Securité Courrier Et Internet

Prpos fdral la protection des donnes et la transparence (PFPDT)
Guide relatif la surveillance de lutilisation dinternet et du courrier lectronique au lieu de travail

A lintention des administrations publiques et de l'industrie prive
1
Le Prpos fdral la protection des donnes et la transparence
Editeur: Le Prpos fdral la protection des donnes et la transparence 3003 Bern
Table des matires

Introduction: la surveillance du surf et du courrier lectronique................5 1.
Les applications en rseau les plus importantes ................................... 6 Applications sans enregistrement de contenu ................................................. 6 Applications avec enregistrement de contenu ................................................. 6 Intrts concerns de lemployeur ............................................................ 8 Mesures techniques et organisationnelles de protection ................. 10 Traces laisses par le surf sur Internet ................................................... 14 Le rglement dutilisation dInternet et du courrier lectronique titre priv..................................................................................................... 18 Bases lgales de la surveillance ............................................................... 20 Principales conditions juridiques pour la surveillance du surf et du courrier lectronique ............................................................................. 22 Linformation pralable..................................................................................... 22 La constatation dun abus ................................................................................ 23 Surveillance du surf et du courrier lectronique au lieu de travail . 24 Surveillance exerce pour garantir la scurit et le bon fonctionnement du systme informatique de lentreprise ....................................................... 24 Surveillance exerce pour dautres motifs ..................................................... 25 Surveillance base sur lanalyse des chiers journaux .................................. 25 Surveillance base sur lanalyse des chiers journaux du surf ..................... 26
1.1 1.2 2. 3. 4. 5. 6. 7. 7.1 7.2 8. 8.1 8.2 8.3 8.4
3
8.4.1 Premire phase: surveillance non nominative ................................................ 26 8.4.2 Deuxime phase: surveillance nominative ..................................................... 27 8.5 Surveillance du courrier lectronique ............................................................. 28 8.5.1 Surveillance du courrier lectronique de nature prive ................................. 28 8.5.1.1Procdure suivre ........................................................................................... 30 8.5.2 Surveillance du courrier lectronique de nature professionnelle.................. 30 8.5.2.1Gestion du courrier lectronique dun collaborateur absent......................... 31 8.5.2.2Gestion du courrier lectronique dun collaborateur quittant lentreprise ... 31 8.5.3 Surveillance du courrier lectronique: cas particuliers .................................. 32 8.6 9. 10. 11. Cas du tltravail .............................................................................................. 32 Surveillance en cas de dlit ....................................................................... 33 Sanctions en cas dabus ............................................................................. 35 Prtentions de lemploy en cas de surveillance illicite .................... 37
Annexe A: Diagramme .................................................................................38 Annexe B: Surveillance: conditions et droulement ..................................39 B.1 B.2
Conditions de la surveillance ........................................................................... 39 Droulement de la surveillance ....................................................................... 40 Droulement de lanalyse ................................................................................ 41 lectronique au lieu de travail ......................................................... 42
B.3
Annexe C: Rglement type de surveillance du surf et du courrier C.1 But et champ dapplication .............................................................................. 42
C.1.1 But ..................................................................................................................... 42 C.1.2 Champ dapplication ........................................................................................ 42 C.2 Intrts et risques de lemployeur et de lemploy ........................................ 42 C.2.1 Intrts et risques de lemployeur................................................................... 42 C.2.2 Intrts et risques de lemploy ...................................................................... 43 C.3 Mesures de protection techniques et journalisations .................................... 43 C.3.1 Mesures de protection techniques ................................................................. 43 C.3.2 Journalisations .................................................................................................. 43 C.4 C.5 Rglement dutilisation..................................................................................... 44 Rglement de surveillance ............................................................................... 44
4
C.5.1 Priorit aux mesures de protection techniques ............................................. 44 C.5.2 Analyse des chiers journaux .......................................................................... 44 C.5.3 Surveillance exerce pour garantir la scurit et le bon fonctionnement du systme informatique ou sur la base dautres indices ............................. 45 C.5.4 Distinction entre messages privs et messages professionnels ................... 46 C.5.5 Surveillance du courrier lectronique de nature professionnelle.................. 46 C.5.6 Gestion du courrier lectronique dun collaborateur absent ......................... 47 C.5.7 Gestion du courrier lectronique dun collaborateur ayant quitt lentreprise ........................................................................................................ 47 C.5.8 Sanctions en cas dabus .................................................................................. 47 C.5.9 Prtentions de lemploy en cas de surveillance illicite................................. 48 C.5.10 Autres dispositions ........................................................................................... 48 Notes ........................................................................................................................... 50
Introduction: la surveillance du surf et du courrier lectronique

Lapparition des nouvelles technologies dans le monde du travail a permis aux entrePrpos fdral la protection des donnes et la transparence (PFPDT)
prises daugmenter leur productivit et la qualit, mais elle saccompagne pour elles deffets moins rjouissants: une utilisation indue ou excessive dInternet et du courrier lectronique pendant les heures de travail peut non seulement coter cher; mais aussi paralyser les transmissions de donnes, surcharger la capacit de stockage, voire mme conduire un blocage de stations de travail. De plus, la visite de sites Web illgaux peut entacher la rputation de lentreprise et entraner des consquences juridiques. Les mesures prises par lemployeur pour prvenir ce genre dabus ne sont souvent pas moins contestables. Le recours aux programmes espions (espiogiciels) et lanalyse nominative permanente des chiers journaux sont des intrusions interdites dans la personnalit de lemploy. Le moment est venu pour lemployeur de changer dattitude: il lui faut dsormais concentrer ses efforts sur la prvention technique. Plutt que surveiller ses employs, il mettra en uvre les mesures dordre technique permettant de contenir les abus et de protger lentreprise. Il ne sera autoris analyser nominativement les chiers journaux que si les mesures prises savrent inefcaces et encore faudra-t-il quil en ait inform au pralable le personnel dans le cadre du rglement de surveillance. En labsence dabus et dinformation pralable, il ne pourra analyser les chiers journaux du surf et du courrier lectronique que sous forme anonyme ou pseudonyme. Il devra encore se poser la question de savoir lesquels de ses employs doivent avoir accs Internet et dans quelles limites. Le cas chant, il ne leur mettra disposition que le courrier lectronique. Il ne perdra jamais de vue que laccs de lentreprise Internet et au courrier lectronique la rend vulnrable aux attaques de lextrieur. Le lgislateur nayant gure lgifr jusquici sur les droits et sur les devoirs des parties en prsence, nous esprons ly inciter ici, mais aussi sensibiliser toutes les personnes concernes par le problme. Ce guide traite en premier lieu des principales applications en rseau, des traces quelles laissent, des intrts qui sont en jeu pour lemployeur et des mesures de protection techniques quil peut prendre. Il prsente ensuite les bases lgales actuelles et nonce quelles conditions le surf et le courrier lectronique peuvent tre surveills par lemployeur. Il rend encore le lecteur attentif aux consquences de lusage abusif dInternet et de la surveillance illicite. Divers diagrammes et un rglement type gurant en annexe rsument lessentiel.
5
1.
Les applications en rseau les plus importantes
Internet offre une multitude dapplications que lon appelle communment les services Web, parmi lesquels on compte galement des services du rseau interne de
lentreprise (Intranet). Ces applications en rseau peuvent tre subdivises en deux grandes catgories: celles qui provoquent lenregistrement dun contenu sur un support de donnes et celles qui ne le provoquent pas. 1.1 Applications sans enregistrement de contenu
Parmi les applications de ce type, on recense en premier lieu lactivit bien connue qui consiste surfer (naviguer) sur Internet, c.--d. visiter des sites qui sont hbergs sur des serveurs Web et auxquels on accde directement grce leur adresse URL1. Le surf permet aussi de relever le courrier lectronique (web-based email) hberg chez des fournisseurs daccs Internet (ISP: Internet Service Providers). Des moteurs de recherche spcialiss tels quAltavista ou Google permettent de procder une sorte de recherche en plein texte dans une base de donnes globale, daprs des critres choisis par lutilisateur. On parle de surf multimdia lorsque les sources audio et vido ainsi que la tlphonie (VoIP: Voice over IP) passent par le rseau. Les groupes de discussion (newsgroups) sont des forums de discussion publics. Ils fonctionnent selon le principe du tableau dafchage; on les dsigne galement par le terme de babillards lectroniques: tous les abonns un groupe de discussion peuvent apporter des contributions (questions ou rponses) sous la forme de messages pouvant tre lus par les autres participants. Le cyberbavardage ou la causette (IRC: Internet Relay Chat), de mme que la messagerie instantane (Instant Messaging), permet plusieurs personnes de dialoguer en direct et en temps rel au moyen du clavier, pour autant quelles se soient dotes dun pseudonyme qui les identie. 1.2 Applications avec enregistrement de contenu
6
Parmi les applications de ce deuxime type, on compte principalement le tlchar. gement de chiers (download) laide de protocoles tels que HTTP ou FTP Les exemples classiques de tlchargement concernent des gratuiciels et partagiciels (freewares/sharewares) tels que des jeux ou des objets multimdiaux (image, son ou vido).
La rception et lenvoi de messages lectroniques (courriels) font galement partie de cette catgorie. Le courrier lectronique permet denvoyer des messages rdigs en clair, parfois avec des chiers joints, dautres personnes connectes au rseau. Sans chiffrement, la condentialit des messages est comparable celle dune carte postale, cest pourquoi les contenus sensibles doivent tre chiffrs par
lutilisateur. Lemploy qui sinscrira sur une liste de distribution (mailing list) en utilisant son adresse courrielle professionnelle sollicitera la capacit de stockage de lentreprise et la bande passante du rseau (throughput) pendant son temps de travail.
7
2.
Intrts concerns de lemployeur
Lutilisation dun ordinateur en rseau peut porter atteinte certains intrts et quipements techniques de lemployeur. Ceci peut affecter:
la capacit de stockage et la bande passante du rseau, suite une utilisation excessive dInternet et du courrier lectronique; la scurit des donnes et des applications (disponibilit, intgrit, condentialit) en raison de limportation de virus, de vers, de chevaux de Troie ou de linstallation de logiciels trangers lentreprise;
le temps de travail et dautres intrts nanciers (pertes de productivit, augmentation des cots pour des moyens et/ou prestations supplmentaires, frais de rseau, etc.);
dautres intrts de lemployeur protgs par la loi tels que sa rputation, ses secrets de fabrication ou daffaires, ou encore la protection des donnes.
La capacit de stockage est principalement sollicite par les chiers tlchargs ou par les messages du courrier lectronique (cf. chapitre 1). Les messages reus/envoys par courrier lectronique restent en gnral dans la bote lettres du serveur de lentreprise et lemploy est libre de les sauvegarder ou de les supprimer aprs les avoir lus/envoys. Sont stocks dune part les donnes accessoires telles que le nom de lexpditeur, celui du destinataire, lobjet du message ou sa date, dautre part son contenu. Les documents joints sollicitent tout particulirement la capacit de stockage de lentreprise. Leffacement (logique) de messages revient en fait leur dplacement dans le dossier des lments supprims (deleted items), duquel ils doivent tre effacs une seconde fois pour disparatre dnitivement. Quant la bande passante, elle est sollicite aussi bien par les applications avec que par celles sans enregistrement de contenu. Linstallation de logiciels tiers tels que des conomiseurs dcran ou des jeux peuvent entraver laccs aux applications professionnelles (disponibilit) ou les fausser (intgrit/condentialit). Les contaminations informatiques peuvent tre classes en trois grandes catgories: les virus, les vers (worm) et les chevaux de Troie. Un virus est un logiciel qui se reproduit lui-mme, se recopie dans dautres logiciels et qui est en mme temps en mesure dexcuter des actions malveillantes dans un systme informatique2. Un virus est introduit partir dune source extrieure (courrier lectronique, disquette, jeu ou gratuiciel). Certains types de virus atteignent
8
lintgrit dun chier en en changeant les caractres, tandis que dautres dtruisent carrment le chier complet. Il en rsulte un risque fonctionnel pour lordinateur, qui peut par exemple ne plus redmarrer. Un ver est un logiciel autonome qui se propage dun systme un autre en se recopiant lui-mme, en gnral travers un rseau. Comme un virus, il peut directement dtruire des donnes ou diminuer les performances dun systme informatique. Un autre aspect nuisible des vers est quils peuvent vhiculer des chevaux de Troie. Un tel cheval de Troie est par exemple en mesure de soutirer des mots de passe qui permettront par la suite daccder illicitement des donnes, de les transfrer, de les modier voire de les supprimer. Un cheval de Troie est un logiciel autonome qui premire vue accomplit une tche prvue, mais qui en plus contient une ou plusieurs fonctions caches3. Cela signie que lorsque lutilisateur lance le programme, le cheval de Troie excute en plus une action non voulue et critique pour la scurit. La plupart des espiogiciels (cf. chapitre 4) sont des chevaux de Troie. Lutilisation du rseau informatique entrane des cots plusieurs niveaux, ceux-ci peuvent tre forfaitaires ou calculs en fonction du temps et/ou du volume. Dans le cas du tarif forfaitaire (ligne loue), le temps pass surfer na pas dincidence sur les cots, mais il en a une sur le temps de travail consacr. Un largissement de la bande passante du rseau peut de surcrot tre ncessaire. Il en rsultera encore dautres cots pour lemployeur si un employ utilise le nom ou la carte de crdit de lentreprise lorsquil accde une offre payante sur le Web. Un collaborateur peut galement dlibrment ou inconsciemment conclure un contrat sur le Web au nom de la socit et engager ainsi la responsabilit de lemployeur. Il est encore possible que des secrets de fabrication ou daffaires ainsi que la protection des donnes soient compromis, par exemple lorsque des informations condentielles sont expdies par courrier lectronique des personnes non autorises. Ce risque augmente avec lusage accru dinstruments de travail tels que les ordinateurs portables, les assistants numriques personnels (PDA) ou les tlphones mobiles. Les mesures techniques de protection prsentes ci-aprs ne peuvent tre mises en uvre que de manire limite sur ce genre dappareils. Le danger de voir des secrets daffaires tomber en mains non autorises est dautant plus grand que ces appareils peuvent tre facilement perdus ou vols.
3.
Mesures techniques et organisationnelles de protection4
Il est bien connu que la scurit technique absolue nexiste pas. Des mesures techPrpos fdral la protection des donnes et la transparence (PFPDT)
niques de protection (cf. annexe A) peuvent cependant rduire les risques lis au surf sur Internet et au courrier lectronique. La mise en uvre de telles mesures de protection permet lemployeur dviter temps ce qui menace la scurit et le bon fonctionnement du systme lectronique. Leffet prventif devrait donc remplacer dans une large mesure la mise en uvre de moyens de rpression tels que la surveillance des personnes (cf. chapitre 8). Parmi les mesures de protection techniques les plus importantes gurent les mots de passe et les droits daccs, les logiciels antivirus, les gestionnaires de quotas disque, la sauvegarde des chiers (backups) et les systmes pare-feu (rewalls). Dautre part, les logiciels de surf et de courrier lectronique doivent tre installs dans le respect des avances technologiques les plus rcentes5, congurs de manire sre et rgulirement mis jour6. Le mot de passe sert lauthentication de lutilisateur et ne doit donc jamais communiqu des tiers. Il doit tre sufsamment compliqu et modi intervalles rguliers. Aprs une courte priode (ex: 5 minutes) dinactivit, la protection par mot de passe doit tre active par lconomiseur dcran, obligeant ainsi lutilisateur sauthentier nouveau ds son retour. Chacun dentre nous tant amen retenir une multitude de mots de passe, il est conseill de les conserver dans une base de donnes chiffres plutt que sur une liste papier. Des applications idoines sont disponibles sur le march. Le mot de passe daccs une telle application doit tre soigneusement mmoris par lutilisateur. La protection contre des accs non autoriss (droits daccs) consiste attribuer des autorisations (lire, crire/modier, excuter, effacer) pour laccs aux donnes ou objets dignes de protection. Dans la pratique, on recourt une matrice dnissant pour chaque utilisateur (ou rle) et pour chaque objet les droits daccs accords. Ces droits individuels de lemploy sont attribus par le responsable (suprieur hirarchique ou chef dquipe) et implments par ladministrateur du systme. Il est en outre recommand de chiffrer les donnes sensibles (cf. lart. 3, let. c, de la loi fdrale sur la protection des donnes, LPD, RS 235.1). Le chiffrement assure lintgrit et la condentialit des donnes. La cryptographie symtrique utilise la mme cl pour chiffrer et dchiffrer. Un canal sr doit tre utilis pour changer cette cl secrte, dont la taille doit tre aujourdhui dau moins 128 bits pour tre reconnue
10
sre. A loppos, la cryptographie asymtrique utilise une cl publique pour chiffrer les donnes et une cl prive (protge par un mot de passe) pour les dchiffrer. A linverse, la cl prive est utilise pour la signature numrique et la cl publique pour vrier lintgrit et la provenance des donnes. La cryptographie asymtrique ncessite une infrastructure cls publiques (PKI) pour certier les cls publiques. Elle est rpute sre aujourdhui lorsque la taille de la paire de cls est dau moins 1024 bits. Le scurit dun procd cryptographique repose entirement sur les cls, qui doivent donc tre protges et conserves de manire approprie. Le chiffrement des donnes est recommand pour le transfert (SSL, WEP, etc.) des donnes mais aussi pour leur stockage. Lchange de donnes enregistres sous forme chiffre peut se faire dans un canal non chiffr, mais on risque alors de ne pas pouvoir les dchiffrer en tout temps (par suite de la perte du mot de passe ou de la cl ou encore en labsence du dtenteur de cette dernire). Voil pourquoi une cl supplmentaire de dchiffrement (additional decryption key [ADK] ou corporate message recovery key [CMRK]) peut savrer ncessaire. Les intresss doivent alors en tre informs. Le chiffrement simposant toujours plus comme complment aux habituels droits daccs aux donnes, les administrateurs systme ne dtiennent plus forcment la totalit des autorisations. Faute dtre chiffr, un message lectronique aura une condentialit comparable celle dune carte postale. Les logiciels antivirus permettent de dceler les virus et en rgle gnrale aussi de les dtruire. Ils doivent pour ce faire utiliser la dernire version disponible du chier de signatures et tre activs sur chaque ordinateur. Pour les services Web de courrier lectronique, le logiciel antivirus doit tre install sur lordinateur de chaque employ, an de pouvoir effectuer le contrle antiviral du contenu rceptionn. Le danger dinfection par un virus nest gure plus grand avec un service Web de courrier lectronique quavec le service interne de courrier lectronique de lemployeur. Les logiciels antivirus de la dernire gnration qui sont installs de manire licite (existence dune licence) et correcte sur un ordinateur peuvent tre rgulirement et souvent automatiquement mis jour via Internet. Au cas o il nest techniquement pas possible de supprimer un virus, la sauvegarde rgulire des donnes permettra de rcuprer des chiers antrieurs non infects. On notera que les logiciels antivirus noffrent pas de protection totale contre les attaques. Do la ncessit de se doter de programmes de protection supplmentaires (Spyware Blaster, Detector).
11
Les gestionnaires de quotas disque sont des utilitaires intervenant au niveau du systme dexploitation et permettant de limiter lespace disque quun utilisateur peut occuper pour ses chiers ou messages. Un tel programme force lutilisateur restreindre lui-mme lespace disque quil utilise, tant donn quil doit dment justier toute demande dextension. Lutilisation de quotas disque permet donc dviter des surcharges inutiles de la capacit du disque et rend ainsi superue toute intervention de lemployeur dans ce domaine personnel. A linstar des quotas disque, la mesure technique analogue qui consiste limiter la taille des pices jointes dun courrier lectronique est relativement inefcace, car elle peut facilement tre contourne par une rpartition de pices jointes sur plusieurs messages. Les quotas disque individuels sont attribus par un responsable (suprieur hirarchique ou chef dquipe) et implments par ladministrateur du systme. La sauvegarde des donnes permet de les rcuprer rapidement et totalement en cas de perte. Les supports de donnes correspondants doivent tre conservs pendant une certaine dure (xe lavance) labri du feu, de leau, des voleurs et des rayonnements. Les sauvegardes successives sont autant de protocoles exploiter avec prudence. La sauvegarde des donnes du serveur de courrier lectronique nest pas recommande car elle pourrait concerner le courriel priv des employs. Raison de plus pour sauvegarder ces courriels part et ainsi permettre la sauvegarde du reste. Un systme pare-feu (rewall) protge les donnes contre les attaques extrieures7 et vite que la bande passante et le temps de travail ne soient par trop sollicits. Les pare-feu sont gnralement placs entre Internet, Intranet et ventuellement une zone dmilitarise (DMZ, o se trouvent les serveurs Web de lentreprise). Ils ltrent le trac de donnes dans les deux sens en fonction de lidentication utilisateur (USERID), de ladresse IP ou des protocoles dapplication8. La conguration dun pare-feu est complexe; elle exige des connaissances prcises et devrait tre opre uniquement par un spcialiste. La conguration du pare-feu peut tre complte par une liste de sites interdits. Cette liste dite ngative contient les URL indsirables, dnies soit par le constructeur, soit par lemployeur. Une autre possibilit consiste tablir une liste dite positive qui ne contient que les sites Web ncessaires pour excuter les tches de lentreprise. De nos jours on complte souvent les pare-feu matriels du rseau par linstallation de pare-feu logiciels (personal rewalls) sur chaque place de travail. Etant donn que ces mesures techniques de protection ne peuvent assurer une scurit absolue, on utilise encore des systmes de dtection dintrusion (IDS), aussi bien sur le rseau, sur
12
les serveurs quau niveau du client. Lutilisation de tels systmes permet de dceler les attaques ou les abus. Elle conrme en quelque sorte linefcacit des mesures de scurit prises jusqualors. Le tlchargement de chiers par FTP HTTP ou SMTP peut tre limit aux chiers dun , format particulier (EXE, MP3, BAT, etc.). Un blocage similaire peut tre mis en place pour les chiers joints aux messages lectroniques. Lefcacit de tels blocages doit nanmoins tre relativise puisque certains formats, tels que les formats darchive (chiers compresss) comme.ZIP, ne sont en rgle gnrale pas bloqus, bien quils puissent contenir des chiers ayant eux un format bloqu. Un modem install sur un poste de travail local permet de contourner la scurit assure par le pare-feu. Un utilisateur externe non autoris peut alors sintroduire dans le rseau dune entreprise sans quelle sen rende compte. Il peut aussi contourner le pare-feu en utilisant des points daccs sans l (wireless access points) en labsence de mesure de protection adquates. Aussi est-il recommand de chiffrer le transfert de donnes au moyen du protocole WEP (wired equivalent privacy) ou du nouveau WPA (Wi-Fi Protected Access). La mise en uvre de mesures techniques de protection appropries devrait permettre de minimiser le nombre des vraies pannes techniques.
13
4.
Traces laisses par le surf sur Internet
Presque toutes les machines modernes sur lesquelles tournent des applications communes (serveurs, banques de donnes, imprimantes) tiennent un journal de leurs
activits (cf. annexe A). Les traces laisses par lutilisation dapplications en rseau se limitent en rgle gnrale des donnes accessoires du genre qui a fait quoi et quand?. Par journalisation, on entend lenregistrement en continu de ces donnes accessoires. La dcision dautoriser la journalisation et daccorder le droit diverses personnes daccder aux chiers journaux (qui et pendant combien de temps?) doit tre dicte par les principes de la nalit et de la proportionnalit. Le rglement de surveillance devrait, par souci de transparence, rendre les employs attentifs aux journalisations, les informer du but recherch, du contenu des oprations effectues et de la dure de conservation des chiers journaux. Une journalisation peut savrer ncessaire lorsque des mesures prventives ne sufsent plus protger des donnes personnelles sensibles (art. 10 de lordonnance relative la loi fdrale sur la protection des donnes, OLPD, RS 235.11). Les journalisations peuvent tre congures selon les besoins de lentreprise. Ladministrateur systme opre en gnral une conguration minimale de manire recueillir un nombre limit dinformations. Il laugmente pour une certaine dure seulement quand des informations plus dtailles sont ncessaires (en cas de panne du systme par exemple). Les chiers journaux ayant en gnral une taille considrable, il est quasiment impossible de les exploiter sans procdure automatise (cf. chapitre 8.1). Cest pour cette raison aussi quil faut prvoir les outils adquats, livrant des rsultats anonymiss ou pseudonymiss. La journalisation des activits dune personne donne est en outre considrer comme un chier et doit partant tre dclare au Prpos fdral la protection des donnes et la transparence en vertu de lart. 11 LPD. Particuliers et entreprises doivent dclarer leurs chiers si le traitement de ces donnes nest soumis aucune obligation lgale et si les personnes concernes nen ont pas connaissance. La dure de conservation des chiers journaux est directement fonction du but recherch, qui doit tre clairement indiqu dans le rglement de surveillance et dutilisation. Lentreprise na aucune obligation lgale de conserver ces chiers journaux. Elle peut en revanche les conserver jusqu la n dune procdure de sanction ou dune procdure pnale. Dans les autres cas, elle les dtruira, en gnral aprs un dlai de quatre semaines. La journalisation des activits de lemploy peut avoir lieu quatre endroits: sur son poste de travail, sur un serveur Intranet, sur les quipements de connexion interrseaux ou sur les serveurs de la zone dmilitarise (cf. annexe A). En cas dinfraction
14
pnale, les chiers journaux du fournisseur daccs Internet peuvent tre examins sur requte du juge, lequel peut encore ordonner un enregistrement des donnes de contenu. Sur lordinateur de lemploy: un espiogiciel9 (cf. chapitre 6) permet denregistrer toutes les oprations effectues par lemploy. Ce type de programme, install le plus souvent linsu de lintress, est illicite car il permet de le surveiller en permanence et en dtail son lieu de travail. Il permet notamment de lire les messages lectroniques envoys ou er4us (il les enregistre et les transmet au tiers espion), de photographier ou de copier son cran intervalles rguliers (recurrent screenshots) et la totalit de son contenu (des pages Web consultes par exemple). Il peut encore enregistrer toutes les touches du clavier qui ont t actives (hardware keylogger), capturer des mots de passe, voir toutes les applications actives, accder au disque dur local, couter les chiers audio couts par lemploy, etc. Il permet enn denregistrer toutes les informations espionnes, mais aussi de les transmettre des tiers qui pourront les traiter. Les informations recueillies en surfant ou charges sur lordinateur sont le plus souvent stockes titre temporaire (cache) sur le disque dur local. Ce nest pas lutilisateur qui veut quil en soit ainsi, mais lapplication, pour amliorer ses temps de rponse. Lutilisateur peut bloquer ou effacer ces chiers temporaires et les donnes accessoires telles que les cookies, mais aussi lhistorique et la saisie semi-automatique des donnes (autocomplete), dans le but de mnager la capacit de stockage et de protger partiellement sa sphre prive. Lidal est que les chiers temporaires soient effacs automatiquement ds que le surfeur quitte le navigateur ou ds quil teint son ordinateur. Sur le serveur Intranet: le journal y enregistre le qui (nom de lutilisateur), le quand (la date) et le quoi (lobjet de la consultation, la connexion au systme, la dconnexion, les chiers imprims, lattribution dynamique dadresses IP et la rsolution des noms de domaine, le lancement dune application). Les adresses IP des ordinateurs des utilisateurs peuvent tre attribues de manire statique et dnitive par un administrateur de rseau ou de manire dynamique et provisoire par un serveur de rseau. Dans ce dernier cas, la liste chronologique des correspondances entre les adresses IP attribues et les noms des utilisateurs entrs dans le systme gure uniquement dans le protocole du serveur DHCP (Dynamic Host Conguration Protocol). Un collgue mal intentionn peut galement oprer une activit rprhensible sous couvert du compte dun employ parfaitement innocent. Ce dernier est responsable au premier chef de son compte dans un tel cas (non-transmission du mot de passe, activation rapide de lconomiseur dcran).
15
Les pages Web consultes et les chiers tlchargs peuvent en outre faire lobjet dun enregistrement intermdiaire sur un serveur proxy de lIntranet de lentreprise, donc livrer une photo instantane des dernires activits de surf accomplies. Toute utilisation ultrieure dun de ces chiers par un autre employ se fera directement partir du serveur proxy, ce qui rendra inutile toute nouvelle connexion Internet et
dchargera ainsi la bande passante. On pourrait ainsi perdre la trace de certaines activits opres sur le Web mme si le serveur proxy est tout fait capable de journaliser intgralement ses propres activits (fonction cache et fonction ltre). A noter quune URL est une donne accessoire dont le contenu peut tre gnralement rappel lcran et sy afcher. Les quipements de connexion interrseaux tels que les pare-feu et les routeurs tiennent en principe le journal de la date et de lheure, des adresses IP (adresses source et adresses cible), du protocole dapplication utilis quand ce nest pas celui des pages appeles et du nom de lutilisateur. A propos des adresses source, il faut savoir quil est possible de recourir une fonction optionnelle de traduction dadresses de rseau (Network Address Translation). Les adresses IP utilises en interne sont alors transformes de manire dynamique en adresses externes connues mais inviolables, qui protgent des attaques externes. De ce fait, lanalyse des chiers journaux peut tre rendue plus difcile. A ce niveau, un renieur (sniffer/scanner) peut tre install par un administrateur en vue doprer une coute plus dtaille des paquets de donnes qui sont transmis, autant au niveau des donnes accessoires que de leur contenu. Une coute de ce type nest problmatique que si elle est effectue par un bidouilleur (hacker). Les donnes sensibles du genre des mots de passe devraient toujours tre transmises sous forme chiffre. On peut encore installer un systme de dtection dintrusion (IDS) sur le serveur ou sur le rseau qui rvlera aprs-coup les attaques extrieures que le pare-feu naurait pas dceles. Une zone dmilitarise (DMZ) situe entre Intranet et Internet est souvent gre par les pare-feu. Elle hberge les serveurs joignables des deux mondes, notamment les serveurs de courrier lectronique, de chiers publics et les serveurs Web (protocoles SMTP, FTP et HTTP). Sont journaliss sur les serveurs de courrier lectronique, lheure denvoi ou de rception du message, ladresse de lexpditeur, ladresse du destinataire, le champ Objet, le degr de priorit et la condentialit dudit message. Il nest pas exclu que dautres informations (nombre de documents annexs, taille du message, signature numrique, mme ladresse IP) soient galement journalises. Le contenu du message ne lest en principe pas.
16
Les enregistrements du journal sont en gnral attribuables directement ou indirectement une personne donne (en utilisant la liste de correspondance). Un journal devant tre rendu public devra vraisemblablement tre pseudonymis voire repseudonymis (si la pseudonymisation originelle nest pas assez robuste).
17
5.
Le rglement dutilisation dInternet et du courrier lectronique titre priv
Quun employ soit autoris surfer sur Internet et utiliser le courrier lectronique
des ns prives dpend en premier lieu de lemployeur. Comme dans dautres domaines des rapports de travail, ce dernier dispose en effet du droit dtablir des directives (art. 321 du Code des obligations, CO, RS 220). Il est donc important quil examine de manire diffrencie les exigences professionnelles relles des collaborateurs avant de leur accorder un accs Internet. Les employs doivent tre sensibiliss, par divers cours, aux risques que lutilisation dapplications en rseau fait courir. Nous conseillons lemployeur dlaborer des directives par crit sur lutilisation dapplications en rseau, bien que cela ne soit pas obligatoire. Un tel rglement (cf. annexe C) est en effet de nature assurer la transparence et la scurit juridique dans les relations qui lient lemployeur aux employs. Le mieux serait que ce rglement soit remis tout employ sous la forme crite, car si le rglement oral possde bel et bien un caractre obligatoire, il peut savrer problmatique en cas de litige. Lemploy en accusera rception par crit. Lemployeur rexaminera le rglement intervalles rguliers et ladaptera si ncessaire, par exemple en cas de nouveaut technologique ou sil constate des abus. Le rglement peut autoriser lusage priv des applications en rseau, le restreindre ou encore linterdire compltement. Une restriction peut intervenir de plusieurs manires. Une restriction qui concerne la dure de surf par exemple 15 minutes par jour nest pas efcace pour deux raisons. Dune part, il est difcile de contrler quelle est respecte, tant donn que lheure laquelle un utilisateur quitte un site Web nest en rgle gnrale pas enregistre10. Dautre part, un enregistrement de la dure dutilisation ne permettrait pas de tirer des conclusions sur le temps effectivement pass surfer, puisque la fentre du navigateur peut rester ouverte derrire une autre application (telle quun traitement de texte) sans quelle soit effectivement sollicite. Seul lenregistrement dune srie daccs au Web conscutifs depuis un mme poste de travail pendant une priode donne permettrait de connatre la dure effective dutilisation, pour autant que les accs se suivent intervalles rapprochs. Mais, mme dans ce cas, il ne serait pas possible davoir une indication prcise de la dure dutilisation car certaines pages Web sont rgulirement mises jour automatiquement (les newstickers de journaux ou dannonces boursires notamment).
18
Une autre manire de restreindre laccs Internet consiste bloquer des offres indsirables (bourse, march de lemploi, sites commerciaux, textes et images pornographiques ou caractre raciste, etc.) en limitant la capacit utilisable du serveur (cf. chapitre 3) ou en dnissant une plage horaire pendant laquelle il est permis dutiliser Internet des ns prives (par ex. aprs 18 heures). Il est encore possible dattribuer
une bande passante diffrente en fonction du caractre professionnel ou non des sites consults. On peut galement restreindre ou interdire la consultation des ns prives en dnissant une liste positive qui indique les sites Web que lutilisateur est autoris visiter (par exemple ceux dadministrations ofcielles pour la recherche dinformations, cf. chapitre 3). En rgle gnrale, laccs Internet sera autoris dans tous les cas o il a lieu des ns professionnelles. Dans les cas o lutilisation dInternet est restreinte, il est envisageable que lemployeur mette la disposition des employs (comme pour le tlphone) des bornes Internet en libre accs. Le journal des oprations ne doit pas tre consult par lemployeur, mais il est tabli des ns de conservation de preuves (par exemple pour enqute ofcielle). Il est recommand, pour plus de scurit, de brancher ces bornes indpendamment du rseau interne dentreprise (cf. chapitre 2). Lemploy qui les utilise sengage le faire de manire conforme la loi et il est entirement responsable de la scurit. En labsence de rglement dict par lemployeur, lemploy ne peut savoir sil est autoris surfer sur Internet ou utiliser le courrier lectronique des ns personnelles. Certains milieux estiment que linterdiction de lancer ou de recevoir des appels tlphoniques de nature prive au lieu de travail sapplique par analogie Internet. Les intrts et les moyens de lemployeur doivent tre prservs quoi quil arrive en raison du devoir de diligence et de loyaut (art. 321a CO) qui oblige tout employ sauvegarder les intrts de son employeur. Lincidence de cet article sur lutilisation dInternet doit tre tablie au cas par cas, en fonction de la situation concrte. Il existe donc un risque que lemployeur fasse une mauvaise apprciation du caractre admissible ou non dune session de surf. Cest la raison pour laquelle nous vous conseillons dtablir un rglement crit sur lutilisation dInternet. Plus ce rglement sera concret et prcis, moins il y aura dquivoques sur ce qui est permis ou non en matire de lutilisation prive dInternet au travail.
19
6.
Bases lgales de la surveillance
Le danger que reprsente la surveillance durable du comportement dun employ son travail a fait lobjet, en 1984, dune motion parlementaire11. Cest la suite de
cette motion que le Conseil fdral a dict une ordonnance qui interdit la surveillance cible du comportement sur le lieu de travail (art. 26, al. 1, de lordonnance 3 relative la loi sur le travail, OLT 3, RS 822.113). Lorsque des systmes de surveillance ou de contrle sont ncessaires pour dautres raisons, ils doivent tre conus et installs de faon ne pas porter atteinte la sant ni la libert de mouvement des travailleurs (art. 26, al. 2, OLT 3). Lordonnance en question vise en premier lieu protger la sant et la personnalit des employs en les soustrayant une surveillance permanente cible, opre au moyen dun systme de surveillance12. Une surveillance effectue sans systme de surveillance ne tombe pas sous le coup de lart. 26 OLT 3. Dans le cadre du surf et du courrier lectronique au travail, ceci signie que la surveillance permanente dun employ en particulier opre au moyen de lanalyse de chiers journaux nest pas admissible. La mme raison interdit dailleurs linstallation de programmes espions (cf. chapitre 4). Ces espiogiciels permettent, on le sait, de surveiller, son insu, un employ au travail. Leur installation viole linterdiction de surveiller le comportement mais aussi le principe de la bonne foi.
20
Vu leurs multiples fonctions et le fait quon peut les programmer, les programmes de surveillance constituent mme une violation plus grave de la personnalit de lemploy que lutilisation dune camra vido. Les content scanners sont une variante de programmes espions. Ce sont des progiciels qui examinent les courriers lectroniques reus ou envoys en fonction de termes prdnis et qui ragissent en consquence (en les bloquant, les effaant, en en envoyant une copie ladministrateur systme voire au suprieur hirarchique de lemploy). Le risque de violation de la personnalit dun individu est patent ds lors quon surveille systmatiquement son comportement. Lefcacit des ltres bass sur des termes est en outre contestable, tant donn quils ltrent en pratique trop ou trop peu. Il est du reste illusoire de croire quils offrent une scurit absolue du contenu car ils ne peuvent pas analyser les messages chiffrs, dont lutilisation est toujours plus frquente. Sy ajoute le fait quil est interdit de passer au crible le contenu des messages privs annoncs comme tels. Le Tribunal fdral ne sest pas encore prononc sur les logiciels de surveillance lectronique. Sont par contre autorises lanalyse anonymise en continu des chiers de journalisation et lanalyse pseudonymise par sondages des chiers de journalisation, toutes analyses qui permettent de contrler que le rglement dutilisation est bien respect
(cf. chapitre 8.4.1.1). Ces contrles donnent les preuves qui permettent de rprimer les abus que des mesures techniques nont pas permis dempcher (par exemple la lecture de pages Web ne gurant pas sur la liste des pages bloques du pare-feu). Sil constate un abus, lemployeur sera en droit deffectuer une analyse nominative de chiers journaux, condition toutefois quil en ait inform au pralable le personnel dans le rglement de surveillance (cf. chapitre 7.1). Linterdiction de procder une surveillance du comportement, vise lart. 26 OLT 3, nest donc pas applicable de manire absolue. Il sagit bien plus de dterminer ce qui prvaut dans chaque cas: la protection de la personnalit de lemploy ou les intrts de lemployeur (cf. chapitre 2). Dans certains cas, lorsquun abus a t constat et quune information pralable a eu lieu (par le rglement), la surveillance du comportement dune personne est admissible. Cependant, si aucun abus na t constat, la garantie de la scurit, de mme que les contrles du respect du rglement dutilisation, doivent rester anonymes ou pseudonymes13. En plus de lart. 26 OLT 3, la loi sur la protection des donnes ainsi que les articles 328 et 328b du Code des obligations protgent la personnalit de lemploy. Ces dispositions prvoient galement que lemployeur nest en droit de traiter des donnes personnelles quen conformit avec les principes de la nalit et de la proportionnalit. De nombreux employeurs mettent la disposition de leurs collaborateurs des instruments de travail portables (ordinateurs portables notamment) qui sont galement concerns par la surveillance, ce qui pose un problme particulier puisque ces appareils sont aussi souvent utiliss des ns personnelles. Lemploy peut exiger tout moment de son employeur quil lui communique sil traite des donnes le concernant (art. 8, al. 1, LPD; cf. chapitre 8.1.2), ce qui peut mme avoir un effet dissuasif quant la surveillance de la part de lemployeur. Des donnes personnelles ne peuvent tre communiques des tiers non autoriss sans motif valable ou sans laccord de la personne concerne (art. 12 et 13 LPD). Les collgues de travail de la personne concerne sont des tiers non autoriss pour la protection des donnes. Les services informatiques, le prpos la scurit, les suprieurs hirarchiques et le service du personnel doivent prendre toutes les mesures techniques et organisationnelles ncessaires pour empcher que les donnes personnelles (notamment les chiers journaux quils traitent dans le cadre de la surveillance dun employ et ce qui dcoule de leur exploitation) ne tombent entre les mains de personnes non autorises (art. 7, al. 1, LPD)14. Tous doivent assurer la condentialit, la disponibilit et lintgrit de ces donnes (art. 8, al. 1, de lordonnance relative la loi sur la protection des donnes ou OLPD, RS 235.11).
21
7.
Principales conditions juridiques pour la surveillance du surf et du courrier lectronique
Pour pouvoir effectuer une analyse nominative, lemployeur doit avoir au pralable
inform le personnel, constat un abus ou souponner quun abus a t commis. Sont applicables les rgles qui suivent. 7.1 Linformation pralable
Sil na pas lobligation ddicter un rglement dutilisation dInternet et du courrier lectronique dans lentreprise, lemployeur est tenu par contre ddicter un rglement de la surveillance de ces deux activits sil se livre cette surveillance, car elle constitue une ingrence dans la sphre prive des employs (principe de la bonne foi, art. 4, al. 2, LPD). Une ingrence de ce type existe quand il y a analyse nominative des chiers journaux. Pour assurer la transparence et la scurit du droit, lemployeur rdigera ledit rglement de surveillance par crit et si possible en mme temps que le rglement dutilisation dInternet et du courrier lectronique dans lentreprise, lidal tant que ces deux rglements gurent sur un seul et mme document (cf. le rglement type lannexe C). Lemployeur mentionnera dans le rglement de surveillance quil peut analyser nominativement les chiers journaux (cf. chapitres 8.2 et 8.3), mais aussi en livrer les rsultats au suprieur hirarchique de lemploy et au service du personnel en cas dabus manifeste. Si cette clause fait dfaut, lemployeur lajoutera avant de procder lanalyse nominative des chiers journaux concerns. Autrement dit, il informera ses employs avant quils ne puissent commettre dabus ou avant quun soupon ne naisse et non pas juste avant lanalyse nominative. Le cas contraire ne pourra tre quexceptionnel, en cas dabus grave. Dans ce cas, cest lintrt de lemployeur identier lemploy fautif qui lemportera. Lemployeur mentionnera aussi le nom de la ou des personnes charges danalyser nominativement les chiers journaux, les sanctions concrtes prvues et la procdure quil suivra en cas de soupon dinfraction. Enn nous lui conseillons de dcrire aux employs le type de journalisation utilis, son contenu et son but, mais aussi de les informer sur la dure de conservation des chiers journaux et sur leur droit daccs.
22
Lemployeur avertira encore les expditeurs et les destinataires externes de courriers lectroniques que les messages font lobjet dune surveillance et peuvent tre lus par des dlgus (par exemple au moyen dune note qui pourrait gurer au pied de tout message sortant, ct de la clause de condentialit).
Le fait de savoir quune surveillance est possible peut dissuader les employs de surfer. 7.2 La constatation dun abus
Il y a abus lorsque le rglement dutilisation dInternet et du courrier lectronique a t viol. Selon ce rglement, un abus peut par exemple consister consulter des sites Web qui nont rien voir avec les tches professionnelles ou surfer tout court des ns prives si cela est expressment interdit. Tenter daccder des sites Web qui ont t bloqus par des mesures techniques de protection nest toutefois pas considr comme un abus. Mme sans rglement, lemploy peut violer le devoir de loyaut et le principe de la proportionnalit. Dans ce cas-l aussi, on parlera dabus. Un abus pourra tre constat lors du contrle, anonymis ou pseudonymis, du respect du rglement par les employs (cf. chapitres 8.2 et 8.3), lors dun examen de scurit (pour chercher la source dun virus ou dune tentative interne de hacking) ou encore grce dautres indications (dcouverte de documents imprims privs sur limprimante de lentreprise, envoi par erreur de messages privs des suprieurs, surcharge de la bote de rception du courrier lectronique, etc.).
23
8.
Surveillance du surf et du courrier lectronique au lieu de travail
Rappelons tout dabord que lemployeur doit accorder la priorit aux mesures prPrpos fdral la protection des donnes et la transparence (PFPDT)
ventives de nature technique, la sensibilisation des employs et aux mesures les incitant collaborer. Il na le droit de surveiller une personne dtermine que sil ny a pas dautre moyen de prvenir un abus. La surveillance du surf sur Internet et du courrier lectronique des ns prives seront traites sparment. Il y a lieu de prciser en outre que les rgles prsentes ci-aprs sont difcilement applicables dans les petites entreprises car lanonymat ne peut y tre vritablement garanti. Dans les chapitres qui suivent, il sera question notamment de la surveillance du surf et du courrier lectronique par le biais de lanalyse des chiers journaux. Du fait de son caractre prventif, permanent et intentionnel, cette forme de surveillance est particulirement prjudiciable mais nanmoins trs rpandue. Une autre forme de surveillance consiste effectuer des surveillances ponctuelles pour garantir la scurit et le bon fonctionnement des ressources techniques ou pour dautres motifs. 8.1 Surveillance exerce pour garantir la scurit et le bon fonctionnement du systme informatique de lentreprise Les services informatiques ou les responsables de la scurit dune entreprise ont pour tche de garantir la scurit et le bon fonctionnement des ressources techniques. Dans les petites entreprises, cette tche est gnralement assume par le chef lui-mme. Garantir la scurit est une tche permanente, qui est mise en uvre le plus souvent par des mesures de protection techniques (systme de dtection dintrusion par exemple); elle se fait de manire anonyme. Ce sont les mesures les plus importantes pour parer aux attaques internes ou externes. Lemployeur doit veiller ce quelles soient rgulirement adaptes aux volutions technologiques. Si un problme technique survient malgr les mesures prises, lemployeur a le droit danalyser les chiers journaux pour dterminer lorigine du problme. Cet examen peut rvler lexistence dun abus cause de la panne ou faire natre un soupon dabus. Lorsquil est possible dtablir avec certitude quun abus a t commis, le collaborateur fautif peut faire lobjet de sanctions (cf. chap. 10).
24
8.2
Surveillance exerce pour dautres motifs
Il peut arriver que lemployeur constate un abus ou pense quil y a eu abus parce que dautres indices le lui font supposer (cf. chap. 7.2). An de pouvoir identier le collaboPrpos fdral la protection des donnes et la transparence (PFPDT)
rateur fautif, lemployeur peut alors dpouiller les chiers journaux (par exemple ceux de limprimante) ou leurs analyses. Sil parvient prouver quun abus a t commis, il peut prendre une des sanctions prvues au chapitre 10. 8.3 Surveillance base sur lanalyse des chiers journaux
Lanalyse des chiers journaux consiste dpouiller de manire dtaille, sur la base de critres prdnis, les activits enregistres. Cette analyse est effectue laide dun programme idoine. Une analyse ou plusieurs analyses combines, portant par exemple sur lutilisation dInternet, du courrier lectronique ou du tlphone, peuvent donner lieu la constitution de prols de la personnalit. Il existe principalement trois types danalyse: lanalyse anonyme, lanalyse pseudonyme et lanalyse nominative. Lanalyse anonyme est une analyse statistique des chiers journaux effectue selon le critre par exemple des pages Web les plus consultes ou du nombre de messages envoys. Lanalyse peut porter sur lensemble de lentreprise ou sur une partie seulement de cette dernire (un service, par exemple). Pour que lanonymat soit garanti, lanalyse doit porter sur un chantillon de personnes sufsamment grand. Lanalyse pseudonyme est une analyse des chiers journaux qui porte sur plusieurs personnes dterminables, soit dont lidentit a t pseudonymise; elle peut seffectuer selon le critre par exemple des pages les plus consultes par chaque pseudonyme. Le pseudonyme doit tre choisi de sorte quil soit impossible didentier la personne concerne dans la phase de la surveillance non nominative (cf. chap. 8.4.1). Lidentication de lutilisateur (USERID) ou une adresse IP statique ne constitue pas un pseudonyme robuste, car il est facile de retrouver lidentit des personnes concernes. Lanalyse nominative est une analyse des chiers journaux qui porte sur une personne en particulier. Une liste des correspondances entre les noms dutilisateur et les pseudonymes permet de dterminer lidentit des personnes concernes (ridentication/analyse nominative). Il est conseill de stocker sparment les analyses des chiers journaux et la liste de correspondance (noms dutilisateurs et pseudonymes), en les remettant deux personnes aux fonctions diffrentes. Il est noter toutefois que le stockage spar des listes ou la pseudonymisation des noms ne garantissent en rien une surveillance anonyme si les listes de correspondance sont accessibles tous15.
25
Il y a lieu de prciser en outre que lanalyse nominative des chiers journaux relatifs aux messages privs signals comme tels (cf. chap. 8.5) ne doit contenir que les lments suivants: la date et lheure de lenvoi ou de la rception du message, ladresse de lexpditeur (masque dans les messages entrants), celle du destinataire (masque dans les messages sortants), et la mention Priv. Autrement dit, seule ladresse de
lemploy doit apparatre dans les analyses nominatives du courrier lectronique. 8.4 Surveillance base sur lanalyse des chiers journaux du surf
La surveillance base sur lanalyse des chiers journaux du surf a pour but de protger les intrts de lemployeur dans ce domaine (cf. chap. 2 du prsent guide). Ce type de surveillance se subdivise en deux phases: surveillance non nominative surveillance nominative
8.4.1
Premire phase: surveillance non nominative
La premire phase de la surveillance a pour buts principaux dtablir des statistiques 26

et de vrier si le rglement dutilisation est respect. Etablissement de statistiques: les statistiques sont tablies sur la base de lanalyse anonyme des chiers journaux; elles ont pour but de donner un aperu anonyme et structur de lutilisation moyenne dInternet. Contrle du respect du rglement dutilisation: lemployeur a le droit de vrier si le rglement dutilisation est respect condition den avoir inform pralablement ses employs par une clause idoine dans le rglement de surveillance (cf. chap. 7.1 et annexe C). Suivant ce que prvoit le rglement de surveillance, ce contrle prend la forme dune analyse anonyme et/ou pseudonyme des chiers journaux. Lanalyse anonyme ne permet pas didentier une personne en particulier et peut donc tre faite de manire permanente. Lanalyse pseudonyme permet par contre de surveiller le comportement dune personne dterminable par rapport au comportement anonyme moyen; elle ne peut tre effectue que de manire ponctuelle, une date ou une heure dtermine (par exemple un jour par mois avec annonce obligatoire de la semaine concerne aux employs, an dviter quils ne se sentent surveills en permanence et titre individuel). Surveiller les employs pendant toute la priode prdtermine ( laide par ex-
emple dun espiogiciel, cf. chap. 6) serait par contre synonyme de surveillance permanente de lensemble du personnel, une pratique illicite selon lart. 26 OLT 3. La surveillance non nominative effectue pour vrier le respect du rglement dutilisation devrait tre cone au prpos la protection des donnes de lentreprise, un collaborateur ayant t form cet effet ou une personne
de conance extrieure lentreprise. La personne comptente devra tre clairement informe de ses responsabilits et en particulier de linterdiction de faire des analyses nominatives cette premire phase de la surveillance. 8.4.2 Deuxime phase: surveillance nominative
La deuxime phase de la surveillance, qui porte dsormais sur une personne en particulier, consiste identier ou ridentier le collaborateur fautif si la premire phase de la surveillance a rvl lexistence dun abus ou fait natre un soupon dabus. En cas de soupon dabus16, lemployeur procde une analyse nominative des chiers journaux (ou analyses) pseudonymiss, en utilisant la liste de correspondance, an de dterminer sil y a abus ou non. Sil savre que le soupon est infond, lanalyse nominative doit tre immdiatement interrompue. Lemployeur reste toutefois tenu dadapter rgulirement les mesures de protection techniques et/ou le rglement dutilisation en fonction des volutions de la technologie par exemple en mettant jour les logiciels antivirus ou encore la liste des sites interdits du pare-feu. Si lemployeur constate un abus (cf. chap. 7.2), il commence par adapter les mesures techniques de protection et, si ncessaire, le rglement dutilisation. Les employs sont informs de la modication du rglement dutilisation. Le collaborateur fautif est identi ou ridenti selon la procdure dcrite au chap. 8.3. Lemployeur peut alors prendre des sanctions disciplinaires (cf. chap. 10). Comme le traitement des chiers journaux peut mettre en vidence des donnes personnelles nayant aucun rapport avec labus prsum, la personne charge de lanalyse est lie par le secret de fonction. Elle na pas le droit dutiliser de telles donnes des ns abusives. Lorsque lemployeur cone des tiers le traitement de donnes personnelles, il doit attirer leur attention sur ce fait (art. 14 LPD).
27
8.5
Surveillance du courrier lectronique
8.5.1
Surveillance du courrier lectronique de nature prive
La surveillance du courrier lectronique est soumise pratiquement aux mmes rgles que la surveillance du courrier postal, raison pour laquelle nous examinerons en premier lieu les rgles applicables la surveillance du courrier postal au lieu de travail17. Le courrier priv au lieu de travail jouit dune protection illimite. Par consquent, il doit tre remis la personne laquelle il est adress sans tre ouvert. Louverture de courrier priv par un tiers constitue une violation de la personnalit qui peut tre poursuivie par le biais dune procdure civile (art. 15 LPD) ou administrative (art. 25 LPD). Dans les deux cas, les consquences pnales sont rserves (art. 179 CP). Est considr comme courrier priv tout envoi dont on voit clairement quil a t adress lemploy non pas titre professionnel mais titre priv. Certains lments ne trompent pas sur la nature prive dun envoi, notamment la mention Priv ou En main propre, le genre denvoi (avis mortuaire, journal adress au collaborateur, magazine), ou encore dautres caractristiques (format, papier couleur, cartes postales, courrier militaire adress un employ). Ladressage de type Monsieur X, Service Y ne suft pas pour considrer quil sagit dun pli de nature prive, encore faut-il que le pli comporte une mention telle que Priv. Le fait que le nom dun employ gure avant le nom de lentreprise ne suft pas pour afrmer que lenvoi lui a t adress titre priv (ATF 114 IV 16). De mme que pour le courrier postal et les conversations tlphoniques, lemployeur na, pour des motifs de protection de la personnalit, pas le droit de consulter les messages lectroniques privs de ses collaborateurs. Il nest gure possible de sparer automatiquement les messages privs des messages professionnels sur la base des seuls lments dadressage. Il faut donc que lexpditeur dun message dordre priv prcise sa nature, en activant loption de condentialit correspondante. Si cette option nest pas active et quil ne ressort pas des lments dadressage quil sagit ou pourrait sagir dun message de nature prive, lemployeur peut partir de lide comme pour le courrier postal quil sagit dun message dordre professionnel. En cas de doute, lemploy est consult. Lemployeur na donc le droit ni douvrir ni de traiter (cest--dire sauvegarder, transmettre, scanner, etc.) un message lectronique priv lorsque celui-ci est signal ou reconnaissable comme tel. Partie constitutive de la personnalit, la sphre prive est aussi protge par lart. 13, al. 1, de la Constitution, qui garantit le respect des relations
28
quune personne tablit par les tlcommunications et qui sapplique galement au courrier lectronique (cf. galement ATF 126 I 50, consid. 6a en particulier). La consultation des messages privs auprs du fournisseur de service de courrier lectronique de lemployeur ne peut avoir lieu que par un juge dans le cadre dune poursuite pour certains crimes ou dlits (art. 3 de la loi fdrale sur la surveillance de la corresponPrpos fdral la protection des donnes et la transparence (PFPDT)
dance par poste et tlcommunication, LSCPT, RS 780.1). Lemployeur mme na pas le droit dobtenir du fournisseur du service de courrier lectronique des informations relatives au contenu des courriels de ses employs (art. 43 de la loi sur les tlcommunications, LTC, RS 784.10). Pour protger les messages privs, on pourra par exemple utiliser un service Web de courrier lectronique, si possible chiffr, qui soit indpendant du service professionnel mis disposition18. Lutilisation dun service Web de courrier lectronique chiffr dpend ce que prvoit le rglement dutilisation. Si le rglement interdit lutilisation dInternet au lieu de travail, lemploy prend le risque dtre sanctionn sil surfe quand mme des ns prives. La rgle applicable lusage priv du courrier lectronique au lieu de travail est donc la suivante: si le rglement dutilisation autorise lusage priv du courrier lectronique, lemploy a tout intrt utiliser un service Web de courrier lectronique si possible chiffr pour se protger; si lusage priv du courrier lectronique est interdit, il est conseill dy renoncer compltement. Il nest toutefois pas possible dviter compltement de recevoir des messages privs. Lemployeur doit tre conscient du fait quil ne peut rendre entirement responsable lemploy pour la rception de tous les courriers privs quil reoit. A lheure actuelle, les messages sont en gnral archivs sur le serveur de courrier lectronique. Lemployeur a le droit dutiliser les copies de sauvegarde pour rcuprer des donnes perdues, mais aussi pour identier un collaborateur fautif ou dterminer si un soupon est fond, condition toutefois quil ait prvu une telle possibilit dans le rglement de surveillance et que les chiers journaux naient pas permis didentier le fautif. An doprer une sparation claire entre les messages dordre priv et les messages dordre professionnel, mais aussi dans le but de faciliter la gestion du courrier professionnel, il est dconseill dutiliser la bote lettres comme moyen darchivage. On aura plutt avantage archiver le courrier priv sur un support priv et transfrer les messages de nature professionnelle sur un support idoine de gestion des documents. Cette manire de procder permet de renforcer sensiblement la protection de la sphre prive, car les messages privs ne gurent plus dans les sauvegardes effectues par lentreprise.
29
8.5.1.1
Procdure suivre
La surveillance exerce pour vrier si les rgles applicables au courrier lectronique sont respectes est soumise aux mmes principes que la surveillance du surf (cf. chap. 8.1 ss).
8.5.2
Surveillance du courrier lectronique de nature professionnelle
La gestion des documents de lentreprise suppose que tout document de nature professionnelle (y compris les messages lectroniques entrants et sortants) soit systmatiquement enregistr et localisable en tout temps. Lentreprise est en droit de crer des chiers journaux complets pour les courriers lectroniques de nature professionnelle et de sauvegarder ces messages. Il est conseill toutefois de limiter la journalisation aux lments suivants: le champ Objet, la date et lheure denvoi ou de rception du message, ladresse de lexpditeur et celle du destinataire. Pour le courrier lectronique, comme du reste pour le courrier postal, deux types dadressage sont possibles: ladressage nominatif (par exemple jean.dupont@entreprise.ch ou jean. dupont@vente.entreprise.ch) et ladressage fonctionnel non nominatif (par exemple information@entreprise.ch, vente@entreprise.ch ou directeur.ventes@entreprise.ch). Ladressage nominatif est la formule la plus rpandue aujourdhui. Il prsente toutefois de nombreux inconvnients du point de vue de la gestion des documents, notamment en ce qui concerne la gestion des messages lorsquun collaborateur est absent ou a quitt lentreprise et la difcult distinguer messages professionnels et messages privs dans ces cas-l. Lorsquil nest pas indiqu explicitement quun message est dordre priv ou professionnel et que les lments dadressage ne permettent pas non plus de dterminer quil sagit ou peut sagir dun message priv, lemployeur peut comme pour le courrier postal partir de lide que le message est dordre professionnel. Ladressage fonctionnel non nominatif est particulirement appropri pour le courrier lectronique professionnel qui ne concerne pas une personne en particulier, car elle ne prsente pas les inconvnients prcits. Ladressage nominatif devrait tre rserv aux cas o lchange dinformations, bien que de nature professionnelle, ne concerne que la personne en question (par exemple pour les questions de personnel ou les messages la concernant elle seule).
30
8.5.2.1
Gestion du courrier lectronique dun collaborateur absent
Lors des absences prvisibles (telles que vacances, congs ou service militaire), les messages entrants peuvent tre grs de trois manires principales:
dnition dune rponse automatique dabsence du bureau envoye lexpditeur avec indication des personnes contacter en cas durgence; dnition dune rgle qui transfre au supplant tous les messages entrants; cette solution a pour inconvnient toutefois que les messages de nature prive non marqus comme tels sont eux aussi transmis au supplant;
dsignation dun supplant et dnition dun droit daccs personnalis (droit de lire et, si ncessaire, de traiter les messages entrants dordre professionnel); le supplant na pas daccs aux messages privs signals comme tels; ce type de mesures permet de protger la sphre prive du collaborateur absent; les expditeurs de messages privs doivent tre conscients du fait que leurs messages sont lus par le supplant si rien ne permet de dterminer quil sagit de messages privs.
Pour les absences non prvisibles (maladie ou accident), chaque collaborateur devrait avoir un supplant prdni ayant entre autres accs son courrier lectronique (cf. annexe C). 8.5.2.2 Gestion du courrier lectronique dun collaborateur quittant lentreprise Un employ qui va quitter lentreprise doit avant son dpart transfrer qui de droit les dossiers en cours (y compris les messages lectroniques). Il certie en outre par une dclaration19 quil a remis lentreprise tous les documents de nature professionnelle. On doit lui offrir la possibilit de copier les messages lectroniques et autres documents de nature prive sur un support priv, puis de les effacer des serveurs de lentreprise. A la n du dernier jour de travail au plus tard, son compte de courrier lectronique (comme dailleurs ses autres comptes informatiques) doit tre bloqu et sa bote lettres (comme du reste ses autres supports de donnes personnels) efface; cette rgle sapplique galement en cas de dcs. Il serait bon que lemployeur sengage par crit le faire. Les personnes qui enverront un message ladresse bloque seront automatiquement informes du fait que cette adresse nexiste plus. La rponse automatique pourra en outre indiquer une adresse alternative.
31
8.5.3
Surveillance du courrier lectronique: cas particuliers
Lemployeur a-t-il le droit de chercher identier lauteur de messages lectroniques anonymes qui constituent des atteintes la personnalit ou une forme de harclement psychologique?
Lventuelle atteinte la personnalit dun employ par un autre employ est laffaire de la personne vise et de la justice civile. Lemployeur a toutefois le droit de rechercher lui-mme lidentit de la personne fautive lorsque le devoir de loyaut nest pas respect ou que les intrts de lemployeur peuvent tre touchs (par exemple baisse de rendement de la part de lemploy victime). Il peut aussi le faire lorsque le rglement dutilisation interdit lusage du courrier lectronique des ns prives. Dans un tel cas, lidentication du fautif se justie du fait que le rglement dutilisation na pas t respect ou que le devoir de loyaut na pas t observ, et non du fait quun collaborateur a t atteint dans sa personnalit. 8.6 Cas du tltravail
Par tltravailleur, on entend tout employ dont le lieu de travail se situe en dehors de lentreprise (par exemple employ travaillant chez lui par Internet). Comme les tltravailleurs ne peuvent tre directement surveills par leur suprieur, lutilisation prive des installations mises disposition par lemployeur est en rgle gnrale plus tendue. Bien que lon ne puisse parler directement dabus cet gard, le risque dune atteinte la personnalit lie la consultation des chiers journaux ou des donnes prives par lemployeur est plus important pour les tltravailleurs que pour les autres employs de lentreprise. Il est donc conseill, pour parer ce risque, dutiliser un support de donnes distinct (tel que disque dur externe, disquette ou CD) pour les documents et messages privs. Si le tltravailleur procde de la sorte, il lui sera plus facile de rendre linstrument de travail dans un tat irrprochable lorsquil quittera lentreprise.
32
9.
Surveillance en cas de dlit
Si un employeur, suite un contrle ou sur la base dautres indices, a des soupons concrets quun acte dlictueux a t commis par surf ou laide du courrier lectroPrpos fdral la protection des donnes et la transparence (PFPDT)
nique, il peut sauvegarder les moyens de preuve (chiers journaux et sauvegardes ventuelles). Comme la conservation des moyens de preuve est une affaire techniquement complexe, elle devrait tre cone un spcialiste (forensic computing scientist20). Les chiers journaux ou des plaintes manant demploys ou de tiers peuvent faire natre des soupons ou rvler lexistence dagissements qui non seulement violent le contrat de travail ou le rglement dutilisation mais constituent un acte dlictueux tel que: diffamation (art. 173 ss CP) harclement sexuel au lieu de travail (art. 198 CP) diffusion de matriel caractre raciste ou pornographique (art. 261bis et 197 CP) actes de sabotage par Internet ou espionnage industriel (cf. en particulier art. 143, 143bis, 144bis et 147 CP) Ce sont les suprieurs hirarchiques et, ventuellement, le service du personnel et non les services informatiques qui dcident si une plainte est dpose ou non. Bien quil nexiste aucune obligation en la matire, il est recommand de le faire, du moins pour les dlits poursuivis dofce, ceci an dcarter le risque que lentreprise ne soit dclare complice. Lorsquil y a eu abus, lemployeur a le droit de rechercher lidentit de la personne souponne et de porter plainte contre cette dernire. La suite de la procdure relve des autorits pnales. Ainsi, seules les autorits pnales ont le droit, par exemple, dordonner quune personne dtermine soit nouveau mise sous surveillance quand elle utilise Internet dans le but de dterminer si le soupon est fond, tant donn quune telle surveillance constitue une atteinte grave la personnalit. Si lemployeur dcide de son propre chef de surveiller une nouvelle fois certaines personnes, ces surveillances peuvent ne pas tre retenues comme moyen de preuve recevable dans le cadre dune procdure pnale. Elles pourront en outre avoir des consquences juridiques pour lemployeur (cf. chap. 11).
33
Lemployeur est tenu de traiter les rsultats de lenqute de manire condentielle, notamment lgard des tiers non autoriss (tels que les autres collaborateurs de lentreprise). Relevons enn que la prise de sanctions disciplinaires pour violation du rglement dutilisation est rserve, mme lorsquun dlit a t commis (cf. chap. 10).
34
10.
Sanctions en cas dabus
Si les conditions requises pour la surveillance et les rgles qui la grent ont t respectes, lemployeur (idalement le suprieur hirarchique et, ventuellement, le
service du personnel) a le droit, lorsquil constate un abus, de prendre des sanctions disciplinaires contre lemploy fautif. Lemploy rpond du dommage quil a caus lemployeur intentionnellement ou par ngligence (art. 321e CO). Les sanctions possibles sont: lavertissement, le blocage de laccs Internet, la demande de dommages-intrts, la rduction de salaire et le changement daffectation. Dans les cas extrmes, par exemple si labus est nouveau commis malgr un avertissement et quil provoque une panne technique ou si un dlit est prouv, lemployeur peut congdier lemploy (art. 335 CO). Le contrat de travail peut mme tre rsili avec effet immdiat lorsquen toute bonne foi on ne peut exiger de lemployeur quil maintienne les rapports de travail (art. 337 CO). Ce sont les suprieurs hirarchiques de lemploy fautif qui sont comptents pour prendre des sanctions contre ce dernier. Les services informatiques ou les responsables de la scurit ont le droit, pour leur part, de donner des avertissements, de limiter laccs Internet ou de supprimer des donnes, mais condition que le rglement de surveillance le prvoie expressment et que labus ait pu tre prouv avec certitude. Avant deffacer des chiers de ce type, lemployeur informera lemploy concern et lui permettra de copier les chiers en question (messages lectroniques privs, etc.) sur un support de donnes priv. Les sanctions doivent tre adaptes la gravit de labus et avoir t dnies pralablement dans le rglement de surveillance ou pouvoir tre drives de ce dernier. Les abus ne sont pas toujours des actes de malveillance. Dans de nombreux cas, ils sont motivs par la curiosit de lemploy ou dus un manque dinformation de la part de lemployeur sur les risques pour la scurit. Dans de tels cas, lemployeur porte une part de responsabilit. Il porte galement une part importante de responsabilit si un ordinateur est contamin par un virus et quil na pas prvu de logiciel antivirus ou na pas install un logiciel appropri. Il doit veiller ce que le logiciel antivirus soit automatiquement et rgulirement mis jour (notamment les chiers de dnition) et quil ne puisse tre dsactiv par les employs. Enn, lemployeur porte aussi une part de responsabilit si les autres mesures de scurit sont insufsantes.
35
Si le rglement dutilisation ne contient pas de critres prcis permettant de distinguer clairement lutilisation professionnelle admise dInternet de lutilisation prive non admise, il sera trs difcile, en pratique, de dcider si lutilisation dInternet est autorise ou non. En labsence dun rglement clair ce sujet, on ne prendra des sanctions lencontre dun employ que si un abus manifeste a t constat.
Sil nexiste pas de rglement du tout, lemploy ne devrait tre rendu responsable que des dommages quil a causs intentionnellement ou par ngligence grave. Ladresse IP et donc en principe aussi lidentit du collaborateur fautif peuvent tre consciemment falsies. Lemployeur devrait sengager ne prendre des mesures disciplinaires que si lidentit du collaborateur fautif a pu tre tablie avec certitude. Lactivation automatique dun conomiseur dcran assorti dun mot de passe permet de rduire sensiblement le risque dusurpation didentit. Est rserve la poursuite pnale par les organes comptents en cas de dlit. Le fardeau de la preuve est rgi par la rgle suivante: cest lemployeur de prouver que lemploy a manqu ses devoirs et quil en a rsult un dommage. Lemploy a alors la possibilit de prouver quil est innocent ou quil na commis quune faute lgre (art. 97 CO)21.
36
11.
Prtentions de lemploy en cas de surveillance illicite
Si lemployeur ne respecte pas les conditions requises pour la surveillance ni les rgles
qui la rgissent, les employs peuvent intenter une action en justice pour atteinte la personnalit (art. 15 et 25 LPD). Le fardeau de la preuve est rgi par lart. 97 CO. Le collaborateur concern peut, dans un premier temps, faire valoir ses prtentions auprs de lemployeur directement (constatation du caractre illicite de la surveillance, dommages-intrts, etc.). Si ce dernier nentre pas en matire, lemploy peut alors saisir le tribunal des prudhommes, qui ouvrira en principe une procdure rapide et gratuite. Lemploy peut galement contester les sanctions disciplinaires prises par lemployeur suite une surveillance illicite (telles que cong abusif selon lart. 336 CO). Une surveillance abusive peut en outre avoir des consquences pnales pour lemployeur, par exemple lorsquil y a eu violation de linterdiction de surveiller le comportement des employs (cf. art. 59, al 1, lit. a de la loi sur le travail, LTr, RS 822.11), ou soustraction de donnes personnelles (art. 179novies CP). Lutilisation despiogiciels et lanalyse nominative des chiers journaux sans information pralable des employs et/ou sans quun abus ait t constat sont aussi considres comme surveillance abusive.
37
Prpos fdral la protection des donnes et la transparence 3003 Bern Tl. 031 322 43 95 Fax 031 325 99 96 www.leprepose.ch
Dcembre 2007
38
Annexe A:
fil ans al s loc eau Rs
Tableau 1
Wardriving Systme de dtection d'intrusion (IDS)
N LA ss ele Wir
Internet Zone dmilitarise

Ordinateur portable Imprimante laser Serveur proxy Serveur HTTP Point d'accs VoIP Tlphone
Serveur
LAN
Pare-feu externe (NAT) Pare-feu interne Serveur Intranet
Diagramme
Serveur
Serveur
Serveur de messagerie Serveur FTP Routeur VPN Serveur DNS Groupe de modems
Serveur interne: - quotas disque Serveur DHCP
Pirate informatique
Ordinateur: - antivirus Infr - IP DNS a Blu rouge - renifleur eto oth Ordinateur de poche
Intranet
Routeur VPN Modem Tltravailleur Revendeur Modem RNIS
Succursale
Extranet
Fichiers journaux
Guide relatif la surveillance de lutilisation dinternet et du courrier lectronique au lieu de travail Prpos fdral la protection des donnes et la transparence (PFPDT)
39 B.1
Tableau 2
Annexe B:
Conditions de la surveillance
Surveillance: conditions et droulement
B.2
Droulement de la surveillance
Surveillance anonyme, exerce de manire permanente (cf. chap. 8.3)
Surveillance pseudonyme, exerce de manire ponctuelle (cf. chap. 8.3)
Autres indices (internes ou externes) (cf. chap. 8.2) L'employeur constate-t-il un abus ou a-t-il des soupons d'abus ? Mesures visant garantir la scurit et le bon fonctionnement des installations techniques (cf. chap. 8.1) Non Adaptation ventuelle du rglement d'utilisation et/ou des mesures de protection techniques (cf. chap. 8.1 ss)
Oui Adaptation ventuelle du rglement d'utilisation et/ou des mesures de protection techniques (cf. chap. 8.1 ss) Soupon Abus Pas d'abus
40
Analyse nominative des fichiers journaux (cf. chap. 8.4.2)
Abus
Analyse nominative sommaire pour dterminer si le soupon est fond (cf. chap. 8.4.2)
Sanction adapte la gravit de l'abus cf. chap. 9 et 10) : - avertissement - blocage de l'accs Internet - demande de dommages-intrts - sauvegarde des preuves et dpt d'une plainte pnale - licenciement - etc.
Dpt ventuel d'une plainte pnale ou civile en cas de surveillance abusive par l'employeur (cf. chap. 11)
Tableau 3
B.3
Droulement de lanalyse
DATE TIME USER-ID SENDER RECEIVER PRIVATE -----------------------------------------------------------------------------010103 23:59 PIERRE MONNIER PM@ENTREPRISE.COM XY@PRIVE.COM YES 020103 00:02 JEAN DUPONT JD@ENTREPRISE.COM PB@ENTREPRISE.COM NO 020103 00:02 PIERRE MONNIER PM@ENTREPRISE.COM HM@ENTREPRISE.COM NO 020103 00:02 JEAN DUPONT ZZ@PRIVE.COM HM@ENTREPRISE.COM NO 020103 00:10 JEAN DUPONT JD@ENTREPRISE.COM ZZ@PRIVE.COM YES 020103 00:11 JEAN DUPONT ZZ@PRIVE.COM HM@ENTREPRISE.COM NO 020103 00:12 JEAN DUPONT JD@ENTREPRISE.COM ZZ@PRIVE.COM YES 020103 00:13 JEAN DUPONT ZZ@PRIVE.COM HM@ENTREPRISE.COM NO 020103 00:14 JEAN DUPONT JD@ENTREPRISE.COM ZZ@PRIVE.COM YES 020103 00:15 PIERRE MONNIER PM@ENTREPRISE.COM HM@ENTREPRISE.COM NO 020103 00:16 JEAN DUPONT JD@ENTREPRISE.COM PB@ENTREPRISE.COM NO 020103 00:17 JEAN DUPONT ZZ@PRIVE.COM HM@ENTREPRISE.COM NO 020103 00:21 JEAN DUPONT JD@ENTREPRISE.COM ZZ@PRIVE.COM YES 020103 00:22 JEAN DUPONT ZZ@PRIVE.COM HM@ENTREPRISE.COM NO ...
Les services informatiques chargs d'assurer la scurit et le bon fonctionnement des installations ont un accs direct aux fichiers journaux.
DATE TIME USER-ID URL -----------------------------------------------------010103 23:59 PIERRE MONNIER WWW.ENTREPRISE.COM 020103 00:02 JEAN DUPONT WWW.ENTREPRISE.COM 020103 00:02 PIERRE MONNIER WWW.TEST.COM 020103 00:02 JEAN DUPONT WWW.SEXE.COM 020103 00:10 JEAN DUPONT WWW.ENTREPRISE.COM 020103 00:11 JEAN DUPONT WWW.TEST.COM 020103 00:12 JEAN DUPONT WWW.SEXE.COM 020103 00:13 JEAN DUPONT WWW.ENTREPRISE.COM 020103 00:14 JEAN DUPONT WWW.TRADING.COM 020103 00:15 PIERRE MONNIER WWW.ENTREPRISE.COM 020103 00:16 JEAN DUPONT WWW.SEXE.COM 020103 00:17 JEAN DUPONT WWW.ENTREPRISE.COM 020103 00:21 JEAN DUPONT WWW.ENTREPRISE.COM 020103 00:22 JEAN DUPONT WWW.ENTREPRISE.COM ...
Fichier journal Internet
Fichier journal messagerie
Fichier journal imprimante
41
LISTE DE CORRESPONDANCE -----------------xy123 => PIERRE MONNIER zz321 => JEAN DUPONT
La personne charge de vrifier si le rglement d'utilisation est respect (en rgle gnrale le responsable de la protection des donnes de l'entreprise) a accs aux analyses mais pas aux fichiers journaux .
Outil d'analyse
Fichier journal outil d'analyse
Analyse anonyme, 020203 ----------------------Internet -------1. www.entreprise.com 2. www.test.com 3. www.sexe.com Courriels --------Envoys: Reus:
Analyse pseudonyme, 020203 -------------------------Pseudo: zz321 Internet -------1. www.sexe.com 2. www.entreprise.com 3. www.trading.com Courriels --------Envoys: Reus:
Analyse nominative, 020203 -------------------------USER: JEAN DUPONT Internet -------1. www.sexe.com 2. www.entreprise.com 3. www.trading.com Courriels --------Envoys: Reus:
65% 25% 6%
55% 40% 5%
55% 40% 5%
70 (37 privs) 70 (2 privs)
38 (35 privs) 37 (2 privs)
38 (35 privs) 37 (2 privs)
Tableau 4: cf. chap. 8.3
Annexe C:
Rglement type de surveillance du surf et du courrier lectronique au lieu de travail
Le texte du rglement est en caractres standard, les notes et commentaires sont en

italique. C.1 But et champ dapplication
C.1.1
But
Le prsent rglement a pour but de protger les intrts de lemployeur et de lemploy en matire de surveillance du surf et du courrier lectronique au lieu de travail. C.1.2 Champ dapplication
Le prsent rglement sapplique tout employ, interne ou externe, de lentreprise. C.2 Intrts et risques de lemployeur et de lemploy
42
C.2.1
Intrts et risques de lemployeur
Lutilisation, au lieu de travail, dun ordinateur en rseau peut porter atteinte certains intrts et quipements techniques de lentreprise. Peuvent tre affects: la capacit de stockage et la bande passante du rseau, suite une utilisation excessive dInternet et du courrier lectronique; la scurit des donnes et des applications (disponibilit, intgrit, condentialit), en raison de limportation de virus, vers, chevaux de Troie ou de linstallation de logiciels trangers lentreprise; le temps de travail et dautres intrts nanciers (pertes de productivit, augmentation des cots pour des moyens et/ou prestations supplmentaires, frais de rseau, etc.); dautres intrts de lentreprise protgs par la loi, tels que sa rputation, ses secrets de fabrication ou daffaires, ou encore la protection des donnes.
C.2.2
Intrts et risques de lemploy
Les intrts de lemploy lis au surf et au courrier lectronique au lieu de travail (information et communication) peuvent tre menacs sur le plan notamment du droit
du travail, de la protection des donnes ou de la sant, ou encore sur le plan conomique. C.3 Mesures de protection techniques et journalisations
C.3.1
Mesures de protection techniques
Lentreprise met en uvre les mesures de protection techniques suivantes: - ... - ... - ... Le chap. 3 du prsent guide dresse la liste des principales mesures de protection techniques. C.3.2 Journalisations
43
La plupart des activits effectues laide de moyens informatiques sont consignes dans des chiers journaux. La journalisation est lenregistrement continu des donnes dutilisation de type qui, quoi, quand. Dans notre entreprise, elle est effectue aux endroits suivants: - ... - ... - ... On indiquera ici les types de journalisation effectus, le but vis et la dure de conservation des donnes. Lentreprise remplira ainsi le devoir dinformation qui lui incombe selon lart. 4, al. 2, LPD en matire de traitement de donnes et de constitution de chiers. Si elle ne fournit pas ces informations aux employs, elle devra dclarer les chiers journaux au Prpos fdral la protection des donnes et la transparence en vertu de lart. 11 LPD. Les principaux types de journalisation sont recenss au chap. 4 et lannexe A du guide.
Les chiers journaux relatifs aux messages privs ne comprennent que ladresse de lemploy, la mention Priv, la date et lheure denvoi ou de rception du message. C.4
Rglement dutilisation
Cest lemployeur de dcider si les employs peuvent utiliser Internet et le courrier lectronique des ns prives au lieu de travail. Comme dans les autres domaines du rapport de travail, il dispose en effet du droit dtablir des directives. La porte des droits dutilisation pourront varier selon les catgories demploys et selon les besoins de chacun sur le plan professionnel. Le chap. 5 du guide indique un certain nombre de rgles applicables pour le surf et le courrier lectronique au lieu de travail. Dans tous les cas, il est indispensable que lemployeur xe des rgles concrtes et dnues de toute ambigut dans ce domaine. Le rglement dutilisation doit tre mis jour si ncessaire. C.5 Rglement de surveillance
C.5.1
Priorit aux mesures de protection techniques
44
Lentreprise sengage privilgier les mesures de protection techniques pour prvenir les abus et les dommages de nature technique. Elle actualise rgulirement les mesures de protection techniques en fonction des volutions de la technologie. Elle adapte galement ces mesures aprs un drangement technique. Elle na le droit de procder une analyse nominative des chiers journaux du surf et du courrier lectronique que dans les cas o les mesures de protection techniques ne sufsent pas empcher un abus. Elle nutilise pas despiogiciels. C.5.2 Analyse des chiers journaux
Lentreprise effectue des analyses anonymes et pseudonymes des chiers journaux dans le but de vrier si le rglement dutilisation est respect. Lanalyse anonyme est une analyse statistique des chiers journaux qui seffectue sur la base des critres suivants: (Lentreprise ou lunit administrative concerne indiquera ici les critres quelle a retenus, cf. chap. 8.3 du guide).
Lanalyse pseudonyme se fait par sondages uniquement. On indiquera ici le calendrier et la priode pendant laquelle le sondage aura lieu (cf. chap. 8.4.1 du guide). Les analyses pseudonymes (ou anonymes) portent sur des chantillons sufsamment grands de personnes pour garantir le caractre pseudonyme (ou anonyme) des analyPrpos fdral la protection des donnes et la transparence (PFPDT)
ses. Les chiers journaux et leslistes de correspondance sont conservs sparment, par des personnes ayant des fonctions diffrentes. (Cf. chap. 8.3 du guide.) Si lentreprise constate un abus lors dune analyse anonyme ou pseudonyme (ou quune analyse fait natre un soupon dabus), elle procde une analyse nominative des chiers journaux en utilisant la liste de correspondance. Est considr comme abus toute violation du rglement dutilisation. Lorsquil y a abus, lentreprise peut prononcer une des sanctions vises au point 5.8 du prsent rglement. Sil savre quun soupon est infond, lentreprise interrompt immdiatement lanalyse nominative. On indiquera ici la personne responsable de lanalyse nominative. En rgle gnrale, cette tche sera assume par le conseiller la protection des donnes de lentreprise (cf. annexe B.3). Si lanalyse des chiers journaux ou dautres lments rvlent lexistence dun dlit ou font natre des soupons dabus, lentreprise sauvegarde les chiers journaux concerns. Elle se rserve le droit de dposer plainte contre la personne concerne. La suite de la procdure relve des autorits pnales. Lentreprise sengage traiter les rsultats de lenqute de manire condentielle, notamment lgard des tiers non autoriss (tels que les autres collaborateurs de lentreprise). Cest le suprieur hirarchique et non le service informatique qui dcidera si une plainte est dpose ou non. Bien quil nexiste aucune obligation en la matire, il est recommand de le faire, du moins pour les dlits poursuivis dofce, an dcarter le risque que lentreprise ne soit dclare complice. C.5.3 Surveillance exerce pour garantir la scurit et le bon fonctionnement du systme informatique ou sur la base dautres indices Si lentreprise constate un dysfonctionnement du systme informatique en dpit des mesures de protection techniques prises, elle peut analyser les chiers journaux pour en dterminer la cause. Si le dysfonctionnement est d un abus, le collaborateur fautif peut faire lobjet dune des sanctions vises au point 5.8.
45
Si lemployeur constate un abus ou quil pense quil y a eu abus parce que dautres indications le lui font supposer, il peut consulter les chiers journaux concerns et leurs analyses. En cas dabus, il peut prononcer lune des sanctions vises au point 5.8. C.5.4 Distinction entre messages privs et messages professionnels
Les messages privs doivent tre signals en tant que tels (option Priv) par lexpditeur, que ce dernier fasse partie de lentreprise ou non. Lentreprise na le droit ni de consulter ni de traiter dune quelconque manire les messages privs signals comme tels. Lorsque rien nindique la nature (professionnelle ou prive) du message et que les lments dadressage ne permettent pas non plus de dterminer quil sagit dun message priv, lentreprise part de lide quil sagit dun message de nature professionnelle. En cas de doute, lemployeur clarie la question avec lemploy. Les expditeurs, internes ou externes, doivent tre expressment informs sur ce point. Lentreprise vous recommande dutiliser un service Web de courrier lectronique si possible chiffr, an de mieux protger vos messages privs. Le droit dutilisation dun service Web de courrier lectronique chiffr dpend de ce que prvoit le rglement dutilisation. En vue de mieux distinguer le courrier professionnel du courrier priv, lentreprise pourra aussi dcider que le courrier lectronique de nature professionnelle soit effectue avec des adresses fonctionnelles plutt que nominatives (cf. chap. 8.5.2 du guide). C.5.5 Surveillance du courrier lectronique de nature professionnelle
46
Lentreprise a le droit dtablir des chiers journaux pour les messages dordre professionnel et, si ncessaire, de sauvegarder ces messages. Ces chiers journaux englobent notamment le champ Objet, la date et lheure denvoi ou de rception du message, ladresse de lexpditeur et celle du destinataire.
C.5.6
Gestion du courrier lectronique dun collaborateur absent
Pour les absences prvisibles (telles que vacances, congs ou service militaire) comme dailleurs imprvisibles (maladie ou accident), lemploy dsigne un supplant qui aura le droit de lire et, si ncessaire, de traiter les messages professionnels entrants. Le
supplant naura pas accs aux messages signals comme privs. Les expditeurs externes de messages privs doivent tre informs du fait que les messages privs non signals comme tels sont susceptibles dtre lus par un supplant. C.5.7 Gestion du courrier lectronique dun collaborateur ayant quitt lentreprise Lemploy qui va quitter lentreprise doit avant son dpart transfrer qui de droit les affaires pendantes comme les messages lectroniques. Il certie par une dclaration quil a remis lentreprise tous les documents de nature professionnelle. On doit lui offrir la possibilit de copier ses messages lectroniques et autres documents privs sur un support priv, puis de les effacer des serveurs de lentreprise. A la n du dernier jour de travail au plus tard, son compte de courrier lectronique (comme du reste ses autres comptes informatiques) sera bloqu et sa bote lettres (comme tous les autres supports de donnes personnels) efface; cette rgle sapplique galement en cas de dcs. Les personnes qui enverront un message ladresse bloque seront automatiquement informes du fait que cette adresse nexiste plus. La rponse automatique pourra en outre leur indiquer une adresse alternative. C.5.8 Sanctions en cas dabus
47
Si les conditions requises pour la surveillance et les rgles qui la rgissent ont t respectes, lentreprise est en droit, lorsquelle constate un abus, de prendre des sanctions disciplinaires contre lemploy fautif. On numrera ici les sanctions possibles: avertissement, blocage de laccs Internet, demande de dommages-intrts, suppression de primes, etc. (cf. chap. 10 du guide). Dans les cas extrmes, par exemple si labus se reproduit malgr un avertissement et provoque une panne technique ou si un dlit est prouv, lemployeur peut congdier
lemploy. Le contrat de travail peut mme tre rsili avec effet immdiat lorsquen toute bonne foi on ne peut plus exiger de lemployeur quil maintienne les rapports de travail. Les sanctions doivent tre adaptes la gravit de labus et avoir t dnies pralablement dans le rglement de surveillance.
Avant deffacer des chiers obtenus de manire abusive, nous informerons lemploy concern et lui permettrons de copier les chiers en question (messages lectroniques privs, etc.) sur un support de donnes priv. C.5.9 Prtentions de lemploy en cas de surveillance illicite
Si les conditions requises pour la surveillance et les rgles qui la rgissent ne sont pas respectes, lemploy peut faire valoir les prtentions prvues par le code civil en cas datteinte la personnalit (cf. art. 28 ss CC). En cas de surveillance abusive par lentreprise, lemploy peut aussi engager une poursuite pnale contre elle, par exemple pour violation du domaine secret ou du domaine priv au moyen dun appareil de prises de vues (art. 179quater CP) ou pour soustraction de donnes personnelles (art. 179novies CP). C.5.10 Autres dispositions
48
Les employs de notre entreprise sont rgulirement sensibiliss, par divers cours, aux risques en rapport avec le surf et le courrier lectronique. Les services informatiques et les responsables hirarchiques de lentreprise prennent toutes les mesures techniques ncessaires pour empcher que les donnes personnelles quils traitent dans le cadre dune surveillance ne tombent entre les mains de personnes non autorises. Ils veillent en particulier assurer la condentialit, la disponibilit et lintgrit de ces donnes. Lemploy peut en tout temps demander lentreprise si des donnes le concernant sont traites et, le cas chant, lesquelles. Des donnes personnelles ne peuvent tre communiques des tiers non autoriss sans motif valable ou sans laccord de la personne concerne. Les collgues de travail de la personne concerne sont considrs comme des tiers. Lentreprise na aucune obligation lgale de conserver les chiers journaux. Elle peut toutefois le faire pendant une dure limite (ne dpassant en gnral pas quatre semaines) sils sont susceptibles de servir de moyens de preuve.
La dure de conservation dpendra du but de la journalisation. Dans le cadre dune procdure de sanction ou dune procdure pnale, les chiers journaux pourront tre conservs jusqu lexpiration du dlai de recours correspondant.
49
Notes
URL (Uniform Resource Locator): adresse unique dune ressource sur Internet, comme par ex. http://www.indesirable.ch ou ftp://ftp.rme.ch/chier.zip
1
Duden Informatik, 2e edition, Mannheim, Leipzig, Zurich, Vienne, 1993. Par ex. le programme Stripes.exe de MS-DOS. Consulter ce sujet le Guide relatif aux mesures techniques et organisationnelles de
la protection des donnes dit par le Prpos fdral la protection des donnes et la transparence.
5
Service Pack, Service Release, Hotx, Patch, etc.)
Par ex. refuser les cookies ou dsactiver Javascript, pour empcher les coutes (Wiretap) du courrier lectronique
6 7
Un pare-feu est en mesure, grce au procd appel Network Address Translation (NAT), de remplacer une adresse IP personnelle par une adresse IP publique dentreprise, rendant ainsi une attaque pirate depuis lextrieur pratiquement impossible.
8
50
9
HTTP, FTP, TELNET, NNTP, SMTP etc. , Ghost Keylogger, WinWhatWhere Investigator, PC Activity Monitor, etc.
10
Les programmes de journalisation se sont pas avertis de la fermeture du navigateur.

11
Motion Fritz Reimann du 12 dcembre 1984 concernant la protection de la personnalit des employs.
12
Voir galement la rponse crite du Conseil fdral du 20 aot 1985 la motion
Reimann ainsi que les remarques du projet de directive au sujet de lart. 26 OLT 3.
13
Lors des travaux dlaboration de lart. 26 OLT 3 on avait dj fait remarquer, dans
le contexte des coutes tlphoniques, que les donnes accessoires compltes des communications tlphoniques ne pouvaient tre analyses nominativement que si un abus concret avait t constat.
14
Consulter ce sujet le Guide relatif aux mesures techniques et organisationnelles de la protection des donnes dit par le Prpos fdral la protection des donnes et la transparence.
15
Cf. le 9e rapport dactivits du Prpos fdral la protection des donnes et la
transparence, 2001/2002, chap. 2.2.1, p. 19 ss, en particulier p. 21.

16
Si lanalyse rvle par exemple que le site Internet dun quotidien est rgulirement consult par un pseudonyme en particulier, lemployeur a le droit de procder une analyse nominative pour dterminer si la personne concerne est autorise consulter le site en question. La consultation du site peut se justier suivant la fonction de la personne (en loccurrence sil sagit du charg de presse).
17
Cf. 5e rapport dactivits du Prpos fdral la protection des donnes et la
transparence, 1997/98, p. 42/178.

18
Un chiffrement peut tre obtenu en utilisant p. ex. le logiciel PGP (Pretty Good Priva-
cy) ou un service Web de courrier lectronique tel que Hushmail.com. Il convient de prciser toutefois quune protection absolue nexiste que si les deux correspondants (expditeur et destinataire) utilisent un tel logiciel ou un tel service de chiffrement.
19
Exemple de dclaration: Je conrme par la prsente dclaration que jai rendu lentreprise tous les biens physiques et lectroniques qui lui appartiennent, y compris les biens intellectuels.
20
Ces experts conseillent les autorits dinstruction dans les domaines de la crimi-
51
nalit informatique et de la criminalit utilisant des moyens informatiques. Ils sont associs aux enqutes prliminaires et aux mesures de surveillance techniques au titre dexperts, aprs stre engags devant le juge respecter le secret de fonction. Ils ont pour tche de sauvegarder les donnes numriques pouvant servir de preuves au tribunal. Ils remettent lautorit dinstruction un rapport dexpertise comprenant leurs analyses et leurs recommandations. Ils ont une grande responsabilit et peuvent tre appels prsenter leurs conclusions devant le tribunal.
21
Cf. Brunner, Bhler, Waeber in Commentaire du contrat de travail, Union syndicale suisse, Lausanne, 1996, p. 42 ss.

Securité Courrier Et Internet

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Securité Courrier Et Internet

Uploaded by

Copyright:

Available Formats

Prpos fdral la protection des donnes et la transparence (PFPDT)

Guide relatif la surveillance de lutilisation dinternet et du courrier lectronique au lieu de travail

Le Prpos fdral la protection des donnes et la transparence

Editeur: Le Prpos fdral la protection des donnes et la transparence 3003 Bern

Table des matires

1.1 1.2 2. 3. 4. 5. 6. 7. 7.1 7.2 8. 8.1 8.2 8.3 8.4

Introduction: la surveillance du surf et du courrier lectronique

Les applications en rseau les plus importantes

Intrts concerns de lemployeur

Guide relatif la surveillance de lutilisation dinternet et du courrier lectronique au lieu de travail

Prpos fdral la protection des donnes et la transparence (PFPDT)

Mesures techniques et organisationnelles de protection4

Guide relatif la surveillance de lutilisation dinternet et du courrier lectronique au lieu de travail

Prpos fdral la protection des donnes et la transparence (PFPDT)

Guide relatif la surveillance de lutilisation dinternet et du courrier lectronique au lieu de travail

Prpos fdral la protection des donnes et la transparence (PFPDT)

Guide relatif la surveillance de lutilisation dinternet et du courrier lectronique au lieu de travail

Prpos fdral la protection des donnes et la transparence (PFPDT)

Traces laisses par le surf sur Internet

Guide relatif la surveillance de lutilisation dinternet et du courrier lectronique au lieu de travail

Prpos fdral la protection des donnes et la transparence (PFPDT)

Le rglement dutilisation dInternet et du courrier lectronique titre priv

Bases lgales de la surveillance

Guide relatif la surveillance de lutilisation dinternet et du courrier lectronique au lieu de travail

Prpos fdral la protection des donnes et la transparence (PFPDT)

Principales conditions juridiques pour la surveillance du surf et du courrier lectronique

Surveillance du surf et du courrier lectronique au lieu de travail

Surveillance exerce pour dautres motifs

Premire phase: surveillance non nominative

La premire phase de la surveillance a pour buts principaux dtablir des statistiques 26

Surveillance du courrier lectronique

Surveillance du courrier lectronique de nature prive

Surveillance du courrier lectronique de nature professionnelle

Gestion du courrier lectronique dun collaborateur absent

Surveillance du courrier lectronique: cas particuliers

Surveillance en cas de dlit

Guide relatif la surveillance de lutilisation dinternet et du courrier lectronique au lieu de travail

Prpos fdral la protection des donnes et la transparence (PFPDT)

Sanctions en cas dabus

Prtentions de lemploy en cas de surveillance illicite

Guide relatif la surveillance de lutilisation dinternet et du courrier lectronique au lieu de travail

Prpos fdral la protection des donnes et la transparence (PFPDT)

fil ans al s loc eau Rs

Internet Zone dmilitarise

Serveur interne: - quotas disque Serveur DHCP

Routeur VPN Modem Tltravailleur Revendeur Modem RNIS

Surveillance: conditions et droulement

Prpos fdral la protection des donnes et la transparence (PFPDT)

Surveillance anonyme, exerce de manire permanente (cf. chap. 8.3)

Surveillance pseudonyme, exerce de manire ponctuelle (cf. chap. 8.3)

Analyse nominative des fichiers journaux (cf. chap. 8.4.2)

Prpos fdral la protection des donnes et la transparence (PFPDT)

Fichier journal Internet

Fichier journal messagerie

Fichier journal imprimante

Fichier journal outil d'analyse

70 (37 privs) 70 (2 privs)

38 (35 privs) 37 (2 privs)

38 (35 privs) 37 (2 privs)

Tableau 4: cf. chap. 8.3

Rglement type de surveillance du surf et du courrier lectronique au lieu de travail

Le texte du rglement est en caractres standard, les notes et commentaires sont en

italique. C.1 But et champ dapplication