Sécurité & vie privée

Trouver le juste équilibre entre la sécurité, les solutions associées et la vie privée n’est nécessairement quelque chose de très simple. Outre les connaissances des différents impacts d’affaires, techniques et humains, il est important d’identifier et comprendre les impacts potentiellement légaux.

Comme notre pays possède une approche qui lui appartient, nous croyons juste de regarder ailleurs pour mieux comprendre les enjeux et solutions possibles. Pour ce, j’ai tourné mon attention vers le territoire de nos cousins Français, plus particulièrement vers la Commission nationale de l’informatique et des libertés (CNIL) de France. Instituée en 1978, celle-ci est une institution indépendante chargée de veiller au respect de l’identité humaine, de la vie privée et des libertés dans un monde numérique.

Aux fins de supporter les efforts de compréhension des enjeux légaux potentiels et plus particulièrement en lien avec les impacts, j’ai effectué l’étude du rapport thématique de la CNIL déposé en 2004 et intitulé : la cybersurveillance des salariés.

Certes non totalitaire et interprétable de notre point de vue américain, ce rapport donne une vue d’ensemble sur la situation qui devrait préoccuper les employeurs de la planète, durant les prochaines années d’affaires. Voici donc la grande ligne de celui-ci et les trouvailles les plus intéressantes avec l’aide de citations précisent et en lien avec nos préoccupations.

Nous croyons que la mise en contexte de tels travaux permet non seulement une meilleure compréhension de notre situation, mais également la mise en pratique de solutions reconnues; souvent nommés meilleurs pratiques.

Impact de la sécurité sur la vie privée
Surtout intéressé par les employeurs et les employés de nos clients et partenaires, le but de cette présentation est de faire la lumière sur ce sujet qui touche autant de vie. Que ce soit du côté personnel ou professionnel, il est capital de s’entendre sur la saine gestion des contrôles et de la sécurité qui en découle.

Comme bien d’autres organisations, le CNIL présente le point fondamental suivant, en plus d’être renforcé par la loi française : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature des tâches à accomplir ni proportionnées au but recherché ». Cette citation du Code du travail français nous permet de déduire que l’application des contrôles en sécurité devrait être graduelle et en lien avec les règles et tâches concernées; donc, la recherche de l’équilibre entre la sécurité et le respect des parties.

En lien avec cette base, le professeur Gérard Lyon-Caen confirmait que « La ligne de partage entre liens de subordination et la vie privée ne sauraient plus être tracées à la sortie des lieux de travail et à l’expiration de l’horaire. Tout est devenu plus complexe et plus flou ».

Pour épauler les efforts nécessaires à la sensibilisation et la clarification des enjeux, le CNIL devient en 1978 la référence pour accepter, centraliser et informer les employés et les employeurs sur le traitement des données personnelles, les préoccupations et les règles reliées à celles-ci. Cette centralisation a également comme mission de donner accès à ces informations pour maximiser la sensibilisation et la compréhension dans ce domaine toujours très sensible.

De plus, le CNIL répète et confirme l’importance qu’aucune mesure ne devrait être implantée sans avoir préalablement informé et sensibilisé les employés concernés par des mesures de contrôles. Donc, l’utilisation de différents types de dispositifs de contrôles, quels qu’ils soient, doit être faite de façon transparente et surtout pas à l’insu des employés ou groupes concernés.

Comme les technologies permettent de plus en plus de communications de façon quasi transparente et sur différentes plateformes, il est important d’être conscient des impacts possibles envers les employeurs. Aujourd’hui, l’entreprise n’est plus un lieu hermétique touchant un groupe de gens relativement défini.

Les outils connectés par Internet et autres types de réseau permettent des échanges informationnels en faisant la création de pont virtuel clairement à l’extérieur des murs d’une organisation. Ces liens pourraient donc faciliter, de façon intentionnelle ou non intentionnelle, l’échange de données potentiellement sensibles; surtout lorsque notre société se dit comme étant : connectée.

Présent au cœur de notre travail et au centre de nos relations humaines et numériques, les technologies doivent posséder des contrôles pour assurer un suivi de la performance, diminuer les risques et abus possiblement reliés aux échanges transparents, peu contrôlés et à distance.

Étroitement est liée cette mention du document du CNIL : « Ce contrôle de productivité du « cybertravailleur » s’exercera d’autant plus que toute architecture en réseau a pour effet d’éloigner géographiquement le salarié de sa hiérarchie. »

Réponse des entreprises envers ces préoccupations
Afin de diminuer les risques, améliorer le contrôle et l’utilisation et minimiser les interprétations erronées envers la vie privée, plusieurs entreprises font le développement de politiques et chartes d’entreprise. Couramment intitulé « l’utilisation des actifs informationnels », ce type de document n’est souvent pas en lien avec les normes et lois régissant les territoires ou organisations concernés.

Dans la création de ces documents de références, il est donc important de faire le lien avec une entité qui est mesure de nous communiquer et confirmer les meilleures pratiques et lois concernées. Ceci aura comme effet de se préoccuper des points critiques et importants, tout en laissant tomber les interprétations personnelles et professionnelles utilisées comme fondation.
Tel que renforcé par la CNIL : « cependant, de telles « chartes » […] cumulent les prohibitions de toutes sortes y compris celles des usages généralement et socialement admis de la messagerie et d’internet à des fins privées. Les salariés demeurent encore largement ignorants des possibilités de traçage, notamment par accumulation et recoupement de traces multiples, que les nouvelles technologies offrent à l’employeur et, de fait, l’équilibre nécessaire entre contrôle légitime exercé par l’entreprise et respect des droits des salariés ne parait pas assuré dans bien des cas. »
Cette dernière citation ne fait que renforcir l’importance de contacter et suivre des ressources légales ayant une expérience connue et reconnue dans le domaine de la vie privée et des technologies de l’information qui les traites.

Recherches du CNIL
Pour répondre aux différentes préoccupations, le CNIL a effectué des recherches et consultations avec plusieurs experts et groupes reconnus dans la matière et ont en même temps tenté de répondre aux questions les plus courantes du sujet. Voici donc un extrait de ces quatre questions clés.

• En quoi les technologies en réseau seraient-elles de nature différente de celle des précédents outils mis en place dans les entreprises?
• Quelle est la part de la vie privée et des libertés individuelles garanties aux salariés qui sont liés à l’employeur par un contrat de travail qui est d’abord lien de subordination?
• Quel usage à des fins privées d’outils mis à la disposition des salariés par leur employeur est-il admis?
• Y a-t-il des limites au contrôle et à la surveillance que les employeurs peuvent exercer sur les salariés?

Suivant ces consultations et trouvailles, il fût décidé que les conclusions sortantes de cette étude soient appliquées autant aux entreprises ne respectant pas ces lignes directrices, mais également aux administrateurs de ces mêmes organisations.

Les trouvailles des différentes recherches effectuées par le CNIL sont vastes, toutefois il est possible de survoler celles-ci, en voici quelques extraits :

« Le salarié a droit, même au temps et au lieu de travail, au respect de sa vie privée ; celle-ci implique en particulier le secret de ses correspondances ; l’employeur ne peut dès lors, sans violation de cette liberté fondamentale, prendre connaissance des messages personnels émis par le salarié ou reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur. »

« Qu’il s’agisse d’assurer le bon fonctionnement du service informatique, la sécurité numérique de l’entreprise ou le confort de l’usager, ces « traces » sont intrinsèquement liées à la mise à disposition d’une telle technologie. Aussi n’est-ce pas leur existence, mais leur traitement à des fins autres que techniques qui doit être proportionné au but recherché. »

« Aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ou du candidat à l’emploi. »

« […] Il résulte clairement de ces textes qu’une information individuelle des salariés ou agents publics ne saurait dispenser les responsables concernés de l’étape de la discussion collective, institutionnellement organisée, avec les représentants élus du personnel. »

Les quelques extraits ci-dessus représentent les grandes trouvailles des différentes recherches du CNIL durant les dernières décennies. Riche de cette information, il est donc important de faire ressortir des fausses idées toujours véhiculées par des employés et employeurs mal informés sur le sujet. La prochaine section fait état des deux grandes perceptions véhiculées dans le domaine de la vie privée.

Les perceptions
Les fausses idées suivantes sont directement citées du document de la CNIL. Celles-ci doivent faire partie des présentations et documents de sensibilisation des employés et gestionnaires des organisations.

Première idée
« L’ordinateur personnel mis à la disposition des utilisateurs
sur leur lieu de travail serait, en tant que tel, protégé
par la loi “Informatique & libertés” et relèverait de la vie privée du salarié. »

Réponse de la CNIL : Il n’en est rien. Un ordinateur mis à la disposition d’un salarié ou d’un agent public dans le cadre de la relation de travail est la propriété de l’entreprise ou de l’administration et ne peut comporter que subsidiairement des informations relevant de l’intimité de la vie privée.

Deuxième idée
« Une information préalable du personnel suffirait »

Réponse de la CNIL : Une telle manière de procéder n’est pas suffisante dès lors que les finalités seraient mal définies ou mal comprises. De nombreuses entreprises imaginent qu’une information préalable des salariés suffirait à se prémunir de tout problème et à autoriser l’emploi de tous les modes de surveillance et de contrôle. Elle peut nourrir, à tort, le sentiment des utilisateurs qu’ils se trouveraient sous un contrôle constant de l’organisation alors que les mesures prises, dans bien des cas, se bornent à assurer la sécurité du système ou celles des applications et non pas un contrôle individuel ou nominatif de leur activité.

Équilibre dans la mise en œuvre
Pour répondre aux besoins les plus communs, le CNIL a également confirmé les approches en lien avec les services retrouvés dans la vaste majorité des organisations. Des services tels que l’accès et l’utilisation d’Internet et la messagerie électronique (courriel) sont clairement documentés et le lien avec la vie privée, confirmé. Voir ces services et les enjeux ci-dessous :

Contrôle d’internet
Certainement un des sujets les plus chauds depuis quelque temps, l’usage personnel d’Internet de façon raisonnable et avec un minimum d’impacte est généralement permis par la majeure partie des entreprises. Plus précisément, il n’existe aucune loi ou règlement qui empêche un utilisateur de faire ceci ou d’un employeur d’éliminer cette utilisation en totalité.

Il est donc important de considéré que nuls n’a par défaut raison, d’une extrémité à l’autre (pour ou contre cette utilisation). Toutefois, trouver le juste équilibre entre une utilisation appropriée et l’implantation de contrôles pour en minimiser les impacts est nécessaire.

Une des grandes questions dans ce type de service est lorsque l’employeur désire faire la vérification individuelle (un utilisateur en particulier). En cas de besoins spécifiques ou lors d’une vérification, il est capital de que les parties concernées trouvent un terrain d’entente. Pour ce, autant l’administration de l’organisation et le représentant du côté des employés doivent déterminer les enjeux, besoins et le but de la vérification en question.

Tel que décrit par le CNIL : « Lorsque l’entreprise ou l’administration met en place un dispositif de contrôle individuel destiné à produire, poste par poste, un relevé des durées de connexion ou des sites visités, le traitement automatisé d’informations nominatives ainsi mis en œuvre doit être déclaré à la CNIL. »

Contrôle de la messagerie
Tel que l’accès à Internet, les mêmes règles touchent l’utilisation de la messagerie. Si possible, il est idéal que le message considéré comme étant personnel soit identifié dans le sujet ou à même le corps.
Le CNIL indique précisément : « Il a ainsi été jugé que constitue une violation du secret des correspondances privées la lecture par l’employeur d’un message qui, bien que ne comportant pas expressément dans son objet la mention « personnel », est classé automatiquement dans un dossier qualifié de « personnel » et fait référence dans son objet aux vacances, avec une formulation et une orthographe familière. Avant d’accéder à un courriel, l’employeur doit donc vérifier que l’objet du message ne lui confère pas un caractère manifestement personnel. »

Comme les messages peuvent être autant, enregistrer par l’émetteur que par le récepteur, il est important de considérer qu’outre les contrôles de sécurité, des traces seront disponibles dans plusieurs actifs technologiques. Sur ce, la sensibilisation des utilisateurs sur les réceptions et les envoies doit minimalement confirmer les contrôles plus spécifiques, mais ne peut toutefois pas garantir les sources externes (ex. : serveur qui effectue la réception d’un message personnel).

Rôle des administrateurs
Pour mieux gérer les environnements ainsi que le niveau de qualité des services de l’organisation, les groupes techniques effectuent l’implantation de différents outils. Il est donc possible que ces outils effectuent de façon non ciblée, l’accumulation de données potentiellement personnelles et ceci devraient être considérés dès la phase de conception des solutions.

De plus, pour non seulement mieux supporter les environnements, les tâches, les responsabilités, les limites ainsi que les rôles des administrateurs de ces mêmes solutions sont clairement définis et documentés systématiquement et officiellement, à même leur contrat de travail. Celles-ci doivent également tenir compte des responsabilités reliées aux tâches professionnelles, dont l’accès possible à de l’information privée et l’importance de la confidentialité de ces informations et les impacts reliés à leurs échanges avec d’autres personnes, internes ou externes.

Les fichiers de journalisation
Similaires aux rôles administrateurs et tel que confirmé par le CNIL : « les fichiers de journalisation des connexions destinées à identifier et enregistrer toutes les connexions ou tentatives de connexion à un système automatisé d’informations constituent une mesure de sécurité, généralement préconisée par la CNIL dans le souci que soient assurées la sécurité et la confidentialité des données à caractère personnel, lesquelles ne doivent pas être accessibles à des tiers non autorisés ni utilisés à des fins étrangères à celles qui justifient leur traitement. Ils n’ont pas pour vocation première le contrôle des utilisateurs.

De façon normale, ces solutions n’ont pas à spécifiquement entérinées par la direction, à moins que celles-ci soient utilisées pour d’autres besoins. Surtout si ces besoins sont en lien avec une vérification des données d’un utilisateur en particulier. Peut importe la solution, il est hautement recommandé de confirmer l’utilisation de ces outils et les rôles que les données qui y seront recueillies.

Finalement
Pour améliorer l’échange, la compréhension et la sécurisation des données privée dans un environnement professionnel, je recommande (tout comme le CNIL) de suivre – minimalement – les étapes suivantes:

• Réaliser la réalisation d’un bilan annuel
• Confirmer la désignation d’un responsable officiel à la protection des données
• Effectuer le renforcement de la formation des employeurs et des employés

Outre ces efforts considérés comme la base de la sécurité et de la saine gestion d’un environnement technologique, je vous recommande de faire affaires avec un contentieux ou minimalement avec des joueurs reconnus dans le domaine de la vie privée. Les conseils apportés par des spécialistes similaires en amont des différents projets de votre organisation vont apporter une valeur certaine par leur grande utilité et leur profondeur dans la matière.

Finalement, le domaine la vie privée est vaste et gris intrinsèquement, sur ce, il est nécessaire de se remettre en considération sur une base régulière et définie. Cette remise en question doit considérer différents joueurs dans le monde des affaires, du technicien jusqu’au président de l’organisation. Ce mélange de niveaux, de compétences et d’intérêts vous permettra de sainement gérer la situation et minimiser les risques à un niveau acceptable.

Leave a Reply

%d bloggers like this: