La cyber-surveillance des salariés Exposé Système La cyber-surveillance des salariés Préciser que je ne cible que les aspects informatiques de la cyber-surveillance 03/10/2002

Introduction Pourquoi ce sujet ? Rappel : le problème de surveillance n’est pas nouveau (téléphone et vidéosurveillance) - Parler de la charte que j’ai signé à la Sagem et poser les questions qui vont bien 03/10/2002

Problématique : remise en cause d’un point d’équilibre sensible entre Introduction Problématique : remise en cause d’un point d’équilibre sensible entre Vie privée du salarié dans l’entreprise Liberté de l’Homme aspect de subordination induit par le contrat de travail 03/10/2002

Les nouvelles technologies n’ont fait qu’amplifier le problème : Introduction Les nouvelles technologies n’ont fait qu’amplifier le problème : Numérisation de toutes les données. Persistance dans le temps des données Les données sont « nominatives » Numériser car besoin de sécurité de l’entreprise ( ex du boursier et de ses transactions --> IL VAUT MIEUX GARDER UNE TRACE DE LA TRANSACTION !!) Persistance car on peut avoir besoin ultérieurement d’utiliser ces données Nominative  avec le n° IP de la machine ou les (Login, Passwd) 03/10/2002

Les « traces » dans l’environnement informatique Sommaire Les « traces » dans l’environnement informatique Un exemple de logiciel « SuperScout » La loi et les devoirs Des exemples de jugement 03/10/2002

Les « traces » dans l’environnement informatique Pourquoi le traçage ? Mémoriser toutes les actions menées Mémoriser les décisions prises, les contrats ou les accords Apporter le cas échéant des preuves DEMARCHE QUALITE - Citer les exemples d’un contrôleur aérien ou de transactions bancaires 03/10/2002 Les « traces » dans l’environnement informatique

Les traces sur le PC du salarié Le disque dur A travers les logiciels : Outils de workflow Tous logiciels générant des « logs » sur le disque dur Les cookies, applets La mémoire cache (Temporary Internet Files) Workflow -> outils de gestion du salarié et qui témoigne de son activité (analogie à la CB) Logiciels  ex de la SNCF et du logiciel SOCRATE ( pas de trace de réservation donc absentéisme de l’employé) Disque dur : cité que par simple modification de date de fichiers, on peut en déduire un certains nombres de renseignements 03/10/2002 Les « traces » dans l’environnement informatique

Les traces sur un réseau Le serveur de mail Le serveur Proxy Le Firewall Les logiciels dédiés à la « surveillance » du Réseau : LanSpy, SuperScout,SurfControl Les logiciels de télémaintenance : VNC Proxy,Firewall : authentification des personnes connectées, protège contre les propagations des virus ( contenu dans les applets java ou control ActiveX) Filtrage des Url par une blacklist Dans le cas ou les services Internet sont fournis par un prestataire, des accords commerciaux peuvent être passé pour récupérer certaines informations - possibilité de mémoriser les URL des sites demandés soit avec une adresse IP, soit par une authentification ( Login,Passwd) - Pour les logiciels dédiés, nous allons en étudier un exemple : SuperScout 03/10/2002 Les « traces » dans l’environnement informatique

SuperScout : Snifer de mail Présentation commerciale du logiciel : Organizations are exposed to risk each time an employee sends or receives an e-mail. Those risks can include Viruses in e-mail attachments Productivity and bandwidth losses from spam Leakage of confidential information Law suits in response to offensive content Protect your company from junk e-mails such as chain letters, jokes, image files and screen savers that can clog your network and decrease your employee productivity Se dégage des raisons valable d’utilisation des logiciels Pour la suivante, on peut plus qu’émettre un doute sur la finalité recherché (souligné la mot finalité) 03/10/2002 Un exemple de logiciel « SuperScout »

SuperScout : fonctionnement Contrôle le contenu de tous les mails Dictionnaire réparti en 15 rubriques Possibilité de rajouter des mots dans chaque rubrique Filtrage par type de pièce jointe ou même par nom de pièce jointe Mise à jour « en ligne » des dictionnaires Rapport en temps réel des filtrages Facilité d’installation 03/10/2002

SuperScout : screenshots Les rubriques : 03/10/2002 Un exemple de logiciel « SuperScout »

SuperScout : screenshots Les rapports gérés par SGDB ou via console administrateur - Préciser que la console est administrable à distance ainsi que l’obtention des résultats et graphiques 03/10/2002 Un exemple de logiciel « SuperScout »

Droits fondamentaux « Chacun a droit au respect de sa vie privée » « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées » « L’informatique ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles » - Expliquer tout d’abord le vide juridique qui existe (manque de lois) donc les juges font de la jurisprudence 03/10/2002 La loi et les devoirs

La communication ( dont l’Email) Loi interdisant l’écoute la communication privée : Loi 314 bis du code pénal Interdiction d’écouter une communication privée ( Attention au mailing list et chat ) « lors de la transmission » - Attention au mot : 03/10/2002

Les trois principes La protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électronique en réseau repose sur trois principes : Finalité Proportionnalité Transparence - Expliquer tout d’abord le vide juridique qui existe (manque de lois). La jurisprudence repose sur des principes, quelques droits fondamentaux et des règles du code du travail. Détails de tous ces aspects. 03/10/2002 La loi et les devoirs

La finalité L’entreprise se doit d’être clair sur le but à atteindre lorsqu’elle pratique le contrôle des communications comportements contraires aux bonnes mœurs protection des intérêts économiques sécurité des systèmes informatiques respect, de bonne foi, du règlement de l’entreprise sur l’utilisation du réseau informatique 03/10/2002 La loi et les devoirs

La proportionnalité ( L120-2 du CD) Le principe de proportionnalité implique que le contrôle doit revêtir, dans toutes les hypothèses, un caractère adéquat, pertinent et non excessif au regard des finalités poursuivies. Ex : ne pas utiliser SuperScout pour surveiller la charge du réseau !! 03/10/2002 La loi et les devoirs

L’employeur installant un système de contrôle doit : La transparence L’employeur installant un système de contrôle doit : Ecrire un document (charte) en collaboration avec le CE ( L432-2 du code du travail ) ou délégué du personnel Avertir ses salariés du contrôle et des sanctions ( L121-8 du code du travail ) Ne peut en aucun cas faire un contrôle d’une personne sans déclaration préalable auprès de la CNIL ( loi du 6 janvier 1978) - Répond sur le fait que les chartes ont toutes leur valeur, mais que ces chartes doivent être faites en collaboration avec le CE ou un conseil 03/10/2002 La loi et les devoirs

Devoir de l’administrateur Aucune exploitation détournée des informations autres que celles liées au bon fonctionnement du réseau Aucune initiative de collectes d’informations, même sur ordre hiérarchique Couverts par le secret des correspondances 03/10/2002 La loi et les devoirs

Des exemples Des exemples Conclusion : Tout contrôle a l’insu d’une personne sera non recevable Si vous signez une charte, vous cédez vos droits. 03/10/2002 La loi et les devoirs

Bibliographie http://www.cnil.fr http://www.droit-technologie.org http://www.surfcontrol.com www.legifrance.gouv.fr 03/10/2002