier le secret de ses correspondances; l'employeur ne peut dès lors, sans violation de cette liberté fondamentale, prendre connaissance des messages personnels émis par le salarié ou reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur"

L'information préalable, condition de transparence

L'obligation d'information préalable résulte de l'article L.121-8 du code du travail. "Aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n'a pas été porté préalablement à la connaissance du salarié ou du candidat à l'emploi".

La discussion collective

L'article L.432-2-1 prescrit que le comité d'entreprise doit être "informé et consulté, préalablement à la décision de mise en oeuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés". Il résulte clairement des textes qu'une information individuelle des salariés ou agents publics ne saurait dispenser les responsables concernés de l'étape de la discussion collective, institutionnellement organisée, avec les représentants élus du personnel.

Première idée fausse : l'ordinateur personnel mis à la disposition des utilisateurs sur leur lieu de travail serait, en tant que tel, protégé par la loi "informatique et libertés" et relèverait de la vie privé du salarié.

Deuxième idée fausse : une information préalable des personnels suffirait

De nombreuses entreprises imaginent qu'une information préalable des salariés suffirait à se prémunir de tout problème et à autoriser l'emploi de tous les modes de surveillance et de contrôle. Une telle manière de procéder n'est pas suffisante dès lors que les finalités seraient mal définies ou mal comprises.

Conclusions du rapport

1) Le contrôle de l'usage d'internet

Un usage raisonnable, non susceptible d'amoindrir les conditions d'accès professionnel au réseau ne mettant pas en cause la productivité est généralement et socialement admis par la plupart des entreprises ou administrations. Aucune disposition légale n'interdit évidemment à l'employeur d'en fixer les conditions et limites, lesquelles ne constituent pas, en soi, des atteintes à la vie privée des salariés ou agents publics.

2) Le contrôle de l'usage de la messagerie

L'utilisation de la messagerie électronique professionnelle pour envoyer et recevoir, dans des proportions raisonnables, un message à caractère personnel correspond à un usage généralement et socialement admis.

Il doit être généralement considéré qu'un message envoyé ou reçu depuis le poste du travail mis à disposition par l'entreprise ou l'administration revêt un caractère professionnel, sauf indication manifeste dans l'objet du message ou dans le nom du répertoire où il pourrait avoir été archivé par son destinataire qui lui conférerait alors le caractère et la nature d'une correspondance privée protégée par le secret des correspondances.

Des exigences de sécurité, de prévention ou de contrôle de l'encombrement du réseau peuvent conduire les entreprises ou les administrations à mettre en place des outils d'archivage des messages échangés. Dans cette hypothèse, le message électronique bien qu'étant effacé du poste de l'émetteur et du poste du récepteur sera néanmoins conservé. L'emploi de tels outils de sauvegarde doit être porté à la connaissance des salariés ainsi que la durée de conservation du message "sauvegardé".

3) Le rôle des administrateurs informatiques

Les administrateurs qui doivent veiller à assurer le fonctionnement normal et la sécurité des réseaux et systèmes sont conduits par leurs fonctions mêmes à avoir accès à l'ensemble des informations relatives aux utilisateurs (messagerie, connexions à internet, fichier "logs" ou journalisation, ...) y compris celles qui sont enregistrées sur le disque dur du poste de travail. Un tel accès n'est contraire à aucune disposition de la loi du 6 janvier 1978.

En tout état de cause, l'accès aux données enregistrées par les employés dans leur environnement informatique - qui sont parfois de nature personnelle - ne peut être justifié que dans le cas où le bon fonctionnement des systèmes informatiques ne pourrait être assuré par d'autres moyens moins intrusifs. De plus, aucune exploitation à des fins autres que celles liées au bon fonctionnement et à la sécurité des applications des informations dont les administrateurs de réseaux et systèmes peuvent avoir connaissance dans l'exercice de leurs fonctions ne saurait être opérée, d'initiative ou sur ordre hiérarchique.

De même, les administrateurs de réseaux et systèmes, généralement tenus au secret professionnel ou à une obligation de discrétion professionnelle, ne doivent pas divulguer des informations qu'ils auraient été amenés à connaitre dans le cadre de leurs fonctions, et en particulier lorsque celles-ci sont couvertes par le secret des correspondances ou relèvent de la vie privée des utilisateurs et ne mettent en cause ni le bon fonctionnement technique des applications, ni leur sécurité, ni l'intérêt de l'entreprise. Ils ne sauraient non plus être contraints de le faire, sauf disposition législative particulière en ce sens.

4) L'utilisation des logiciels de prise de main à distance

Dans l'hypothèse d'un recours à ces outils à des fins de maintenance informatique par un administrateur technique, leur utilisation devrait s'entourer de précautions afin de garantir la transparence dans leur emploi et la confidentialité des données auxquelles le gestionnaire technique accédera par ce moyen, dans la stricte limite de ses besoins. Devraient notamment figurer au titre de ces précautions l'information préalable et le recueil de l'accord de l'utilisateur pour "donner la main" à l'administrateur informatique avant l'intervention sur son poste. L'utilisation de ces logiciels à des fins strictes de maintenance informatique n'est pas soumise à déclaration auprès de la CNIL.

5) Les fichiers de journalisation

Les fichiers de journalisation des connexions destinés à identifier et enregistrer toutes les connexions ou tentatives de connexion à un système automatisé d'informations constituent une mesure de sécurité, généralement préconisée par la CNIL dans le souci que soient assurées la sécurité et la confidentialité des données à caractère personnel, lesquelles ne doivent pas être accessibles à des tiers non autorisés ni utilisées à des fins étrangères à celles qui justifient leur traitement. Ils n'ont pas pour vocation première le contrôle des utilisateurs. Ces fichiers de journalisation n'ont pas, en tant que tels, à faire l'objet des formalités préalables auprès de la CNIL. En revanche, la mise en oeuvre d'un logiciel d'analyse des différents journaux (applicatifs et système) permettant de collecter des informations individuelles poste par poste pour contrôler l'activité des utilisateurs doit être déclaré à la CNIL.

Dans tous les cas de figure, les utilisateurs doivent être informés de la mise en place des systèmes de journalisation et de la durée pendant laquelle les données de connexion permettant d'identifier le poste ou l'utilisateur s'étant connecté sont conservées ou sauvegardées.

6) Accès aux données informatiques en cas d'absence d'un employé

L'obligation de loyauté impose à l'employé absent de son poste de travail en raison d'un congé ou d'un "arrêt maladie" à communiquer à l'employeur qui en fait la demande tout document nécessaire à la poursuite de l'activité de l'entreprise.

Récemment appliquée dans le domaine des technologies de l'information et de la communication, cette jurisprudence impose au salarié de communiquer son mot de passe ou les fichiers en sa possession lorsque le bon fonctionnement de son entreprise dépend des données détenues par cet employé. C'est pourquoi les modalités d'accès de l'employeur aux données stockées sur l'environnement informatique d'un employé absent (messagerie, fichiers, supports de stockage) devraient être préalablement définies en concertation et diffusées auprès de l'ensemble des employés susceptibles d'être concernés.

Il importe notamment que ces modalités prévoient qu'un tel accès ne pourra avoir lieu que dans le cas où il s'avèrerait nécessaire à la poursuite de l'activité de l'organisme public ou privé, et que l'employé concerné sera informé de cet accès réalisé en son absence.

7) Libre accès de l'employeur aux fichiers professionnels des salariés

Dans un arrêt en date du 18 octobre 2006, la Cour de cassation pose clairement le principe que les fichiers crées au sein et avec les moyens de l'entreprise sont présumés professionnels. La Haute Cour, quand à elle, approuve la cour d'appel en posant comme principe que "les dossiers et fichiers créés par un salarié grâce à l'outil informatique mis à sa disposition par son employeur pour l'exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels , avoir un caractère professionnel de sorte que l'employeur peut y avoir accès hors de sa présence".

Guide pratique pour les employeurs

Extrait du "guide pratique pour les employeurs" de la CNIL

Les 7 principes clés à respecter

   1. Le principe de finalité (Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime)
   2. Le principe de proportionnalité (Le traitement de données personnelles envisagé ne doit pas conduire à apporter aux droits et libertés des personnes des restrictions qui ne seraient pas proportionnées au but recherché)
   3. Le principe de pertinence des données (Les donées personnelles doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis)
   4. Les données ne peuvent être conservées dans un fichier de façon illimitée (Une durée de conservation doit être établie en fonction de la finalité de chaque fichier)
   5. La sécurité des données doit être assurée
   6. Le principe de transparence
   7. Le respect des droits des employés ou des candidats à un emploi (Toute personne peut demander au détenteur d'un fichier de lui communiquer toutes les informations la concernant contenues dans ce fichier. Elle a également le droit de faire rectifier et supprimer les informations erronnées)

Le contrôle de l'utilisation de l'Internet

Une interdiction générale et absolue de toute utilisation d'internet à des fins autres que professionnelles ne paraît pas réaliste dans une société de l'information et de la communication, et semble de plus disproportionnée au regard des textes applicables et de leur interprétation par la jurisprudence. La mise en place de dispositifs de filtrage de sites non autorisés, associés au pare-feu peut constituer une mesure de prévention dont il y a lieu d'informer les salariés ou agents publics. De même, la possibilité pour les salariés ou agents publics de se connecter à internet à des fins autres que professionnelles peut s'accompagner de prescriptions légitimes dictées par l'exigence de sécurité de l'organisme, telles que l'interdiction de télécharger des logiciels, l'interdiction de se connecter à un forum ou d'utiliser le "chat", l'interdiction d'accéder à une boîte aux lettres personnelles par internet compte tenu des risques de virus qu'un tel accès est susceptible de présenter.

Le contrôle de l'usage de la messagerie électronique

L'utilisation de la messagerie électronique professionnelle pour envoyer ou recevoir, dans des proportions raisonnables, un message à caractère personnel correspond à un usage généralement et socialement admis. Avant d'accéder à un courriel, l'employeur doit donc vérifier que l'objet du message ne lui confère pas un caractère manifestement personnel.

La vidéosurveillance sur les lieux de travail

L'installation sur un lieu de travail juridiquement qualifié de "privé" d'un système de vidéosurveillance captant et conservant les images sur un support numérique constitue un traitement automatisé d'informations nominatives soumis à la loi du 6 janvier 1978.

    une réflexion préalable indispensable. Les système de vidéosurveillance peuvent porter atteinte aux libertés individuelles. Dès lors, une reflexion préalable à la décision d'utiliser un système de vidéosurveillance, comportant notamment une analyse précise des risques devrait être menée de façon à identifier les solutions alternatives permettant d'atteindre l'objectif poursuivi sans recourir à ce moyen.
    Le nécessaire respect du principe de proportionnalité. Si le déploiement de tels dispositifs sur un lieu de travail réponds généralement à un objectif sécuritaire, il ne peut avoir pour objectif la mise sous surveillance spécifique d'un employé déterminé ou d'un groupe particulier d'employés.
    L'obligation d'information : pas de surveillance à l'insu des personnes. Les personnes concernées (employés ou visiteurs) doivent être informées, au moyen d'un panneau d'information réalisé à cet effet, de l'existence du dispositif, des destinataires des images, ainsi que des modalités concrètes d'exercice de leur droit d'accès aux enregistrements visuels les concernant.
    Une visualisation des images restreintes aux seuls destinataires habilités.
    Une durée de conservation des images limitée.Cette durée ne peut en tout état de cause s'étendre au delà d'un mois.
    La nécessité d'accomplir certaines formalités préalables. Un système de vidéosurveillance numérique mis en place sur un lieu de travail ne peut être installé que s'il a préalablement fait l'objet d'une déclaration effectuée auprès de la CNIL.

L'utilisation du téléphone au travail

Les autocommutateurs constituent des traitements automatisés des données personnelles au sens de la loi "informatique et libertés".

La possibilité d'un usage personnel du téléphone est reconnue à condition qu'une telle utilisation demeure raisonnable et ne soit pas préjudiciable à l'employeur. Les supérieurs hiérarchiques ne doivent accéder aux relevés individuels des numéros de téléphone appelés ou des services de téléphonie utilisés que de façon execptionnelle. De plus, lorsque de tels relevés sont établis, les quatre derniers chiffres de ces numéros doivent être occultés. La durée de conservation des données relatives à l'utilisation des services de téléphonie ne doit pas excéder un an.

L'utilisation de badges sur le lieu de travail

Sur le lieu de travail, les badges électroniques (cartes magnétiques ou à puce) servent notamment au contrôle des accès aux locaux, à la gestion du temps de travail, ainsi qu'à la gestion de la restauration d'entreprise. Ces différents types de dispositifs, qui comportent des données permettant l'identification des employés, sont soumis à la loi "informatique et libertés" et, ainsi que la Cour de cassation l'a rappelé dans son arrêt du 6 avril 2004, doivent être préalablement déclarés auprès de la CNIL.

Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Article 1er : L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni, à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques

La présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers.

Conditions de licéité des traitements de données à caractère personnel

Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : les données sont collectées et traitées de manière loyale et licite; Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes : Le respect d'une obligation légale incombant au responsable du traitement; La sauvegarde de la vie de la personne concernée; L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement.

Formalités préalables à la mise en oeuvre des traitements

A l'exception de ceux qui relèvent des dispositions prévues (voir article 25,26,27 et 36 de la loi du 6 janvier 1978), les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés.

La déclaration comporte l'engagement que le traitement satisfait aux exigences de la loi. Pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l'informatique et des libertés établit et publie des normes destinées à simplifier l'obligation de déclaration.

Ces normes précisent

   1. Les finalités des traitements faisant l'objet d'une déclaration simplifiée ;
   2. Les données à caractère personnel ou catégories de données à caractère personnel traitées ;
   3. La ou les catégories de personnes concernées ;
   4. Les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont communiquées ;
   5. La durée de conservation des données à caractère personnel ;

Obligation incombant aux responsables de traitements et droits des personnes

La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant

   1. De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
   2. De la finalité poursuivie par le traitement auquel les données sont destinées ;
   3. Du caractère obligatoire ou facultatif des réponses ;
   4. Des conséquences éventuelles, à son égard, d'un défaut de réponse ;
   5. Des destinataires ou catégories de destinataires des données ;

Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. Elle a le droit de s'opposer, sans frais, à ce que les données la concerannt soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur.

Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir

   1. La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;
   2. Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires et aux catégories de destinataires auxquels les données sont communiquées ;
   3. La communication, sous forme accessible, des données à caractère personnel qui la concernent ainsi que toute information quant à l'origine de celles-ci ;

Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservationn est interdite.

Document de la CNIL: Loi du 6 janvier 1978

Textes de loi relatifs à la signature électronique

Depuis la loi du 13 mars 2000, la signature a une valeur légale en France. Cette loi reconnaît la valeur juridique des procédés de signature électronique, sous certaines conditions.

Cependant la démonstration de fiabilité du procédé de signature électronique reste à la charge du signataire. Le décret du 30 mars 2001 a défini la signature électronique sécurisée qui doit remplir certaines conditions. Une signature électronique sécurisée peut être présumée fiable, ce qui inverse la charge de preuve de fiabilité de la signature. Pour cela, elle doit être établie à l'aide d'un dispositif de création sécurisée et sa vérification doit reposer sur l'utilisation d'un certificat électronique qualifié.

Site www.legifrance.gouv.fr : Loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique

Site www.legifrance.gouv.fr : Décret du 30 mars 2001 pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique

RGP - Règlement général sur la protection des données

Le règlement général sur la protection des données (RGPD, ou encore GDPR, de l'anglais General Data Protection Regulation), est un règlement de l'Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l'Union européenne.

Ce règlement a été définitivement adopté par le Parlement européen le 27 avril 2016. Ses dispositions sont directement applicables dans l'ensemble des 28 États membres de l'Union européenne à compter du 25 mai 2018.

Ce règlement remplace la directive sur la protection des données personnelles (95/46/CE) adoptée en 1995 (article 94 du règlement) ; contrairement aux directives, les règlements n'impliquent pas que les États membres adoptent une loi de transposition pour être applicables.

Les principaux objectifs du RGPD sont d'accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l'augmentation du pouvoir des autorités de contrôle.

Une synthèse du "Pack de conformité des Universités et Grandes ecoles au RGPD" à destination des informaticiens.