La cybersurveillance sur les lieux de travail : les droits et devoirs du salarié et de l’employeur

Vous utilisez internet à des fins personnelles sur votre lieu de travail ? Quels sont les risques que vous encourrez ? Voici les informations à connaitre.

L’usage privé d’internet au travail, s’il n’entrave pas la productivité de l’entreprise, ni ne met en danger sa sécurité informatique, est toléré. Il doit cependant rester raisonnable et légal, et dans les limites autorisées par l’employeur.

assistance-pro-internet-livebox
le contrôle de l’utilisation d’internet

Il existe aujourd'hui des droits et des devoirs, ainsi qu'une jurisprudence relative à l'utilisation de votre accès internet depuis votre poste de travail.

L'employeur peut donc légitimement fixer des règles de surveillance, mais dans la transparence. Il est, en effet, tenu d'avertir le salarié des moyens qu'il compte mettre en œuvre pour effectuer cette surveillance.

Ces prescriptions peuvent être l'interdiction de :

  • Télécharger des logiciels.
  • Se connecter à un forum ou d'utiliser le chat.

En outre, l'entreprise peut se réserver le droit :

  • D'accéder à une boîte aux lettres personnelle susceptible de véhiculer des virus.
  • De restreindre l'accès à certains sites (à caractère pornographique, pédophile, d' incitation à la haine raciale...).

Un contrôle statistique global des connexions à Internet et des sites les plus visités à posteriori est autorisé, sans qu'il soit nécessaire de procéder à un contrôle nominatif et individualisé des sites consultés.

les fichiers de journalisation

Les fichiers de journalisation des connexions permettent d'identifier et d'enregistrer toutes les connexions ou tentatives de connexion à un système automatisé d'informations. Toutes les actions que vous effectuez sur le réseau sont consignées dans ces fichiers.

Les utilisateurs du système informatique doivent être avertis de la présence de tels fichiers ainsi que de la durée pendant laquelle les données de connexion qui permettent d'identifier le poste ou l'utilisateur seront conservées.

La plupart des entreprises admettent la possibilité d'envoyer des messages à caractère privé via la messagerie électronique de leur réseau. Cependant, tout est dans la mesure, ces messages ne doivent pas entraver le bon fonctionnement du réseau informatique (surcharge ou sécurité).

Pensez toujours à bien vous renseigner et vérifier dans le réglement intérieur de votre entreprise si l'usage privé de la messagerie est autorisé.

Il est également vivement recommandé de préciser dans l'objet de votre message "personnel" ou autre mention équivalente. Ainsi, en cas de contrôle par votre employeur, celui-ci ne serait pas autorisé à lire votre message puisqu'il revêt alors le caractère et la nature d'une correspondance privée, protégée par le secret des correspondances. A défaut d’une telle identification, les messages sont présumés être professionnels.

Enfin, l'emploi d'outils de contrôle ou de sauvegarde doit être porté à la connaissance des salariés ainsi que la durée de conservation du message sauvegardé.

L'employeur est tenu d'informer les salariés des dispositifs mis en place et des modalités de contrôle de l’utilisation d’internet. Cette information peut se faire au moyen d’une charte, annexée ou non au règlement intérieur, d’une note individuelle ou d’une note de service...

Les salariés doivent être informés, notamment de la finalité du dispositif de contrôle et de la durée pendant laquelle les données de connexion seront conservées.

Une durée de conservation de l’ordre de six mois est suffisante, dans la plupart des cas, pour dissuader tout usage abusif d’internet.

Si des procédures disciplinaires sont susceptibles d’être engagées sur la base de ces fichiers, les salariés doivent en être explicitement et préalablement informés ainsi que les instances de représentation du personnel (les comités d’entreprise).

En cas d’archivage automatique des messages électroniques, ils doivent en outre être informés des modalités de l’archivage, de la durée de conservation des messages, et des modalités d’exercice de leur droit d’accès.

Ces mesures doivent être prises en concertation avec les instances représentatives du personnel en toute transparence.

De même, la CNIL préconise, qu'un bilan annuel "informatiques et libertés" soit élaboré et présenté à l'occasion du bilan social soumis au comité d'entreprise.

Enfin, les entreprises pourrait désigner un délégué à la protection des données qui serait chargé tout particulièrement des questions relevant des mesures de sécurité, du droit d'accès et de la protection des données personnelles sur le lieu de travail.

L'usage privé d'internet sur le lieu de travail, dans le cas où il est autorisé par l'employeur, doit rester raisonnable et légal c'est-à-dire, ne pas entraver la productivité de l'entreprise, ni mettre en danger sa sécurité informatique.

En tant que salarié, l'administrateur réseau a un statut particulier.

Il doit veiller au bon fonctionnement du réseau d'entreprise ainsi qu'à sa sécurité. Il peut donc être conduit à avoir accès à l'ensemble des informations qui transitent sur le réseau (messagerie, connexion internet, fichiers de journalisation ...). C'est pour cette raison que l'administrateur réseau est tenu au secret professionnel.

Il ne doit pas divulguer des informations portées à sa connaissance dans le cadre de ses fonctions, et surtout lorsque celles-ci relèvent du cadre du secret des correspondances ou de la vie privée des utilisateurs.

Il ne peut être contraint à divulguer ce type d'information, sauf disposition législative particulière en ce sens.

Enfin, l'utilisation d'outil de maintenance permettant la prise en main à distance du poste informatique d'un salarié est autorisée à condition que les mesures de sécurité nécessaires à la protection des données soient mises en oeuvre. Il est possible de recueillir l'accord du salarié par un message l'invitant à accepter cette prise de commande à distance.

Pour en savoir plus, consultez le site de la CNIL.