Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

La CNIL publie son rapport sur la cybersurveillance des travailleurs

Publié le par

Le président de la CNIL l’avait annoncé lors de la présentation en juillet 2000 du 20ème rapport d’activité : la Commission allait s’intéresser au problème de la cybersurveillance des salariés et rendre un avis, non contraignant, sur le sujet. C’est chose faite : au mois de mars 2001, au terme d’une consultation publique, le vice-président…

Le président de la CNIL l’avait annoncé lors de la présentation en juillet 2000 du 20ème rapport d’activité : la Commission allait s’intéresser au problème de la cybersurveillance des salariés et rendre un avis, non contraignant, sur le sujet.

C’est chose faite : au mois de mars 2001, au terme d’une consultation publique, le vice-président a rendu public un rapport de 50 pages qui analyse le cadre légistaltif et jurisprudentiel français, le confronte aux évolutions des autre spayx européens et des directives à transposer, et insiste sur quelques recommandations.

Le lecteur désireux de prendre connaissance du rapport complet pourra le consulter sur notre site.

Pour une lecture plus rapide, voici les quelques points forts :

  1. Les principes de transparence et de loyauté :

    C’est autour de la confiance, érigée en principe fondateur, que doit se construire la surveillance. L’efficacité est à ce prix pour la meilleure implication des parties prenantes dans l’entreprise. Cette dernière a le devoir de se protéger et ses dirigeants doivent exercer le contrôle de l’exécution du contrat de travail. De leur côté, les salariés ont droit au respect de leur vie privée laquelle ne peut s’arrêter en pratique à la porte de l’entreprise.

    La loyauté s’impose en pratique pour établir le point d’équilibre entre droit de l’employeur à connaître ce qui est nécessaire à l’exercice de sa fonction dirigeante et le droit du salarié à protéger sa vie privée dont l’essentiel n’a pas à être exposé dans la relation de travail.

    Et le rapport de poursuivre en disant tout le mal qu’il pense des charte d’utilisation imposées sans négociations :

    « [ces chartes] avisent de la mise en place d’un véritable arsenal d’outils de surveillance et de la conservation pendant de longue durée des données de connexion permettant l’identification des agissements des salariés. Pour mieux se garantir encore, certaines entreprises soumettent à la signature des salariés de telles prescriptions, comme s’il s’agissait d’engagements librement consentis par eux ».

    Pour la CNIL, « L’information préalable assurée dans de telles conditions ne priverait nullement le juge de procéder au traditionnel contrôle de proportionnalité entre le manquement reproché au salarié (et qui, à s’en tenir à quelques chartes, est quasiment inévitable) et la sanction prononcée, ni même au contrôle de proportionnalité entre la surveillance ainsi exercée et le respect de la vie privée »

    A bon entendeur …

  2. La CNIL propose quelques principes qui rétablissent cet équilibre entre le légitime besoin d’assurer la sécurité du système informatique, et la protection des libertés individuelles des travailleurs :

    • Lorsqu’un pare-feu est mis en place, associé ou non à d’autres outils, la signification des informations enregistrées et leur durée de conservation doivent être précisées aux salariés.

    • Lorsqu’une copie de sauvegarde des messages est effectuée, la durée pendant laquelle les messages sont conservées sur la copie de sauvegarde doit être précisée.

    • L’interdiction faite aux salariés de disposer d’une messagerie sur un serveur de messagerie gratuite peut constituer une mesure de sécurité légitime pour l’entreprise, compte tenu des risques (contamination de virus, intrusion, etc).

    • De même, l’interdiction faite aux salariés de laisser leur mail professionnel dans des forums de discussion peut, dans certains circonstances, être jugée pleinement justifiée et proportionnée à un objectif de sécurité de l’entreprise.

    • Les systèmes de journalisation des connexions destinés à sécuriser l’accès à des fichiers informatiques, et tout particulièrement à ceux qui comportent des données à caractère personnel, sont non seulement légitimes mais indispensables. Les salariés doivent en être informés ainsi que de leurs conséquences, ce qui constitue là encore la meilleure manière de
      prévenir tout accès non autorisé.

    • Les administrateurs de système habilités à avoir accès aux données de connexion doivent être identifiés. En outre, les salariés de l’entreprise devraient être informés des autorités hiérarchiques habilitées à requérir des administrateurs des mesures de surveillance particulières lorsque des dérives de nature à porter atteinte à l’intérêt des entreprises seraient constatées. Dans une telle hypothèse, les règles de procédures, d’information du personnel ou de leurs représentants devraient être précisées.
  3. Le rapport aborde – chose étonnante pour une autorité dont ce n’est pas le core business – l’utilisation à des fins personnelles des moyens de télécommunications de l’entreprise.

    • S’agissant de la navigation sur le web, la CNIL estime que « La solution du filtrage de certains sites – bien que n’étant pas parfaitement efficace – paraît préférable à une interdiction absolue et de principe faite aux salariés de naviguer sur le web. Il devrait être admis, par la plupart des entreprises, que les salariés peuvent se connecter au web
      au moins hors de leur temps de travail, quitte à ce que soient posées certaines interdictions à l’égard de sites web à caractère particulier (pornographie, négationnisme, jeu, etc). Dans une telle hypothèse, le contrôle a posteriori de l’usage fait par les salariés d’une telle
      tolérance peut être légitime. Cependant, un tel contrôle peut être gradué et ne devrait pas porter, sauf circonstances exceptionnelles, sur une analyse individuelle des sites consultés et de leur contenu
      « .

    • S’agissant de la messagerie électronique, le rapport précise que « L’interdiction de principe faite aux salariés d’utiliser la messagerie électronique à des fins non professionnelles paraît tout à la fois irréaliste et disproportionnée ». On rappelera que la CNIL admet néanmoins que « L’interdiction faite aux salariés de disposer d’une messagerie sur un serveur de messagerie gratuite peut constituer une mesure de sécurité légitime pour l’entreprise, compte tenu des risques (contamination de virus, intrusion, etc)« .
  4. Le rapport termine par donner des conseils précis. Aspect intéressant, il le fait aussibien à l’attention des patrons que des employés et de leurs représentants.

    Aux employeurs, le rapport recommande les comportements suivants :

    • Tout document doit être rédigée dans un langage clair et compréhensible.

    • Le principe de la politique de sécurité doit être définie et clairement exposée pour être comprise des salariés.

    • Il doit clairement indiquer les règles d’usage des ressources mises à la disposition de l’utilisateur.

    • Il doit préciser les potentialités techniques des outils et les utilisations effectivement mises en oeuvre, notamment en matière d’utilisation de traces.

    • Le document doit être négocié avec les représentants du personnels et faire l’objet d’évocation périodique par les instances de négociation.
    • Il devra être régulièrement mis à jour pour tenir compte de l’évolution du parc technologique.

    • Si des traitements destinés à mesurer et qualifier l’ activité sont mis en oeuvre, les utilisateurs doivent être informés qu’ils disposent d’un droit d’accès (ainsi que de ses modalités) aux informations les concernant issues de ces traitements et doivent connaître la marche à suivre pour exercer ce droit.

    • L’utilisation de l’intranet et de la messagerie par les institutions représentatives du personnel sont à définir par un accord spécifique.

    • Dans le cas d’intégration au règlement intérieur le respect des formes s’impose : soumission au CE, à l’ inspection du travail, au conseil des prud’hommes et affichage dans les locaux.

    Aux employés, le rapport rappele que :

    • Une identification (login + mot de passe) unique est confiée à chaque utilisateur. Ce dernier est personnellement responsable de l’ utilisation qui peut en être faite, et ne doit en aucun cas la communiquer.

    • L’ utilisation du courrier électronique à des fins personnelles est autorisée dans des proportions raisonnables à la condition de ne pas affecter le trafic normal des messages professionnels.

    • Chaque utilisateur doit prendre conscience qu’il est dangereux pour l’entreprise et doit tenir pour acquis ou conditionnel : De communiquer à des tiers des informations techniques concernant son matériel ; De connecter un micro à internet via un modem, [sauf autorisation spécifique] ; De diffuser des informations sur l’entreprise via des sites internet ; De participer à des forums, [même professionnels] ; De participer à des conversation en ligne (Chat).

    • L’utilisation d’internet à des fins privées est tolérée dans des limites raisonnables à condition que la navigation n’entrave pas l’accès professionnel.

    Plus d’infos

    En consultant le rapport complet en ligne sur notre site.

    Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK