Actualités - La CNIL publie un rapport attendu sur la « [...]

Si le rapport dément l’idée selon laquelle l’ordinateur mis à la disposition d’un salarié par son entreprise relèverait de la vie privée de l’usager, il combat aussi l’idée selon laquelle les entreprises pourraient, après information, s’ « autoriser l’emploi de tous les modes de surveillance et de contrôle », et encourage le développement de la discussion collective et d’un effort de pédagogie autour de chartes qui ne sauraient toutefois avoir force de loi.

Le rappel de trois principes généraux

Le rapport réaffirme trois principes généraux qui président à la mise en place de moyens de surveillance des activités en ligne des salariés : l’obligation de transparence et d’information préalable, la discussion collective au sein du comité d’entreprise préalablement à la mise en place du système de traitement des informations, et la proportionnalité des moyens de traitement au but recherché.

Conclusions du rapport

Les auteurs du rapport estiment qu’en ce qui concerne le contrôle des connexions à l’internet, qui peuvent s’accompagner de prescriptions légitimes dictées notamment par des exigences de sécurité, le « contrôle a posteriori (…) de façon globale (…) devrait dans la plupart des cas être suffisant, sans que qu’il soit nécessaire de procéder à un contrôle nominatif individualisé des sites accédés ».

Pour ce qui est du contrôle de l’usage de la messagerie, d’après ces mêmes conclusions, « il doit être généralement considéré qu’un message envoyé ou reçu depuis le poste de travail (…) revêt un caractère professionnel, sauf indication manifeste dans l’objet du message ou dans le nom du répertoire où il pourrait être archivée par son destinataire ».

Ces modalités de contrôle doivent a minima faire l’objet d’une consultation du comité d’entreprise et d’une information des salariés. Tout dispositif de contrôle individuel poste par poste, rappelle la CNIL, doit lui être déclaré.

Le rapport prévoit que le traitement des « fichiers de journalisation », ou fichiers logs, qui constituent principalement une mesure de sécurité, ne nécessitent pas de déclaration pour autant qu’ils ne permettent pas de collecter d’informations individuelles poste par poste. Ces fichiers pourraient être conservés pour une durée « de l’ordre de 6 mois ».

Les conclusions de la CNIL prévoient également la protection des administrateurs de réseaux, « tenus au secret professionnel » et qui « ne doivent pas divulguer des informations qu’ils auraient été amenés à connaître dans le cadre de leurs fonctions, et en particulier lorsque celles-ci sont couvertes par le secret des correspondances ou relèvent de la vie privée des utilisateurs et ne mettent en cause ni le bon fonctionnement technique des applications, ni leur sécurité, ni l’intérêt de l’entreprise. Ils ne sauraient non plus être contraints de le faire, sauf disposition législative particulière en ce sens ».

Le rapport ne précise pas les droits d’accès et d’usage des systèmes de l’entreprise par les instances représentatives du personnel, mais recommande que « les entreprises et administrations [négocient] les conditions dans lesquelles la messagerie de l’entreprise peut être utilisée par les instances représentatives du personnel ou pour l’exercice d’un mandat syndical ».

La CNIL recommande enfin que les mesures de conservation et de traitement des données d’usage des technologies de l’information fassent l’objet, dans chaque entreprise, d’un bilan « informatique et libertés », et que les entreprises ou les administrations désignent, « en concertation avec les instances représentatives du personnel », un « délégué à la protection des données et à l’usage des nouvelles technologies dans l’entreprise ».

Les apports de ce texte fort attendu ne manqueront pas d’enrichir les travaux du groupe de travail « relations du travail et internet » du Forum des droits sur l’internet.