Mises en demeure

Un administrateur réseau a-t-il le droit de communiquer à son employeur la liste des identifiants/mots de passe de ses employés ?

NON. Même si les fichiers contenus dans un ordinateur ont un caractère professionnel, et peuvent à ce titre être consultés par l'employeur, un administrateur réseau ne doit pas communiquer de manière systématique l’ensemble des identifiants et des mots de passe des salariés de l’entreprise. Les mots de passes sont personnels et permettent de savoir ce qu’un utilisateur donné à pu faire sur le réseau de l’entreprise. Le fait d'utiliser le mot de passe de quelqu'un d'autre peut être préjudiciable au salarié.

Toutefois, les tribunaux considèrent que la communication du mot de passe d’un salarié à son employeur est possible dans certains cas particuliers.

Dans quels cas particuliers un employeur peut-il obtenir le mot de passe d'un salarié ?

L’employeur peut avoir connaissance du mot de passe d'un salarié absent, si ce dernier détient sur son poste informatique des informations nécessaires à la poursuite de l’activité de l’entreprise et qu’il ne peut accéder à ces informations par d’autres moyens. .

L’employeur peut-il consulter l'intégralité du contenu d'un poste de travail?

Les tribunaux considèrent que tout fichier créé, envoyé ou reçu depuis le poste de travail mis à disposition par l’employeur a, par principe, un caractère professionnel. Dans ce cas, l’employeur peut le consulter. Toutefois, si le fichier est identifié comme étant personnel, par exemple, si le répertoire dans lequel il est rangé ou le nom du fichier précise clairement qu’il s’agit d’un message privé ou personnel, l’employeur ne doit pas en prendre connaissance.

L’employeur peut-il accéder aux fichiers qualifiés de « personnels » ?

Oui, à condition de le faire en présence du salarié ou après l’avoir invité à être présent, ou en cas de risque particulier pour l’entreprise.

Afin de respecter la vie privée des salariés qui peuvent être amenés à faire un usage privé des outils informatiques de l'entreprise, l’employeur doit fixer les conditions d'accès au poste de travail des salariés en cas d’absence.

Comment mettre en place des règles ?

Elles peuvent par exemple figurer dans une charte informatique propre à l’entreprise.

Cette charte doit être connue de tous les salariés. Ils seront ainsi informés des modalités d'accès de leur poste informatique pendant leur absence.

La règle du jeu fixée à l’avance, en toute transparence, permet notamment d'éviter les risques de litige ultérieurs.

Que faire en cas de désaccord ?

Le principe reste la concertation entre le salarié et son employeur. Toutefois, si la relation de confiance est entamée, tout litige pourra être porté devant le juge qui appréciera si l’employeur a ou non commis une atteinte à la vie privée du salarié.

• Avis sur un projet de décret modifiant le décret du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel mis en œuvre par la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (HADOPI). *
• Autorisation pour la création, à titre expérimental, par le Conseil général du Loiret d’une « Feuille de parcours en protection de l’enfance»
• Avis sur un projet d’acte réglementaire relatif aux nouveaux services offerts par la Caisse Nationale d’Assurance Vieillesse sur le portail intranet EOPPS (Espace des Organismes Partenaires de la Protection Sociale). *
• Communication sur le projet d’avis du G29 relatif aux études d’impact sur la vie privée dans le domaine des RFID (Radio Frequency Identification). 
• Avis sur un projet de décret en Conseil d’Etat relatif à la toxicovigilance et sur un projet d’arrêté relatif aux modalités de déclaration des cas d’intoxication. *
• Autorisation pour la mise en œuvre de la seconde partie de l’enquête sur la santé et la protection sociale (ESPS – 2010) par l’institut de recherche et documentation en économie de la santé, l’IRDES.
• Deux avis sur un projet de décret du ministère de l’intérieur modifiant le décret du 28 mai 2010. Le premier avis est relatif au fichier des personnes recherchées (FPR) et le second porte sur un arrêté relatif au fichier des véhicules volés (FVV). *
• Avis sur un projet de décret relatif à la création d’un passeport diplomatique biométrique par le ministère des affaires étrangères et européennes. *

Deux membres de la Chambre des représentants, M.M. Rick Boucher (Démocrate, Virginie) et Cliff Stearns (Républicain, Floride), ont publié au mois de mai un projet de proposition de loi sur la protection des données personnelles. Celui-ci vise à améliorer la protection des données des consommateurs, notamment en raison de la croissance de la publicité comportementale sur internet.

Ce texte souhaite accroître la confiance des internautes en obligeant les professionnels à informer les utilisateurs des conditions d'utilisation de leurs données. Concernant la collecte de données, le projet de proposition de loi prévoit d'appliquer le principe de recueil du consentement préalable des personnes dit opt-in seulement pour la collecte des données les plus sensibles, telles que les données relatives à l'origine raciale, aux orientations sexuelles, à la géolocalisation précise d'une personne, aux données médicales ou bien encore financières. Le texte met également en place de nouvelles obligations en matière de transparence (politique de confidentialité plus compréhensible) et de sécurité.

Ce projet a fait l'objet d'une consultation auprès des diverses parties intéressées. Sur la base des commentaires reçus, une proposition de loi devrait être rédigée. Il semble d'ores et déjà que le point clé lors de l'engagement des discussions sur la proposition de loi portera sur le recueil du consentement préalable des personnes dit opt-in et l'exercice de l'option de refus dit opt-out. Les représentants de la société civile préfèrent l'opt-in tandis que les représentants de l'industrie publicitaire préfèrent l'opt-out.

En l'absence de loi générale de protection des données au niveau fédéral, l'introduction d'une telle proposition de loi devant la Chambre des représentants serait un premier pas important en la matière. Toutefois, il semble que les chances pour que cette proposition de loi aboutisse restent minces. En effet, outre la pression des professionnels hostiles au projet, les données collectées sur les sites commerciaux sont également utilisées par le gouvernement dans une optique de lutte contre le terrorisme en application de la loi de 2001, le Patriot Act. Depuis, le Congrès américain a été défavorable à l'adoption d'une législation limitant les données pouvant être utilisées dans le cadre d'enquêtes menées par les autorités publiques.

Pour autant, ce projet de proposition de loi sur la vie privée a d'ores et déjà suscité une réaction de la part de l'industrie publicitaire qui vient d'annoncer la mise en place prochaine d'un système d'auto-réglementation plus strict pour les sites internet qui tracent le comportement des utilisateurs.

La proposition de loi devrait être présentée à la Chambre des représentants en septembre et faire l'objet d'auditions organisées par la Commission sur le commerce et l'énergie.

La Commission a réalisé courant juin 2010, deux contrôles dans des établissements d'hébergement pour personnes âgées dépendantes (EHPAD) mettant en œuvre des traitements d'appels activables par les résidents. Toute personne placée, sans exception, se voit attribuer un bracelet-montre électronique comprenant un bouton poussoir d'appel. Ce système permet alors à chaque résident d'appeler à tout moment un personnel aide soignant ou infirmier, détenteur d'un récepteur de signal précisant le nom de l'appelant. Dans un des établissements, le dispositif présente aussi une finalité « anti-fugue ». Dans ce cas, il est réservé, exclusivement sur prescription médicale, aux personnes désorientées mais non affectées dans l'espace fermé Alzheimer. A l'approche de secteurs prédéterminés, le bracelet-montre émet alors une alarme spécifique nécessitant l'intervention des personnels soignants.

L'outil de gestion du dispositif et d'enrôlement permet la traçabilité des appels émis par le résident et des « acquittements » effectués par le salarié par une historisation des horodatages. Par ailleurs, ce logiciel offre la possibilité de renseigner les actions effectuées par le salarié auprès du résident appelant. Les contrôleurs de la CNIL ont pu constater la présence en base active de fiches de personnes décédées, conservées sans délais depuis la mise en œuvre de l'outil.

Ces contrôles ont également mis en lumière des finalités nouvelles, à savoir la collecte de données relatives aux mouvements corporels de résidents - fonction monitoring – dans un but de déterminer les phases de repos ou d'agitation suspectes. Ces fonctionnalités permettent aussi la surveillance et le contrôle de l'activité du personnel soignant. En effet, le directeur d'un des établissements a recours à l'application tant pour vérifier les diligences des salariés à répondre aux sollicitations que pour obtenir des éléments de preuve lors de litiges ou contentieux avec un salarié, un résident et/ou son représentant. Une sanction disciplinaire a été prononcée à l'encontre d'un salarié ayant commis une faute grave révélée grâce à l'enregistrement des horodatages.

Ces contrôles ont permis de révéler des absences de formalités préalables. On constate également des défauts d'information sur les droits des personnes, tant à l'adresse des résidents et/ou de leur famille que des salariés et de leurs instances représentatives. Enfin, les accès aux postes informatiques recevant l'applicatif démontrent une sécurisation des données largement perfectible.

La CNIL, dans sa formation contentieuse, délibérera prochainement sur les suites à apporter à ces contrôles et veillera à ce que ces dispositifs de surveillance se développent en conformité à la loi informatique et libertés.

• Audition de M. Jean-Marie Delarue, Contrôleur général des lieux de privation de liberté.
• Communication sur la révision de la Directive européenne sur la protection des données à caractère personnel.
• Avis sur un projet d'arrêté autorisant la création, par le ministère de l'intérieur, d'un fichier des casinos et des exclus des salles de jeux. *

• Audition de M. Jean-François Beynel, directeur adjoint de l'administration pénitentiaire au sujet du cahier électronique de liaison.
• Avis sur un projet d'arrêté fixant les conditions de la levée de l'anonymat dans les consultations de dépistage anonyme et gratuit des infections sexuellement transmissibles ainsi que dans les centres d'informations, de dépistage et de diagnostic des mêmes infections. *
• Avis sur un projet de décret relatif à la transmission des données individuelles mentionnées à l'article L. 1413-4 du code de la santé publique à l'Institut de veille sanitaire et modifiant le code de la santé publique. *
• Deux autorisations accordées à l'Autorité de Régulation des Jeux en Ligne (ARJEL) pour la mise en place de deux traitements. Le premier est relatif aux personnes inscrites dans le fichier des jeux tenu par le ministère de l'intérieur.  Le deuxième concerne les condamnations pénales des propriétaires, dirigeants et mandataires sociaux des opérateurs de jeux en ligne.
• Communication relative au projet de réforme du code électoral concernant l'accès et la réutilisation des listes électorales.

L'incubateur national multimédia Belle-de-Mai et la CNIL ont signé le 28 avril 2010 une convention de partenariat. Ils souhaitent ainsi unir leurs efforts pour diffuser la culture  informatique et libertés  auprès des créateurs d'entreprises et des PME innovantes.

L'incubateur national multimédia Belle-de-Mai est apparu comme un partenaire naturel de la CNIL. En effet,  il accompagne et conseille les porteurs de projets innovants et les PME agissant dans le domaine des Technologies de l'Information et de la Communication (TIC).

Compte tenu de la place occupée par les traitements de données à caractère personnel dans le développement des TIC, la CNIL souhaite agir le plus en amont possible pour sensibiliser les acteurs de ce marché à la protection de la vie privée. Ce partenariat doit également permettre de donner aux entreprises et à leurs créateurs les outils qui leur permettront :

• de garantir la conformité de leurs projets à la loi  informatique et libertés  ;
• d'identifier les risques liés à la sécurité informatique et à la perte de données ;
• de valoriser le capital informationnel de leur société (la vente, la location et l'échange de fichiers constitués en infraction avec la loi  informatique et libertés  sont pénalement sanctionnés).

Les actions menées conjointement par l'incubateur national et la CNIL prendront la forme :

• de manifestations et de rencontres pour diffuser la culture  informatique et libertés  ;
• d'actions destinées à promouvoir la fonction de correspondant informatique et libertés (CIL) et à inciter les acteurs du secteur des TIC à désigner un CIL ;
• d'un suivi et d'un traitement personnalisé des demandes de conseils relatives à des technologies ou des projets innovants.

Peut-on être pisté lorsqu'on utilise un Smartphone ou certaines applications ?

Les Smartphones récents sont pratiquement tous équipés d'une puce GPS. Il est ainsi techniquement possible de pister un téléphone. Il existe par exemple des applications permettant de localiser très précisément son téléphone en cas de perte, celui-ci transmettant des e-mails avec ses coordonnées GPS. La localisation permise est très précise. Néanmoins ces applications doivent être installées et activées par les utilisateurs, ce qui réduit le risque d'une utilisation malveillante.

Quels sont les autres risques encourus lors de l'utilisation d'applications ou de services sur un Smartphone ?

Il existe un risque de vol d'informations personnelles (localisation, mails, contacts, pièces jointes, ..) si l'utilisateur installe des applications malveillantes qui accèdent aux données du téléphone. Ainsi en 2009 une entreprise suisse a vu l'une de ses applications retirées de l'Appstore Iphone : celle-ci transmettait les coordonnées téléphoniques des acheteurs de l'application qui étaient ensuite démarchés par téléphone.

Que faire pour se prémunir de ces risques ?

Le premier réflexe à avoir est de faire attention aux applications que l'on installe sur son téléphone ; il faut aussi lire en détail les conditions d'utilisation des applications qui doivent préciser les données collectées et leur utilisation. En cas d'utilisation dans un contexte professionnel, les administrateurs ont la possibilité de limiter l'installation des applications à celles autorisées par l'entreprise. Et surtout, tous les utilisateurs doivent garder à l'esprit qu'un téléphone portable peut facilement se perdre, et qu'il doit donc impérativement être protégé par un code de verrouillage, après une courte période d'inactivité. Le code PIN de la carte SIM ne suffit pas.

Que font les fabricants pour protéger les utilisateurs ?

Les fabricants de Smartphones s'engagent vis-à-vis des applications disponibles sur leurs systèmes car bien évidemment les contrats qui lient les développeurs d'applications et les fabricants encadrent les collectes de données personnelles. Apple par exemple analyse les applications avant diffusion sur l'Appstore et a la possibilité d'effacer les applications à distance en cas de besoin.

Quelle est la spécificité des Blackberrys, téléphones les plus répandus dans le monde professionnel, par rapport aux autres Smartphones ?

Les Blackberry sont très appréciés dans le monde de l'entreprise pour leur capacité à recevoir des mails en mode ‘push' : Ce mode de communication permet de recevoir des mails immédiatement après leur envoi, sans action manuelle. Ils permettent également la consultation de pièces jointes de façon efficace, car la plateforme Blackberry est capable de réduire la taille des documents afin de faciliter leur envoi sur le mobile. Pour cela, la plateforme Blackberry fait transiter les informations par le réseau de RIM, qui est le fabricant de ces téléphones. Cette façon de faire est spécifique à RIM. En effet, les autres fabricants de smartphones ne font pas transiter les informations par leur réseau propre.

Cela peut-il poser des problèmes de sécurité des communications sur Blackberrys ?

Les informations transmises depuis un BlackBerry transitent par les serveurs de RIM. Une polémique a éclaté en 2007 sur le fait que RIM pouvait potentiellement accéder aux informations et même les transmettre à la NSA, l'agence de renseignement américaine en charge des communications électroniques. RIM a mis fin à la polémique en fournissant des informations sur le fonctionnement de son système, et en apportant des garanties sur les mécanismes de chiffrement mis en place afin de garantir la confidentialité des informations.

A quel niveau intervient la CNIL sur cette problématique ?

Lorsqu'un service sur téléphone mobile est assuré par une entreprise située en France, celle-ci doit se conformer à la loi Informatique et Libertés et la CNIL peut notamment contrôler cette entreprise. Bien évidemment, cela ne dispense pas l'utilisateur d'être vigilant à l'égard des applications qu'il utilise.