Avertir le modérateur

20/07/2007

Cybersurveillance au travail (1ère partie)

Décidé à changer d’existence, Paul L. se présente à un recrutement de commerciaux pour une multinationale. Dès ses premiers pas dans l’entreprise de ses rêves, le logiciel de biométrie Kiétu a déterminé son profil psychologique. A partir du contour de son visage ou de ses expressions corporelles, mais aussi de l’analyse de sa voix  réussie à travers un simple “ Bonjour ! ” et de la lecture de son génome grâce à l’ADN prélevée dans un postillon échappé sur la vitre d’entrée. Comme Kiétu met tous ces détails en relation avec les consultations personnelles de sites de Paul, collectées dans le fichier de clients lors de la faillite de son fournisseur d’accès, la réponse est instantanée : Paul ne possède pas les atouts d’un vendeur. Et sans plus de preuves scientifiques que pour la graphologie, Paul L. sera remercié avant même le moindre entretien.

Bas les traces, vous êtes fait !

Pure fiction, l’aventure de Paul ? Sans doute, car la réglementation en vigueur protège remarquablement le salarié. “ La cybersurveillance au travail ne résulte pas tant d’une volonté délibérée de constituer des fichiers ”, déclare Ariane Mole, avocate au cabinet Bensoussan, “ mais d’un inéluctable traçage informatique, identique à celui opéré avec les cartes bancaires et dont pourtant l’ensemble de la population se soucie moins. ” Ou de la possible localisation de chacun au mètre près avec son téléphone portable. “ Quelqu’un peut savoir sur vous ce que vous ne savez pas qu’il sait et qu’il vous opposera lorsque vous serez vulnérable. A l’époque des gros systèmes informatiques, il fallait décider de “ ficher ” quelqu’un. Aujourd’hui, chacun se fiche lui-même ” précise Hubert Bouchet, vice-président délégué à la Commission Nationale Informatique et Libertés. En effet, si la technique informatique se nourrit depuis toujours de traces pour mettre au point des programmes ou réparer des problèmes, les salariés abandonnent aujourd’hui l’intégralité de leur emploi du temps sur leurs machines… au moins à quatre endroits : leur micro-ordinateur, le serveur de leur département, le serveur de leur entreprise et le fournisseur d’accès à Internet. “ A chaque niveau, de l’analyse du flux de données à la lecture sémantique d’un e-mail, en passant par le décodage “ langage machine ”, ces empreintes numériques sont exploitées par différents outils. ”, rappelle Jean-Paul Macker, chargé de mission auprès de la Direction de l’Expertise Informatique et des Contrôles de la CNIL. Outils standards ou aisément développés par l’équipe informatique de l’entreprise. “ L’informatique n’a rien de virtuel, elle est écrite sur les disques durs ! Même l’effacement “ physique ” d’un disque dur n’est pas toujours suffisant, il faut quelquefois l’effacer au moins sept fois pour en empêcher la lecture au niveau magnétique par rémanence de l’information physique. ” Comme les internautes n’exploitent pas pleinement les divers outils destinés à protéger leur anonymat, chacun laisse sur Internet plus de traces que sur n’importe quel autre vecteur de son existence, comme la consultation de la radio. Pourtant, “ il existe dans l’opinion publique une non-perception absolue de ces multiples traces laissées. On l’a notamment constaté lors du débat sur les cookies, où il est apparu que peu de gens refusent le dépôt de ces espions sur leur micro-ordinateur. ” souligne Alain Weber, avocat et membre de la Ligue des Droits de l’Homme, avant d’ajouter : “ Il existe une telle facilitation de la vie sur Internet au regard d’une contrepartie jugée infime – l’abandon d’informations personnelles - que le grand public ne songe pas à défendre ses propres trésors de confidentialité. Pis, certains professionnels agissent de même. Des décisions de justice comme des données de la Carte Vitale transitent par Internet sans être cryptées. ” Sans paranoïa, ni naïveté, il ne faut pas être dupe de l’exploitation possible de ces entrepôts gigantesques d’informations personnelles. L’un des amendements de la loi “ sécurité quotidienne ” adoptée le 31 octobre dernier impose la conservation des données techniques durant un an par les fournisseurs d'accès à Internet. “ Certes, il ne concerne pas directement le contenu d'un e-mail, ni le contenu d'un site visité. ”, explique Meryem Marzouki, présidente de l'IRIS (Imaginons un Réseau Internet Solidaire). “ En revanche, on peut savoir qui écrit des e-mails à qui, ce qui porte déjà atteinte au secret professionnel dû par les médecins ou les avocats. D'autre part, on peut déterminer le contenu d'un site visité par vérification a posteriori avec l'adresse URL. Les usages d'une personne sur Internet sont signifiants de ses centres d'intérêt et des composantes de son intimité. ” Si une personne consulte régulièrement des sites contenant des informations sur le Sida, cette information peut intéresser à mauvais escient une compagnie d'assurances ou son propre employeur. Attention également à l’interprétation des données enregistrées : “ On ne peut être suspecté d'actes répréhensibles si l'on s'intéresse à un sujet répréhensible. ”, reprend Meryem Marzouki. “ On peut consulter des sites négationnistes sans adhérer à leurs thèses, mais simplement pour se renseigner sur comment en arrive-t-on à faire l'apologie de la haine raciale. C'est l'exhibition des thèses extrémistes qui est interdite par la loi. ” Dans l’ancien modèle de surveillance en entreprise, le contremaître qui remarquait une maladresse ou une sottise chez un ouvrier disposait d’une marge d’appréciation pour le mettre en garde contre ses erreurs. “ Le risque des nouvelles technologies est de supprimer le dialogue entre employés et patron. Voire de permettre une lente désincarnation des relations entre les hommes. ”, met en évidence Hubert Bouchet. “ Le salarié agit sous le regard d’un œilleton virtuel, toujours en éveil et qui moissonne à l’aveugle. Il faut défendre le droit à l’opacité et à la protection de son intimité. Comme les plantes et les animaux ont          besoin à la fois du jour et de la nuit pour s’épanouir, chacun doit pouvoir bénéficier en alternance de l’ombre et de la lumière. Or, ces nouvelles techniques mettent l’être humain en permanence à la lumière. ” Bref, comme le résume Alain Weber : “ Défendre son droit à l’anonymat doit devenir un réflexe de citoyen. ”

Les trois devoirs de l’employeur

Techniquement, un administrateur de réseau informatique peut connaître vérifier les connexions ou le temps d’activité sur son micro-ordinateur d’un salarié à son insu. Voire même le nombre de touches de clavier frappées en une journée. Mais les employés doivent être informés des dispositifs susceptibles de les surveiller, même s’ils ne sont pas mis en place à des fins de contrôle. “ En matière de cybersurveillance, il existe un encadrement juridique très strict pour l’employeur. A tel point que la CNIL ne demande pas plus de législation ou d’obligations pour les chefs d’entreprise dans ce domaine, mais appelle à la négociation.  ”, développe Ariane Mole. “ Conformément à la loi Informatique et Libertés du 6 janvier 1978 et au Code du Travail, aucun enregistrement sur le lieu de travail ne peut être effectué à l’insu d’un salarié. Un employeur est en ce sens soumis à trois obligations. Premièrement, il est obligé de déclarer préalablement à la CNIL tous les outils ainsi que les modalités d’une cybersurveillance. Le dossier a déposé à la CNIL constitue la marge de manœuvre de l’entreprise. Si bien que l’employeur est passible d’une sanction pénale s’il a utilisé des outils pour effectuer un contrôle de ses salariés sans les avoir préalablement déclarés à cette fin. Deuxièmement, il est obligé de consulter le Comité d’Entreprise à propos de cette cybersurveillance. Attention, consulter le Comité d’Entreprise ne le dispense pas de sa troisième obligation : l’information aux salariés. Toute sanction prise à l’égard d’un salarié - de l’avertissement au licenciement - sur le fondement d’un enregistrement si l’une de ces trois conditions n’a pas été respectée conduit à son annulation par les tribunaux, car la preuve est illégitime. J’insiste, auprès des employeurs sur le fait qu’ils sont tenus par la loi Informatique et Libertés, d’informer tout salarié sur son droit d’accès aux données recueillies sur sa personne. ” Ce droit d’accès et de rectification aux informations personnelles n’est d’ailleurs pas propre au monde du travail. Il appartient également à tout citoyen ou consommateur vis à vis de toute entreprise ou administration. “ De plus, il faut respecter le droit à l’oubli, principe selon lequel les données ne doivent pas être conservées en informatique ad vitam eternam ”, conclut Ariane Mole.

Tout salarié n’est pas pour autant autorisé à flâner sur Internet. Ou encore à recevoir des e-mails en toute impunité, comme on l’a parfois conclu de l’arrêt Nikon du 2 octobre 2001, qui a étendu le secret des correspondances aux courriers électronique. “ L’arrêt Nikon ne concernait pas directement la messagerie électronique, mais un fichier étiqueté comme “ personnel ” par le salarié et contenant des correspondances personnelles. Cet arrêt n’indique pas qu’un employeur n’a pas le droit d’interdire des e-mails personnels, ou que l’employeur ne peut pas contrôler la productivité et la qualité du travail et sanctionner les abus. ” rappelle Ariane Mole. “ Par exemple, on peut sanctionner un salarié qui, durant ses heures de travail, envoie et réceptionne des e-mails perso au lieu de se consacrer à l'activité professionnelle pour laquelle il est payé. ”, confirme Olivier Teulières, responsable de www.mondedutravail.com, site consacrée à l'information juridique du monde du travail. La bonne marche de l'entreprise peut être perturbée d’autres façons significatives. “ L’objectif d’une entreprise demeure de protéger son savoir-faire. Internet innove au niveau de la rapidité et de la plus grande facilité à cacher les actes commis. D’où la nécessité de contrôler les mouvements dans une entreprise. ”, mentionne Maître Jean-Paul Ravalec, avocat depuis 35 ans et fondateur du site www.avocats-conseil.com. “ Internet est à la fois un outil de travail et de divertissement. Et un outil discret. Qui permet, par exemple, de chatter avec ses amis sans en avoir l’air. L’équilibre entre patron et employés ne sera pas simple à trouver, compte tenu de la souplesse d’utilisation d’Internet. Mais ce n’est pas parce que le média a changé que l’éducation doit disparaître. ”, argumente Laurent Krivine, ancien rédacteur en chef de TF1 passé à la direction d’entreprises, dont le guide en ligne touristique www.totunisia.com. “ Il faut distinguer deux surveillances : la surveillance de l’activité, destinée à éviter le “ vol du temps ”, et la surveillance du contenu des messages ou des échanges des salariés. ”, explique Yves Lasfargue, fondateur de l’Observatoire des conditions de travail et de l’ergostressie. “ Parfois dans certains secteurs, cette surveillance des communications existent avec des systèmes de caméra ou de magnétophone dans un but de sécurité (agence bancaire), de suivi des contrats (agences de bourse) ou d’apprentissage - formation afin d’améliorer le contact avec la clientèle (centres d’appels téléphoniques). ” Toute restriction aux libertés individuelles et collectives doit cependant être justifiée. “ Les commissaires de la CNIL statuent en fonction du besoin de sécurité nécessaire à l’intérieur d’une entreprise, les notions de “ pertinence ” et de proportionnalité associées à celle de la “ finalité ” étant au cœur de la Loi Informatique et Liberté . Un collège de Nice a par exemple voulu mettre en œuvre un accès à la cantine par reconnaissance des empreintes digitales. Dans ce cas, la demande était disproportionnée par rapport aux besoins ! ” La méthode de cybersurveillance la plus commode et efficace en entreprise demeure l’utilisation de logiciels de recherche de mots-clés dans les messages électroniques (cf. encadré 1). Gare aux bla-bla de comptoirs qui se figent dans le marbre numérique. “ Avec Internet, les gens écrivent des choses qu’ils n’auraient vraisemblablement pas écrit en d’autres circonstances, en raison de la familiarité avec la correspondance électronique. ”, dit Ariane Mole. “ Dans les débats actuels, on focalise sur la surveillance du contenu des données alors que le véritable enjeu se situe autour du flux de données et des informations fournies par l’analyse de ces flux de données telle le volume ou les adresses des destinataires et des émetteurs. ” reprend Yves Lasfargue. “ Par exemple, France Télécom a signé un accord permettant aux organisations syndicales de l’entreprise de publier des sites distincts regroupés sur un intranet syndical unique. Mais l’entreprise, comme pour tous les autres sites Intranet techniques ou commerciaux, affiche le nombre d’accès à cet Intranet syndical : 5000 connexions par mois  pour 120 000 salariés. De quoi permettre à chacun de mesurer le pouvoir d’attraction des syndicats au sein de l’entreprise… Alors que personne ne se serait amuser à compter les personnes qui s’arrêtent devant le tableau réservé aux syndicats. ”

(à suivre...) 

----------------------

Cette enquête a été réalisée il y a 6 ans. Il s'agit là de la version originale et intégrale.

Les commentaires sont fermés.

 
Toute l'info avec 20minutes.fr, l'actualité en temps réel Toute l'info avec 20minutes.fr : l'actualité en temps réel | tout le sport : analyses, résultats et matchs en direct
high-tech | arts & stars : toute l'actu people | l'actu en images | La une des lecteurs : votre blog fait l'actu