CNRS

Sécurité Informatique N°39 avril 2002

Texte de Robert Longeon

Quelques affaires judiciaires qui ont défrayé la chronique ces derniers mois ont pu faire croire que " protection des systèmes d'information" et " cybersurveillance des salariés" était à mettre dans le même panier. Bien évidemment il n'en est rien, et le rapport de la commission présidé par M. Hubert Bouchet (voir encadré ci-...(dessous)), adopté le 5 février 2002 par la CNIL, arrive à point nommé pour montrer que si la sécurité est légitime dans les entreprises comme dans les administrations, elle ne doit pas servir de prétexte aux contrôles des salariés à leur insu!

Ce rapport, d'une grande sagesse, fait la part entre une nécessité - se protéger des crimes et des délits contre les systèmes d'information - et le droit des salariés au respect de l'intimité de leur vie privée et à l'information sur les mesures de contrôle qui sont mises en oeuvre:

La protection des systèmes informatique est nécessaire

ainsi que le respect de la vie privée

Les "contremaîtres virtuels" qui peuvent " tout exploiter sans que le salarié en ait toujours parfaitement conscience" et permettre, le cas échéant, "au-delà des légitimes contrôles de sécurité et de productivité des salariés, d'établir le profil professionnel, intellectuel ou psychologique du salarié "virtuel"" ne sont pas admissibles. Cette pratique ne doit pas être confondue avec la nécessaire mise en oeuvre de mesures pour protéger les systèmes d'information: "L'ouverture de l'entreprise sur le monde, grâce à Intemet, et l'utilisation des réseaux d'information, la rendent plus vulnérable à des attaques informatiques venues de l'extérieur. La mise en place de mesures de sécurité constitue à cet égard une nécessité pour éviter les intrusions et pour protéger des documents confidentiels, des secrets de fabrique, ou encore les fichiers de l'entreprise. Or, ces mesures de sécurité auront précisément pour objet de conserver trace des flux d'informations, directement ou indirectement nominatives, afin de mieux prévenir les risques et de repérer l'origine des problèmes."

A respecter :

proportion entre le but recherché et les actions mises en œuvre

II n'y a incompatibilité entre ces deux exigences que lorsque les structures de direction n'ont pas su établir un climat social de confiance ou que les mesures spécifiques de protection ont été mises en place en dépit de la législation du code du travail. Rappelons les trois articles qui concernent directement tous dispositifs devant assurer la sécurité de nos systèmes d'information et qui doivent être impérativement respectés :

1- La proportionnalité des actions mises en oeuvre et le but recherché: "Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas proportionnées au but recherché" - (art L 120-2 du code du travail). S'agissant des traces de connexion, le rapport précise que ce n'est pas leur existence, mais les traitements dont elles peuvent faire l'objet qui sont en couse: "De manière plus générale, qu'il s'agisse d'assurer le bon fonctionnement du service informatique, la sécurité numérique de l'entreprise ou le confort de l'usager, ces "traces" sont intrinsèquement liées à la mise à disposition d'une telle technologie. Aussi, n'est-ce pas leur existence mais leur traitement à des fins autres que techniques qui doit être proportionné au but recherché."

consultation du Comité d'Entreprise

2 - La consultation du comité d'entreprise (pour nous, cela peut être le conseil de laboratoire) lors de l'introduction de nouvelles technologies: "Le comité d'entreprise est informé et consulté préalablement à tout projet important d'introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d'avoir des conséquences sur (.,.) les conditions de travail du personnel" et "lorsque l'employeur envisage de mettre en oeuvre des mutations technologiques importantes et rapides", le plan d'adoption doit être transmis " pour information et consultation" au comité d'entreprise, lequel doit être " régulièrement informé et périodiquement consulté" sur la mise en oeuvre de ce plan (art L 432-2 du code du travail), Par ailleurs, l'article L 432-2-1 prescrit que le comité d'entreprise doit être "informé et consulté, préalablement à la décision de mise en oeuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés",

et information préalable des salariés

3 - L'information préalable des salariés sur tout dispositif de collecte de données le concernant personnellement: "Aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n'a pas été porté préalablement à la connaissance du salarié ou du candidat à l'emploi" (art L 121-8). Mais le rapport précise que si une telle manière de procéder est nécessaire, elle n'est pas suffisante en soi " dès lors que les finalités seraient mal définies ou mal comprises".

L'ordinateur mis à disposition sur le lieu de travail n'est pas un ordinateur "personnel"

Le rapport s'élève contre l'idée - qui commençait à se répandre dangereusement - qu'un " ordinateur personnel mis à la disposition des utilisateurs sur leur lieu de travail serait, en tant que tel, protégé par la loi "informatique et libertés "et relèverait de la vie privée du salarié". II enfonce encore le clou sur ce sujet en relevant que " un ordinateur mis à la disposition d'un salarié ou d'un agent public dans le cadre de la relation de travail est la propriété de l'entreprise ou de l'administration et ne peut comporter que subsidiairement des informations relevant de l'intimité de la vie privée. II peut être protégé par un mot de passe et un login, mais cette mesure de sécurité est destinée à éviter les utilisations malveillantes ou abusives par un tiers; elle n'a pas pour objet de transformer l'ordinateur de l'entreprise en un ordinateur à usage privé". En revanche, il constate que les chartes informatiques sont trop souvent une litanie d'interdictions et de procès d'intention alors qu'elles devraient être un moyen d'information et de sensibilisation du personnel. Le rapport met en garde contre les clauses abusives qu'elles peuvent comporter. En particulier, on ne peut pas, sauf cas exceptionnel, réserver le système à un usage professionnel exclusif. Une tolérance d'utilisation de la messagerie et de l'internet à des fins privées doit être admise, tant que cette pratique reste raisonnable, c'est-à-dire qu'elle n'est pas susceptible d'amoindrir les conditions d'accès professionnel au réseau, ne "met pas en cause la productivité" et respecte la législation en vigueur.

La messagerie d'entreprise n'est pas destinée à laise correspondance personnelle

Quant au statut de la messagerie d'entreprise, le rapport énonce clairement la règle: " II doit être généralement considéré qu'un message envoyé ou reçu depuis le poste du travail mis à disposition par l'entreprise ou l'administration revêt un caractère professionnel, sauf indication manifeste dans l'objet du message ou dans le nom du répertoire où il pourrait avoir été archivé par son destinataire qui lui conférerait alors le caractère et la nature d'une correspondance privée, protégée par le secret des correspondances". À bon entendeur...

Reste la délicate question de l'utilisation d'outils automatique de contrôle. Le rapport n'esquive pas le problème: "Des exigences de sécurité, de prévention ou de contrôle de l'encombrement du réseau peuvent conduire les entreprises ou les administrations à mettre en place des outils de mesure de la fréquence ou de la taille des fichiers transmis en pièce jointe au message électronique ou encore des outils d'archivage des messages échangés. Dans cette dernière hypothèse, le message électronique, bien qu'étant effacé du poste de l'émetteur et du poste du récepteur, sera néanmoins conservé. L'emploi de tels outils de contrôle ou de sauvegarde doit être porté à la connaissance des salariés ainsi que la durée de conservation du message "sauvegardé". Lorsque l'entreprise ou l'administration met en place un dispositif de contrôle individuel poste par poste du fonctionnement de la messagerie, le traitement automatisé d'informations nominatives ainsi mis en ouvre doit être déclaré à la CNIL. "

Les juristes ont l'habitude de dire " qu'il n'y a pas de vide juridique sur l'Intemet ". C'est vrai ! D'ailleurs, il n'y a jamais de vide juridique... même au plus profond de la jungle: là où il n'y a pas de lois, règne la loi du plus fort. Si donc ce rapport ne remplit pas un vide, indiscutablement, il comble un trou.

Robert Longeon Robert. Longeon@cnrs-dir.fr

Pour en savoir plus

On peut trouver le rapport de Hubert Bouchet à l'URL : www.cnil.fr/textes/normes/ns421a.htm

Les conclusions du rapport sont disponibles à www.cnil.fr/thematic/docs/entrep/cyber_conclusions.pdf

Six fiches de synthèse - particulièrement claires et bien faites - faisant le point sur

• Le contrôle des connexions à Internet
• Le contrôle de l'usage de la messagerie
• Les fichiers de journalisation
• Le rôle des administrateurs de réseaux
• Les instances représentatives du personnel
• Un bilan annuel "informatique et libertés"

sont disponibles en format PDF à l'adresse www.cnil.fr/thematic/docs/entrep/cyber_fiches.pdf