Cybersurveillance des salariés sur leur lieu de travail

Après un premier rapport sur la cybersurveillance des salariés sur leur lieu de travail en date du 28 mars 2001, la C.N.I.L a publié un nouveau rapport le 5 février dernier apportant de nouvelles recommandations regroupées autour de 6 thèmes. Le but étant d'essayer de trouver un équilibre entre respect de la vie privée des salariés sur leur lieu de travail et les impératifs de sécurité demandés par les employeurs.

1- Le contrôle des connexions à Internet : La C.N.I.L estime utopique de vouloir empêcher l'utilisation d'Internet à des fins personnelles sur le lieu de travail. Elle préconise un " usage raisonnable " d'Internet et de la messagerie électronique. L'entreprise peut toutefois mettre en place des procédures de contrôle a priori (ex : filtrage de sites non autorisés) ou a postériori. La C.N.I.L rappelle que les salariés doivent préalablement être informés des dispositifs de contrôle mis en place. De plus, le comité d'entreprise doit être consulté. De plus, lorsque les procédures de contrôle entraînent un traitement informatisé d'informations nominatives, celle-ci doivent être déclarées à la C.NI.L en précisant la durée de conservation des fichiers.

2- Le contrôle de l'usage de la messagerie : la C.N.I.L admet l'utilisation dans des " proportions raisonnables " de la messagerie électronique à des fins personnelles. De par l'arrêt de la Chambre Sociale de la Cour de Cassation du 2 octobre 2001, une interdiction générale de la messagerie électronique à des fins personnelles, n'autorise pour autant pas l'employeur à avoir accès au contenu des mails. Si le message est archivé dans un répertoire privé, celui-ci sera protégé par le secret des correspondances.

3- Les fichiers de journalisation : Le but des ces fichiers est d'identifier et enregistrer toutes les connexions ou tentatives de connexion afin de protéger des données à caractère personnel. Ces fichiers n'ont pas à être déclarés à la C.N.I.L. Ils ne le sont que lorsqu'ils partis des mesures de sécurité entourant le fonctionnement du traitement principal. Là encore, les salariés doivent être informés de l'utilisation de cers fichiers ainsi que de la durée de conservation de ces derniers.

4- Le rôle des administrateurs de réseaux :Les administrateurs ont accès à l'ensemble des données figurant sur le réseau ou sur le disque dur des potes de travail. De ce fait, ils sont soumis au secret professionnel. Ils ne peuvent intervenir autrement que pour assurer le bon fonctionnement et la sécurité des systèmes et ne peuvent être contraints à divulguer les informations dont ils ont eu connaissance de par leur poste.

5- L'utilisation des technologies de l'information et de la communication par les instances représentatives du personnel (IRP) : La C.N.I.L préconise aux employeurs de négocier les conditions d'utilisation de la messagerie par les IRP. Si les IRP disposent de leur propre compte de messagerie, des mesures de sécurité particulières doivent être mises en place afin d'assurer la confidentialité des informations.

6- Bilan annuel " informatique et libertés " : La C.N.I.L préconise la mise en place d'un bilan annuel afin de faire le point sur l'ensemble des mesures de sécurité existants dans l'entreprise soumis en même temps que le bilan social au comité d'entreprise.

7- Mise en place d'un délégué à la protection des données :la C.N.I.L suggère, dans les entreprises dont le mode d'organisation et les effectifs le permettent, de nommer un " délégué à la protection des données et à l'usage des nouvelles technologies dans l'entreprise" en accord avec les IRP. Ce délégué serait le " correspondant informatique et liberté " dans l'entreprise sur les questions portant sur les mesures de sécurité, le droit d'accès et la protection des données personnelles sur le lieu de travail.

Source : www.cnil.fr
Téléchargement du rapport :
http://www.cnil.fr/thematic
/docs/entrep/cybersurveillance2.pdf