Séminaire audit et sécurité des systèmes d’information
Cybersurveillance
1. 1
La cyber-surveillance des employés
Table des matières
Mise en place de la cyber-surveillance au travail.................................................................................... 2
Les chartes informatiques................................................................................................................... 2
Le contrôle de l’usage d’internet ........................................................................................................ 2
Le contrôle de l’usage de la messagerie.............................................................................................. 2
Le rôle des administrateurs informatiques ......................................................................................... 3
La limite et la nécessité de la cyber-surveillance .................................................................................... 3
Point de vue de l’employé................................................................................................................... 3
Point de vue employeur ...................................................................................................................... 4
Conclusion ............................................................................................................................................... 4
2. 2
Mise en place de la cyber-surveillance au travail
La chambre sociale de la Cour de cassation dans un arrêt du 2 octobre 2001 affirme que :
, même au temps et au lieu de travail, au respect de sa vie privée; celle-ci implique
en particulier le secret de ses corres
, prendre connaissance
n travail, et ceci même au cas où
l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur. »
D’autre part, le Code du travail(article L. 120-2) mentionne que « Nul ne peut apporter aux droits des
personnes et aux libertés indivi
.
Nous allons voir comment la CNIL tente de résoudre certaines questions afin de permettre un
équilibre harmonieux entre sécurité des informations de l’entreprise et liberté individuelle de ses
employés imposé par la loi.
Les chartes informatiques
Ces chartes adoptées par les entreprises visent à informer les utilisateurs des mesures de sécurités
mises en œuvre dans l’entreprise au niveau des outils informatiques mis à leur disposition.
En effet, l’employeur se doit de respecter l’article L. 121-8 du Code du travail : « Aucune information
concern
Cependant, ces chartes restent peu précises et souvant à cause de manque d’informations
supplémentaires, les employés restent ignorant quant aux possibilités de traçage que possède
l’employeur.
Le contrôle de l’usage d’internet
De manière générale, un usage raisonnable à des fins personnelles d’Internet est autorisé, tant qu’il
ne remet pas en cause la productivité de l’employé.
Des mesures de prévention sont mises en place telles que des dispositifs de filtrage de sites non-
autorisés, associés au pare-feu (sites diffusant des prod raphi
, etc.), interdiction de télécharger des logiciels, de se connecter à des
forums … Ainsi même l’entreprise peut produire un relevé des durées de connexion ou des sites
visités de chaque poste informatique.
Le contrôle de l’usage de la messagerie
3. 3
entreprises.
Les messages étant souvent filtrés et enregistrer le problème se pose lorsque qu’il se doit de
différencier les messages professionnels et personnels. En cela, il a été jugé que lorsque l’objet du
message est clairement personnel ou présent dans un dossier personnel, celui-ci ne peut être accédé
par l’employeur, cela constituant une violation du secret des correspondances privées.
Le rôle des administrateurs informatiques
s des réseaux
et systèmes sont conduits par leurs fonctions
aux utilisateurs.
De ce fait, ils sont tenus au secret professionnel et ne doivent pas divulguer des informations qu’ils
auraient amenés connaître dans le cadre de leurs fonctions.
L’utilisation des logiciels de prise de main à distance
, dans la stricte limite de ses besoins.
nécessaires.
La limite et la nécessité de la cyber-surveillance
Point de vue de l’employé
La loi stipule que nul ne peut être surveillé à son insu.
Pourtant les NTIC (Nouvelles Technologies de l’information et de la communication) permettent de
conserver des traces desflux d’informations personnelles.
En principe, le matériel mis à la disposition des salariés est destiné à un usageprofessionnel.
Cependant, comme pour la correspondance postale, les mails ont uncaractère privé.L’employeur
dispose d’un droit de contrôle des mails professionnels ; par contre il ne peutprendre connaissance
des informations contenues dans le mail personnel qu’avec l’accorddu salarié ou en cas de motif
grave ou légitime.
L’employeur a uniquement le doit d’accéder à la messagerie personnelle d’un salarié soupçonné de
concurrence déloyale, sans qu’il s’agisse de violation du secret de la correspondance privée selon les
arrêts du 23 mai 2007 et du 10 juin 2008, mais ceci doit se faire sous contrôle d’un huissier et en
présence de l’employé concerné.
4. 4
L’arrêt « Nikon » de la Cour de Cassation du 2 octobre 2001 précise que le salarié a droit,même sur
son lieu de travail, au respect de l’intimité de sa vie privée et au secret descorrespondances, y
compris si l’usage non professionnel des TIC est interdit.
Point de vue employeur
Bien que la surveillance puisse porter atteinte à la vie privée, elle n’en demeure pas moins
indispensable pour l’employeur qui doit faire fonctionner son entreprise.
Afin d’expliquer cela, nous verrons, à travers 3 exemples, l’importance pour l’employeur d’exercer un
certain contrôle sur ses employés.
Baisse de productivité
Selon une étude faite en 2008 par Olfeo, l’utilisation quotidienne d’Internet au travail est de 1h26,
parmi lesquelles 58 minutes correspondent à un usage non-professionnel. Ainsi,les entreprises
n’encadrant pas l’usage d’Internet subiraient une perte de productivité journalière de 13.8 % d’où
l’importance pour l’employeur de contrôler le travail des employés.
Problème de cybercriminalité
L’employé insouciant peut télécharger des données illégales et une procédure peut être engagée
contre l’entreprise. Néanmoins une délégation des pouvoirs peut se justifier dans certains cas.
Protection de ses données
La responsabilité juridique de l’employeur ou de l’entreprise peut être engagée en cas de violation de
la loi par un salarié indélicat (par exemple en cas de téléchargement illicite, du non-respect de la loi
sur la protection des données personnelles, d’atteinte à la sécurité informatique…) :
Le responsable de l’entreprise doit assurer également la sécurité des données sous peine d’une peine
de cinq ans de prison et 300 000 € d’amende. Néanmoins, l’entreprise peut avoir recours à une
délégation des pouvoirs dans certains cas.
Conclusion
La cyber-surveillance est multiple et omniprésente dans l’entreprise. Néanmoins elle est nécessaire
pour assurer la prospérité de l’entreprise mais ne doit pas empiéter sur les libertés individuelles de
l’employé.