Les recommandations de la CNIL

Publié le 24/10/2013

Article réservé aux abonnés

DANS SON « Guide pour les employeurs et les salariés », la CNIL (Commission nationale de l’Informatique et des Libertés) donne les règles que les employeurs doivent respecter pour contrôler l’utilisation d’Internet par leurs salariés et pour le contrôle de leur messagerie.

La CNIL considère préalablement que l’utilisation, sur les lieux de travail, des outils informatiques à des fins autres que professionnelle peut être généralement tolérée. Elle doit rester raisonnable et ne doit pas affecter la sécurité des réseaux ou la productivité de l’entreprise.

Pour contrôler : informer.

Ceci étant posé, elle donne le principe le plus important : si vous êtes employeur, vous devez informer vos salariés des mesures de contrôle que vous allez appliquer.

« Les employés doivent être informés des dispositifs mis en place et des modalités de contrôle de leur utilisation d’Internet, de leur messagerie et de leurs dossiers enregistrés sur les serveurs. » Vous devez leur indiquer également la finalité du contrôle que vous effectuez ainsi que la durée pendant laquelle les données de connexion sont conservées. Pour la CNIL, une durée de conservation de l’ordre de six mois est suffisante pour dissuader tout usage abusif d’Internet.

En outre, «si des procédures disciplinaires sont susceptibles d’être engagées sur la base des fichiers créés, les salariés doivent un être informés ».

L’information du salarié sur tous les points précédents peut se faire par l’intermédiaire d’une charte informatique.

Fixer des limites.

Deuxième point : vous pouvez fixer les conditions et les limites d’utilisation d’Internet par vos salariés.

Vous pouvez par exemple mettre en place des dispositifs de filtrage de sites non autorisés (sites pornographiques, révisionniste, etc.), interdire de télécharger des logiciels, de se connecter à un forum, interdire d’accéder à une boîte aux lettres personnelle par Internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter, etc.

Attention, si vous mettez en place un dispositif de contrôle individuel des salariés, poste par poste, destiné à produire un relevé des connexions ou des sites visités, le traitement doit être déclaré à la CNIL.

En ce qui concerne l’utilisation de la messagerie, comme nous l’avons vu, les courriels sont présumés professionnels à moins d’être identifiés « personnels ».

Or cette distinction est très importante pour vous puisque la violation du secret des correspondances est une infraction pénalement sanctionnée par l’article 226–15 du Code pénal.

La CNIL recommande donc de porter à la connaissance des salariés le principe retenu pour différencier les e-mails professionnels des e-mails personnels (qualification par l’objet, création d’un répertoire spécifique dédié aux contenus privés, etc.).

Comment procéder en pratique à ce contrôle ? La CNIL, dans un communiqué du 20 mars 2013, considère en effet que l’utilisation d’un logiciel espion de type KEYLOGGER (que l’on peut pourtant télécharger gratuitement sur Internet…) porte une atteinte disproportionnée aux droits des salariés et que son usage ne peut se justifier en l’absence d’un fort impératif de sécurité. Il faudra donc que vous soyez très prudent dans le choix de votre logiciel de contrôle.

Le contenu personnel protégé.

Reste le cas des fichiers et des répertoires créés par un employé.

Lorsque l’employé est absent, l’employeur peut lui demander de communiquer son mot de passe lorsque les informations détenues par cet employé sont nécessaires à la poursuite de l’activité de l’entreprise. Par contre, l’employeur ne doit pas accéder au contenu personnel de l’intéressé.

Enfin, lors du départ de l’employé, il est recommandé à l’employeur d’avertir le salarié de la date de fermeture de son compte afin que ce dernier puisse vider son espace privé. Là encore, la CNIL recommande de prévoir les modalités de fermeture du compte dans une charte informatique.

J. G.-C.