Préposé fédéral à la protection des données et à la transparence (PFPDT

)

Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail
A l‘intention des administrations publiques et de l'industrie privée

1
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Le Préposé fédéral à la protection des données et à la transparence

Editeur: Le Préposé fédéral à la protection des données et à la transparence 3003 Bern

Table des matières
Introduction: la surveillance du surf et du courrier électronique................5 1.
Préposé fédéral à la protection des données et à la transparence (PFPDT)

Les applications en réseau les plus importantes ................................... 6 Applications sans enregistrement de contenu ................................................. 6 Applications avec enregistrement de contenu ................................................. 6 Intérêts concernés de l’employeur ............................................................ 8 Mesures techniques et organisationnelles de protection ................. 10 Traces laissées par le surf sur Internet ................................................... 14 Le règlement d’utilisation d’Internet et du courrier électronique à titre privé..................................................................................................... 18 Bases légales de la surveillance ............................................................... 20 Principales conditions juridiques pour la surveillance du surf et du courrier électronique ............................................................................. 22 L’information préalable..................................................................................... 22 La constatation d’un abus ................................................................................ 23 Surveillance du surf et du courrier électronique au lieu de travail . 24 Surveillance exercée pour garantir la sécurité et le bon fonctionnement du système informatique de l’entreprise ....................................................... 24 Surveillance exercée pour d’autres motifs ..................................................... 25 Surveillance basée sur l’analyse des fichiers journaux .................................. 25 Surveillance basée sur l’analyse des fichiers journaux du surf ..................... 26

1.1 1.2 2. 3. 4. 5. 6. 7. 7.1 7.2 8. 8.1 8.2 8.3 8.4

3
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

8.4.1 Première phase: surveillance non nominative ................................................ 26 8.4.2 Deuxième phase: surveillance nominative ..................................................... 27 8.5 Surveillance du courrier électronique ............................................................. 28 8.5.1 Surveillance du courrier électronique de nature privée ................................. 28 8.5.1.1Procédure à suivre ........................................................................................... 30 8.5.2 Surveillance du courrier électronique de nature professionnelle.................. 30 8.5.2.1Gestion du courrier électronique d’un collaborateur absent......................... 31 8.5.2.2Gestion du courrier électronique d’un collaborateur quittant l’entreprise ... 31 8.5.3 Surveillance du courrier électronique: cas particuliers .................................. 32 8.6 9. 10. 11. Cas du télétravail .............................................................................................. 32 Surveillance en cas de délit ....................................................................... 33 Sanctions en cas d’abus ............................................................................. 35 Prétentions de l’employé en cas de surveillance illicite .................... 37

Annexe A: Diagramme .................................................................................38 Annexe B: Surveillance: conditions et déroulement ..................................39 B.1 B.2
Préposé fédéral à la protection des données et à la transparence (PFPDT)

Conditions de la surveillance ........................................................................... 39 Déroulement de la surveillance ....................................................................... 40 Déroulement de l’analyse ................................................................................ 41 électronique au lieu de travail ......................................................... 42

B.3

Annexe C: Règlement type de surveillance du surf et du courrier C.1 But et champ d’application .............................................................................. 42

C.1.1 But ..................................................................................................................... 42 C.1.2 Champ d’application ........................................................................................ 42 C.2 Intérêts et risques de l’employeur et de l’employé ........................................ 42 C.2.1 Intérêts et risques de l’employeur................................................................... 42 C.2.2 Intérêts et risques de l’employé ...................................................................... 43 C.3 Mesures de protection techniques et journalisations .................................... 43 C.3.1 Mesures de protection techniques ................................................................. 43 C.3.2 Journalisations .................................................................................................. 43 C.4 C.5 Règlement d’utilisation..................................................................................... 44 Règlement de surveillance ............................................................................... 44

4
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

C.5.1 Priorité aux mesures de protection techniques ............................................. 44 C.5.2 Analyse des fichiers journaux .......................................................................... 44 C.5.3 Surveillance exercée pour garantir la sécurité et le bon fonctionnement du système informatique ou sur la base d’autres indices ............................. 45 C.5.4 Distinction entre messages privés et messages professionnels ................... 46 C.5.5 Surveillance du courrier électronique de nature professionnelle.................. 46 C.5.6 Gestion du courrier électronique d’un collaborateur absent ......................... 47 C.5.7 Gestion du courrier électronique d’un collaborateur ayant quitté l’entreprise ........................................................................................................ 47 C.5.8 Sanctions en cas d’abus .................................................................................. 47 C.5.9 Prétentions de l’employé en cas de surveillance illicite................................. 48 C.5.10 Autres dispositions ........................................................................................... 48 Notes ........................................................................................................................... 50

Introduction: la surveillance du surf et du courrier électronique
L’apparition des nouvelles technologies dans le monde du travail a permis aux entrePréposé fédéral à la protection des données et à la transparence (PFPDT)

prises d’augmenter leur productivité et la qualité, mais elle s’accompagne pour elles d’effets moins réjouissants: une utilisation indue ou excessive d’Internet et du courrier électronique pendant les heures de travail peut non seulement coûter cher; mais aussi paralyser les transmissions de données, surcharger la capacité de stockage, voire même conduire à un blocage de stations de travail. De plus, la visite de sites Web illégaux peut entacher la réputation de l’entreprise et entraîner des conséquences juridiques. Les mesures prises par l’employeur pour prévenir ce genre d’abus ne sont souvent pas moins contestables. Le recours aux programmes espions (espiogiciels) et l’analyse nominative permanente des fichiers journaux sont des intrusions interdites dans la personnalité de l’employé. Le moment est venu pour l’employeur de changer d’attitude: il lui faut désormais concentrer ses efforts sur la prévention technique. Plutôt que surveiller ses employés, il mettra en œuvre les mesures d’ordre technique permettant de contenir les abus et de protéger l’entreprise. Il ne sera autorisé à analyser nominativement les fichiers journaux que si les mesures prises s’avèrent inefficaces et encore faudra-t-il qu’il en ait informé au préalable le personnel dans le cadre du règlement de surveillance. En l’absence d’abus et d’information préalable, il ne pourra analyser les fichiers journaux du surf et du courrier électronique que sous forme anonyme ou pseudonyme. Il devra encore se poser la question de savoir lesquels de ses employés doivent avoir accès à Internet et dans quelles limites. Le cas échéant, il ne leur mettra à disposition que le courrier électronique. Il ne perdra jamais de vue que l’accès de l’entreprise à Internet et au courrier électronique la rend vulnérable aux attaques de l’extérieur. Le législateur n’ayant guère légiféré jusqu’ici sur les droits et sur les devoirs des parties en présence, nous espérons l’y inciter ici, mais aussi sensibiliser toutes les personnes concernées par le problème. Ce guide traite en premier lieu des principales applications en réseau, des traces qu’elles laissent, des intérêts qui sont en jeu pour l’employeur et des mesures de protection techniques qu’il peut prendre. Il présente ensuite les bases légales actuelles et énonce à quelles conditions le surf et le courrier électronique peuvent être surveillés par l’employeur. Il rend encore le lecteur attentif aux conséquences de l’usage abusif d’Internet et de la surveillance illicite. Divers diagrammes et un règlement type figurant en annexe résument l’essentiel.

5
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

1.

Les applications en réseau les plus importantes

Internet offre une multitude d’applications que l’on appelle communément les «services Web», parmi lesquels on compte également des services du réseau interne de
Préposé fédéral à la protection des données et à la transparence (PFPDT)

l’entreprise (Intranet). Ces «applications en réseau» peuvent être subdivisées en deux grandes catégories: celles qui provoquent l’enregistrement d’un contenu sur un support de données et celles qui ne le provoquent pas. 1.1 Applications sans enregistrement de contenu

Parmi les applications de ce type, on recense en premier lieu l’activité bien connue qui consiste à surfer (naviguer) sur Internet, c.-à-d. à visiter des sites qui sont hébergés sur des serveurs Web et auxquels on accède directement grâce à leur adresse URL1. Le surf permet aussi de relever le courrier électronique (web-based email) hébergé chez des fournisseurs d’accès Internet (ISP: Internet Service Providers). Des moteurs de recherche spécialisés tels qu’Altavista ou Google permettent de procéder à une sorte de recherche en plein texte dans une base de données globale, d’après des critères choisis par l’utilisateur. On parle de surf multimédia lorsque les sources audio et vidéo ainsi que la téléphonie (VoIP: Voice over IP) passent par le réseau. Les groupes de discussion (newsgroups) sont des forums de discussion publics. Ils fonctionnent selon le principe du «tableau d’affichage»; on les désigne également par le terme de «babillards électroniques»: tous les abonnés à un groupe de discussion peuvent apporter des contributions (questions ou réponses) sous la forme de messages pouvant être lus par les autres participants. Le cyberbavardage ou la causette (IRC: Internet Relay Chat), de même que la messagerie instantanée (Instant Messaging), permet à plusieurs personnes de dialoguer en direct et en temps réel au moyen du clavier, pour autant qu’elles se soient dotées d’un pseudonyme qui les identifie. 1.2 Applications avec enregistrement de contenu

6
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Parmi les applications de ce deuxième type, on compte principalement le téléchar. gement de fichiers (download) à l’aide de protocoles tels que HTTP ou FTP Les exemples classiques de téléchargement concernent des gratuiciels et partagiciels (freewares/sharewares) tels que des jeux ou des objets multimédiaux (image, son ou vidéo).

La réception et l’envoi de messages électroniques (courriels) font également partie de cette catégorie. Le courrier électronique permet d’envoyer des messages rédigés en clair, parfois avec des fichiers joints, à d’autres personnes connectées au réseau. Sans chiffrement, la confidentialité des messages est comparable à celle d’une carte postale, c’est pourquoi les contenus «sensibles» doivent être chiffrés par
Préposé fédéral à la protection des données et à la transparence (PFPDT)

l’utilisateur. L’employé qui s’inscrira sur une liste de distribution (mailing list) en utilisant son adresse courrielle professionnelle sollicitera la capacité de stockage de l’entreprise et la bande passante du réseau (throughput) pendant son temps de travail.

7
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

2.

Intérêts concernés de l’employeur

L’utilisation d’un ordinateur en réseau peut porter atteinte à certains intérêts et équipements techniques de l’employeur. Ceci peut affecter:
Préposé fédéral à la protection des données et à la transparence (PFPDT)

la capacité de stockage et la bande passante du réseau, suite à une utilisation excessive d’Internet et du courrier électronique; la sécurité des données et des applications (disponibilité, intégrité, confidentialité) en raison de l’importation de virus, de vers, de chevaux de Troie ou de l’installation de logiciels étrangers à l’entreprise;

le temps de travail et d’autres intérêts financiers (pertes de productivité, augmentation des coûts pour des moyens et/ou prestations supplémentaires, frais de réseau, etc.);

d’autres intérêts de l’employeur protégés par la loi tels que sa réputation, ses secrets de fabrication ou d’affaires, ou encore la protection des données.

La capacité de stockage est principalement sollicitée par les fichiers téléchargés ou par les messages du courrier électronique (cf. chapitre 1). Les messages reçus/envoyés par courrier électronique restent en général dans la boîte à lettres du serveur de l’entreprise et l’employé est libre de les sauvegarder ou de les supprimer après les avoir lus/envoyés. Sont stockés d’une part les données accessoires telles que le nom de l’expéditeur, celui du destinataire, l’objet du message ou sa date, d’autre part son contenu. Les documents joints sollicitent tout particulièrement la capacité de stockage de l’entreprise. L’effacement (logique) de messages revient en fait à leur déplacement dans le dossier des éléments supprimés (deleted items), duquel ils doivent être effacés une seconde fois pour disparaître «définitivement». Quant à la bande passante, elle est sollicitée aussi bien par les applications avec que par celles sans enregistrement de contenu. L’installation de logiciels tiers tels que des économiseurs d’écran ou des jeux peuvent entraver l’accès aux applications professionnelles (disponibilité) ou les fausser (intégrité/confidentialité). Les contaminations informatiques peuvent être classées en trois grandes catégories: les virus, les vers (worm) et les chevaux de Troie. Un virus est un logiciel qui se reproduit lui-même, se recopie dans d’autres logiciels et qui est en même temps en mesure d’exécuter des actions malveillantes dans un système informatique2. Un virus est introduit à partir d’une source extérieure (courrier électronique, disquette, jeu ou gratuiciel). Certains types de virus atteignent à

8
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

l’intégrité d’un fichier en en changeant les caractères, tandis que d’autres détruisent carrément le fichier complet. Il en résulte un risque fonctionnel pour l’ordinateur, qui peut par exemple ne plus redémarrer. Un ver est un logiciel autonome qui se propage d’un système à un autre en se recopiant lui-même, en général à travers un réseau. Comme un virus, il peut directement détruire des données ou diminuer les performances d’un système informatique. Un autre aspect nuisible des vers est qu’ils peuvent véhiculer des chevaux de Troie. Un tel cheval de Troie est par exemple en mesure de soutirer des mots de passe qui permettront par la suite d’accéder illicitement à des données, de les transférer, de les modifier voire de les supprimer. Un cheval de Troie est un logiciel autonome qui à première vue accomplit une tâche prévue, mais qui en plus contient une ou plusieurs fonctions cachées3. Cela signifie que lorsque l’utilisateur lance le programme, le cheval de Troie exécute en plus une action non voulue et critique pour la sécurité. La plupart des «espiogiciels» (cf. chapitre 4) sont des chevaux de Troie. L’utilisation du réseau informatique entraîne des coûts à plusieurs niveaux, ceux-ci peuvent être forfaitaires ou calculés en fonction du temps et/ou du volume. Dans le cas du tarif forfaitaire (ligne louée), le temps passé à surfer n’a pas d’incidence sur les coûts, mais il en a une sur le temps de travail consacré. Un élargissement de la bande passante du réseau peut de surcroît être nécessaire. Il en résultera encore d’autres coûts pour l’employeur si un employé utilise le nom ou la carte de crédit de l’entreprise lorsqu’il accède à une offre payante sur le Web. Un collaborateur peut également – délibérément ou inconsciemment – conclure un contrat sur le Web au nom de la société et engager ainsi la responsabilité de l’employeur. Il est encore possible que des secrets de fabrication ou d’affaires ainsi que la protection des données soient compromis, par exemple lorsque des informations confidentielles sont expédiées par courrier électronique à des personnes non autorisées. Ce risque augmente avec l’usage accru d’instruments de travail tels que les ordinateurs portables, les assistants numériques personnels (PDA) ou les téléphones mobiles. Les mesures techniques de protection présentées ci-après ne peuvent être mises en œuvre que de manière limitée sur ce genre d’appareils. Le danger de voir des secrets d’affaires tomber en mains non autorisées est d’autant plus grand que ces appareils peuvent être facilement perdus ou volés.

Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Préposé fédéral à la protection des données et à la transparence (PFPDT)

9

3.

Mesures techniques et organisationnelles de protection4

Il est bien connu que la sécurité technique absolue n’existe pas. Des mesures techPréposé fédéral à la protection des données et à la transparence (PFPDT)

niques de protection (cf. annexe A) peuvent cependant réduire les risques liés au surf sur Internet et au courrier électronique. La mise en œuvre de telles mesures de protection permet à l’employeur d’éviter à temps ce qui menace la sécurité et le bon fonctionnement du système électronique. L’effet préventif devrait donc remplacer dans une large mesure la mise en œuvre de moyens de répression tels que la surveillance des personnes (cf. chapitre 8). Parmi les mesures de protection techniques les plus importantes figurent les mots de passe et les droits d’accès, les logiciels antivirus, les gestionnaires de quotas disque, la sauvegarde des fichiers (backups) et les systèmes pare-feu (firewalls). D’autre part, les logiciels de surf et de courrier électronique doivent être installés dans le respect des avancées technologiques les plus récentes5, configurés de manière sûre et régulièrement mis à jour6. Le mot de passe sert à l’authentification de l’utilisateur et ne doit donc jamais communiqué à des tiers. Il doit être suffisamment compliqué et modifié à intervalles réguliers. Après une courte période (ex: 5 minutes) d’inactivité, la protection par mot de passe doit être activée par l’économiseur d’écran, obligeant ainsi l’utilisateur à s’authentifier à nouveau dès son retour. Chacun d’entre nous étant amené à retenir une multitude de mots de passe, il est conseillé de les conserver dans une base de données chiffrées plutôt que sur une liste papier. Des applications idoines sont disponibles sur le marché. Le mot de passe d’accès à une telle application doit être soigneusement mémorisé par l’utilisateur. La protection contre des accès non autorisés (droits d’accès) consiste à attribuer des autorisations (lire, écrire/modifier, exécuter, effacer) pour l’accès aux données ou objets dignes de protection. Dans la pratique, on recourt à une matrice définissant pour chaque utilisateur (ou rôle) et pour chaque objet les droits d’accès accordés. Ces droits individuels de l’employé sont attribués par le responsable (supérieur hiérarchique ou chef d’équipe) et implémentés par l’administrateur du système. Il est en outre recommandé de chiffrer les données sensibles (cf. l’art. 3, let. c, de la loi fédérale sur la protection des données, LPD, RS 235.1). Le chiffrement assure l’intégrité et la confidentialité des données. La cryptographie symétrique utilise la même clé pour chiffrer et déchiffrer. Un canal sûr doit être utilisé pour échanger cette clé secrète, dont la taille doit être aujourd’hui d’au moins 128 bits pour être reconnue

10
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

sûre. A l’opposé, la cryptographie asymétrique utilise une clé publique pour chiffrer les données et une clé privée (protégée par un mot de passe) pour les déchiffrer. A l’inverse, la clé privée est utilisée pour la signature numérique et la clé publique pour vérifier l’intégrité et la provenance des données. La cryptographie asymétrique nécessite une infrastructure à «clés publiques» (PKI) pour certifier les clés publiques. Elle est réputée sûre aujourd’hui lorsque la taille de la paire de clés est d’au moins 1024 bits. Le sécurité d’un procédé cryptographique repose entièrement sur les clés, qui doivent donc être protégées et conservées de manière appropriée. Le chiffrement des données est recommandé pour le transfert (SSL, WEP, etc.) des données mais aussi pour leur stockage. L’échange de données enregistrées sous forme chiffrée peut se faire dans un canal non chiffré, mais on risque alors de ne pas pouvoir les déchiffrer en tout temps (par suite de la perte du mot de passe ou de la clé ou encore en l’absence du détenteur de cette dernière). Voilà pourquoi une clé supplémentaire de déchiffrement (additional decryption key [ADK] ou corporate message recovery key [CMRK]) peut s’avérer nécessaire. Les intéressés doivent alors en être informés. Le chiffrement s’imposant toujours plus comme complément aux habituels droits d’accès aux données, les administrateurs système ne détiennent plus forcément la totalité des autorisations. Faute d’être chiffré, un message électronique aura une confidentialité comparable à celle d’une carte postale. Les logiciels antivirus permettent de déceler les virus et en règle générale aussi de les détruire. Ils doivent pour ce faire utiliser la dernière version disponible du fichier de signatures et être activés sur chaque ordinateur. Pour les services Web de courrier électronique, le logiciel antivirus doit être installé sur l’ordinateur de chaque employé, afin de pouvoir effectuer le contrôle antiviral du contenu réceptionné. Le danger d’infection par un virus n’est guère plus grand avec un service Web de courrier électronique qu’avec le service interne de courrier électronique de l’employeur. Les logiciels antivirus de la dernière génération qui sont installés de manière licite (existence d’une licence) et correcte sur un ordinateur peuvent être régulièrement et souvent automatiquement mis à jour via Internet. Au cas où il n’est techniquement pas possible de supprimer un virus, la sauvegarde régulière des données permettra de récupérer des fichiers antérieurs non infectés. On notera que les logiciels antivirus n’offrent pas de protection totale contre les attaques. D’où la nécessité de se doter de programmes de protection supplémentaires (Spyware Blaster, Detector).

Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Préposé fédéral à la protection des données et à la transparence (PFPDT)

11

Les gestionnaires de quotas disque sont des utilitaires intervenant au niveau du système d’exploitation et permettant de limiter l’espace disque qu’un utilisateur peut occuper pour ses fichiers ou messages. Un tel programme force l’utilisateur à restreindre lui-même l’espace disque qu’il utilise, étant donné qu’il doit dûment justifier toute demande d’extension. L’utilisation de quotas disque permet donc d’éviter des surcharges inutiles de la capacité du disque et rend ainsi superflue toute intervention de l’employeur dans ce domaine personnel. A l’instar des quotas disque, la mesure technique analogue qui consiste à limiter la taille des pièces jointes d’un courrier électronique est relativement inefficace, car elle peut facilement être contournée par une répartition de pièces jointes sur plusieurs messages. Les quotas disque individuels sont attribués par un responsable (supérieur hiérarchique ou chef d’équipe) et implémentés par l’administrateur du système. La sauvegarde des données permet de les récupérer rapidement et totalement en cas de perte. Les supports de données correspondants doivent être conservés pendant une certaine durée (fixée à l’avance) à l’abri du feu, de l’eau, des voleurs et des rayonnements. Les sauvegardes successives sont autant de protocoles à exploiter avec prudence. La sauvegarde des données du serveur de courrier électronique n’est pas recommandée car elle pourrait concerner le courriel privé des employés. Raison de plus pour sauvegarder ces courriels à part et ainsi permettre la sauvegarde du reste. Un système pare-feu (firewall) protège les données contre les attaques extérieures7 et évite que la bande passante et le temps de travail ne soient par trop sollicités. Les pare-feu sont généralement placés entre Internet, Intranet et éventuellement une «zone démilitarisée» (DMZ, où se trouvent les serveurs Web de l’entreprise). Ils filtrent le trafic de données dans les deux sens en fonction de l’identification utilisateur (USERID), de l’adresse IP ou des protocoles d’application8. La configuration d’un pare-feu est complexe; elle exige des connaissances précises et devrait être opérée uniquement par un spécialiste. La configuration du pare-feu peut être complétée par une liste de sites interdits. Cette liste dite négative contient les URL indésirables, définies soit par le constructeur, soit par l’employeur. Une autre possibilité consiste à établir une liste dite positive qui ne contient que les sites Web nécessaires pour exécuter les tâches de l’entreprise. De nos jours on complète souvent les pare-feu matériels du réseau par l’installation de pare-feu logiciels (personal firewalls) sur chaque place de travail. Etant donné que ces mesures techniques de protection ne peuvent assurer une sécurité absolue, on utilise encore des systèmes de détection d’intrusion (IDS), aussi bien sur le réseau, sur

Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Préposé fédéral à la protection des données et à la transparence (PFPDT)

12

les serveurs qu’au niveau du client. L’utilisation de tels systèmes permet de déceler les attaques ou les abus. Elle confirme en quelque sorte l’inefficacité des mesures de sécurité prises jusqu’alors. Le téléchargement de fichiers par FTP HTTP ou SMTP peut être limité aux fichiers d’un , format particulier (EXE, MP3, BAT, etc.). Un blocage similaire peut être mis en place pour les fichiers joints aux messages électroniques. L’efficacité de tels blocages doit néanmoins être relativisée puisque certains formats, tels que les formats d’archive (fichiers compressés) comme.ZIP, ne sont en règle générale pas bloqués, bien qu’ils puissent contenir des fichiers ayant eux un format bloqué. Un modem installé sur un poste de travail local permet de contourner la sécurité assurée par le pare-feu. Un utilisateur externe non autorisé peut alors s’introduire dans le réseau d’une entreprise sans qu’elle s’en rende compte. Il peut aussi contourner le pare-feu en utilisant des points d’accès sans fil (wireless access points) en l’absence de mesure de protection adéquates. Aussi est-il recommandé de chiffrer le transfert de données au moyen du protocole WEP (wired equivalent privacy) ou du nouveau WPA (Wi-Fi Protected Access). La mise en œuvre de mesures techniques de protection appropriées devrait permettre de minimiser le nombre des vraies pannes techniques.

Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Préposé fédéral à la protection des données et à la transparence (PFPDT)

13

4.

Traces laissées par le surf sur Internet

Presque toutes les machines modernes sur lesquelles tournent des applications communes (serveurs, banques de données, imprimantes) tiennent un journal de leurs
Préposé fédéral à la protection des données et à la transparence (PFPDT)

activités (cf. annexe A). Les traces laissées par l’utilisation d’applications en réseau se limitent en règle générale à des données accessoires du genre «qui a fait quoi et quand?». Par journalisation, on entend l’enregistrement en continu de ces données accessoires. La décision d’autoriser la journalisation et d’accorder le droit à diverses personnes d’accéder aux fichiers journaux (qui et pendant combien de temps?) doit être dictée par les principes de la finalité et de la proportionnalité. Le règlement de surveillance devrait, par souci de transparence, rendre les employés attentifs aux journalisations, les informer du but recherché, du contenu des opérations effectuées et de la durée de conservation des fichiers journaux. Une journalisation peut s’avérer nécessaire lorsque des mesures préventives ne suffisent plus à protéger des données personnelles sensibles (art. 10 de l’ordonnance relative à la loi fédérale sur la protection des données, OLPD, RS 235.11). Les journalisations peuvent être configurées selon les besoins de l’entreprise. L’administrateur système opère en général une configuration minimale de manière à recueillir un nombre limité d’informations. Il l’augmente – pour une certaine durée seulement – quand des informations plus détaillées sont nécessaires (en cas de panne du système par exemple). Les fichiers journaux ayant en général une taille considérable, il est quasiment impossible de les exploiter sans procédure automatisée (cf. chapitre 8.1). C’est pour cette raison aussi qu’il faut prévoir les outils adéquats, livrant des résultats anonymisés ou pseudonymisés. La journalisation des activités d’une personne donnée est en outre à considérer comme un fichier et doit partant être déclarée au Préposé fédéral à la protection des données et à la transparence en vertu de l’art. 11 LPD. Particuliers et entreprises doivent déclarer leurs fichiers si le traitement de ces données n’est soumis à aucune obligation légale et si les personnes concernées n’en ont pas connaissance. La durée de conservation des fichiers journaux est directement fonction du but recherché, qui doit être clairement indiqué dans le règlement de surveillance et d’utilisation. L’entreprise n’a aucune obligation légale de conserver ces fichiers journaux. Elle peut en revanche les conserver jusqu’à la fin d’une procédure de sanction ou d’une procédure pénale. Dans les autres cas, elle les détruira, en général après un délai de quatre semaines. La journalisation des activités de l’employé peut avoir lieu à quatre endroits: sur son poste de travail, sur un serveur Intranet, sur les équipements de connexion interréseaux ou sur les serveurs de la zone démilitarisée (cf. annexe A). En cas d’infraction

14
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

pénale, les fichiers journaux du fournisseur d’accès Internet peuvent être examinés sur requête du juge, lequel peut encore ordonner un enregistrement des données de contenu. Sur l’ordinateur de l’employé: un espiogiciel9 (cf. chapitre 6) permet d’enregistrer toutes les opérations effectuées par l’employé. Ce type de programme, installé le plus souvent à l’insu de l’intéressé, est illicite car il permet de le surveiller en permanence et en détail à son lieu de travail. Il permet notamment de lire les messages électroniques envoyés ou er4us (il les enregistre et les transmet au tiers espion), de «photographier» ou de «copier» son écran à intervalles réguliers (recurrent screenshots) et la totalité de son contenu (des pages Web consultées par exemple). Il peut encore enregistrer toutes les touches du clavier qui ont été activées (hardware keylogger), capturer des mots de passe, voir toutes les applications actives, accéder au disque dur local, écouter les fichiers audio écoutés par l’employé, etc. Il permet enfin d’enregistrer toutes les informations «espionnées», mais aussi de les transmettre à des tiers qui pourront les traiter. Les informations recueillies en surfant ou chargées sur l’ordinateur sont le plus souvent stockées à titre temporaire (cache) sur le disque dur local. Ce n’est pas l’utilisateur qui veut qu’il en soit ainsi, mais l’application, pour améliorer ses temps de réponse. L’utilisateur peut bloquer ou effacer ces fichiers temporaires et les données accessoires telles que les cookies, mais aussi l’historique et la saisie semi-automatique des données (autocomplete), dans le but de ménager la capacité de stockage et de protéger partiellement sa sphère privée. L’idéal est que les fichiers temporaires soient effacés automatiquement dès que le surfeur quitte le navigateur ou dès qu’il éteint son ordinateur. Sur le serveur Intranet: le journal y enregistre le «qui» (nom de l’utilisateur), le «quand» (la date) et le «quoi» (l’objet de la consultation, la connexion au système, la déconnexion, les fichiers imprimés, l’attribution dynamique d’adresses IP et la résolution des noms de domaine, le lancement d’une application). Les adresses IP des ordinateurs des utilisateurs peuvent être attribuées de manière statique et définitive par un administrateur de réseau ou de manière dynamique et provisoire par un serveur de réseau. Dans ce dernier cas, la liste chronologique des correspondances entre les adresses IP attribuées et les noms des utilisateurs entrés dans le système figure uniquement dans le protocole du serveur DHCP (Dynamic Host Configuration Protocol). Un collègue mal intentionné peut également opérer une activité répréhensible sous couvert du compte d’un employé parfaitement innocent. Ce dernier est responsable au premier chef de son compte dans un tel cas (non-transmission du mot de passe, activation rapide de l’économiseur d’écran).

Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Préposé fédéral à la protection des données et à la transparence (PFPDT)

15

Les pages Web consultées et les fichiers téléchargés peuvent en outre faire l’objet d’un enregistrement intermédiaire sur un serveur proxy de l’Intranet de l’entreprise, donc livrer une photo instantanée des dernières activités de surf accomplies. Toute utilisation ultérieure d’un de ces fichiers par un autre employé se fera directement à partir du serveur proxy, ce qui rendra inutile toute nouvelle connexion à Internet et
Préposé fédéral à la protection des données et à la transparence (PFPDT)

déchargera ainsi la bande passante. On pourrait ainsi perdre la trace de certaines activités opérées sur le Web même si le serveur proxy est tout à fait capable de journaliser intégralement ses propres activités (fonction cache et fonction filtre). A noter qu’une URL est une donnée accessoire dont le contenu peut être généralement rappelé à l’écran et s’y afficher. Les équipements de connexion interréseaux tels que les pare-feu et les routeurs tiennent en principe le journal de la date et de l’heure, des adresses IP (adresses source et adresses cible), du protocole d’application utilisé quand ce n’est pas celui des pages appelées et du nom de l’utilisateur. A propos des adresses source, il faut savoir qu’il est possible de recourir à une fonction optionnelle de traduction d’adresses de réseau (Network Address Translation). Les adresses IP utilisées en interne sont alors transformées de manière dynamique en adresses externes connues mais inviolables, qui protègent des attaques externes. De ce fait, l’analyse des fichiers journaux peut être rendue plus difficile. A ce niveau, un «renifleur» (sniffer/scanner) peut être installé par un administrateur en vue d’opérer une écoute plus détaillée des paquets de données qui sont transmis, autant au niveau des données accessoires que de leur contenu. Une écoute de ce type n’est problématique que si elle est effectuée par un bidouilleur (hacker). Les données sensibles du genre des mots de passe devraient toujours être transmises sous forme chiffrée. On peut encore installer un système de détection d’intrusion (IDS) sur le serveur ou sur le réseau qui révélera après-coup les attaques extérieures que le pare-feu n’aurait pas décelées. Une «zone démilitarisée» (DMZ) située entre Intranet et Internet est souvent gérée par les pare-feu. Elle héberge les serveurs joignables des deux mondes, notamment les serveurs de courrier électronique, de fichiers publics et les serveurs Web (protocoles SMTP, FTP et HTTP). Sont journalisés sur les serveurs de courrier électronique, l’heure d’envoi ou de réception du message, l’adresse de l’expéditeur, l’adresse du destinataire, le champ «Objet», le degré de priorité et la confidentialité dudit message. Il n’est pas exclu que d’autres informations (nombre de documents annexés, taille du message, signature numérique, même l’adresse IP) soient également journalisées. Le contenu du message ne l’est en principe pas.

16
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Les enregistrements du journal sont en général attribuables directement ou indirectement à une personne donnée (en utilisant la liste de correspondance). Un journal devant être rendu public devra vraisemblablement être pseudonymisé voire repseudonymisé (si la pseudonymisation originelle n’est pas assez robuste).
Préposé fédéral à la protection des données et à la transparence (PFPDT)

17
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

5.

Le règlement d’utilisation d’Internet et du courrier électronique à titre privé

Qu’un employé soit autorisé à surfer sur Internet et utiliser le courrier électronique
Préposé fédéral à la protection des données et à la transparence (PFPDT)

à des fins privées dépend en premier lieu de l’employeur. Comme dans d’autres domaines des rapports de travail, ce dernier dispose en effet du droit d’établir des directives (art. 321 du Code des obligations, CO, RS 220). Il est donc important qu’il examine de manière différenciée les exigences professionnelles réelles des collaborateurs avant de leur accorder un accès à Internet. Les employés doivent être sensibilisés, par divers cours, aux risques que l’utilisation d’applications en réseau fait courir. Nous conseillons à l’employeur d’élaborer des directives par écrit sur l’utilisation d’applications en réseau, bien que cela ne soit pas obligatoire. Un tel règlement (cf. annexe C) est en effet de nature à assurer la transparence et la sécurité juridique dans les relations qui lient l’employeur aux employés. Le mieux serait que ce règlement soit remis à tout employé sous la forme écrite, car si le règlement oral possède bel et bien un caractère obligatoire, il peut s’avérer problématique en cas de litige. L’employé en accusera réception par écrit. L’employeur réexaminera le règlement à intervalles réguliers et l’adaptera si nécessaire, par exemple en cas de nouveauté technologique ou s’il constate des abus. Le règlement peut autoriser l’usage privé des applications en réseau, le restreindre ou encore l’interdire complètement. Une restriction peut intervenir de plusieurs manières. Une restriction qui concerne la durée de surf à par exemple 15 minutes par jour n’est pas efficace pour deux raisons. D’une part, il est difficile de contrôler qu’elle est respectée, étant donné que l’heure à laquelle un utilisateur quitte un site Web n’est en règle générale pas enregistrée10. D’autre part, un enregistrement de la durée d’utilisation ne permettrait pas de tirer des conclusions sur le temps effectivement passé à surfer, puisque la fenêtre du navigateur peut rester ouverte derrière une autre application (telle qu’un traitement de texte) sans qu’elle soit effectivement sollicitée. Seul l’enregistrement d’une série d’accès au Web consécutifs depuis un même poste de travail pendant une période donnée permettrait de connaître la durée effective d’utilisation, pour autant que les accès se suivent à intervalles rapprochés. Mais, même dans ce cas, il ne serait pas possible d’avoir une indication précise de la durée d’utilisation car certaines pages Web sont régulièrement mises à jour automatiquement (les «newstickers» de journaux ou d’annonces boursières notamment).

18
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Une autre manière de restreindre l’accès à Internet consiste à bloquer des offres indésirables (bourse, marché de l’emploi, sites commerciaux, textes et images pornographiques ou à caractère raciste, etc.) en limitant la capacité utilisable du serveur (cf. chapitre 3) ou en définissant une plage horaire pendant laquelle il est permis d’utiliser Internet à des fins privées (par ex. après 18 heures). Il est encore possible d’attribuer
Préposé fédéral à la protection des données et à la transparence (PFPDT)

une bande passante différente en fonction du caractère professionnel ou non des sites consultés. On peut également restreindre ou interdire la consultation à des fins privées en définissant une liste positive qui indique les sites Web que l’utilisateur est autorisé à visiter (par exemple ceux d’administrations officielles pour la recherche d’informations, cf. chapitre 3). En règle générale, l’accès à Internet sera autorisé dans tous les cas où il a lieu à des fins professionnelles. Dans les cas où l’utilisation d’Internet est restreinte, il est envisageable que l’employeur mette à la disposition des employés (comme pour le téléphone) des bornes Internet en libre accès. Le journal des opérations ne doit pas être consulté par l’employeur, mais il est établi à des fins de conservation de preuves (par exemple pour enquête officielle). Il est recommandé, pour plus de sécurité, de brancher ces bornes indépendamment du réseau interne d’entreprise (cf. chapitre 2). L’employé qui les utilise s’engage à le faire de manière conforme à la loi et il est entièrement responsable de la sécurité. En l’absence de règlement édicté par l’employeur, l’employé ne peut savoir s’il est autorisé à surfer sur Internet ou à utiliser le courrier électronique à des fins personnelles. Certains milieux estiment que l’interdiction de lancer ou de recevoir des appels téléphoniques de nature privée au lieu de travail s’applique par analogie à Internet. Les intérêts et les moyens de l’employeur doivent être préservés quoi qu’il arrive en raison du devoir de diligence et de loyauté (art. 321a CO) qui oblige tout employé à sauvegarder les intérêts de son employeur. L’incidence de cet article sur l’utilisation d’Internet doit être établie au cas par cas, en fonction de la situation concrète. Il existe donc un risque que l’employeur fasse une mauvaise appréciation du caractère admissible ou non d’une session de surf. C’est la raison pour laquelle nous vous conseillons d’établir un règlement écrit sur l’utilisation d’Internet. Plus ce règlement sera concret et précis, moins il y aura d’équivoques sur ce qui est permis ou non en matière de l’utilisation privée d’Internet au travail.

19
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

6.

Bases légales de la surveillance

Le danger que représente la surveillance durable du comportement d’un employé à son travail a fait l’objet, en 1984, d’une motion parlementaire11. C’est à la suite de
Préposé fédéral à la protection des données et à la transparence (PFPDT)

cette motion que le Conseil fédéral a édicté une ordonnance qui interdit la surveillance ciblée du comportement sur le lieu de travail (art. 26, al. 1, de l’ordonnance 3 relative à la loi sur le travail, OLT 3, RS 822.113). Lorsque des systèmes de surveillance ou de contrôle sont nécessaires pour d’autres raisons, ils doivent être conçus et installés de façon à ne pas porter atteinte à la santé ni à la liberté de mouvement des travailleurs (art. 26, al. 2, OLT 3). L’ordonnance en question vise en premier lieu à protéger la santé et la personnalité des employés en les soustrayant à une surveillance permanente ciblée, opérée au moyen d’un système de surveillance12. Une surveillance effectuée sans système de surveillance ne tombe pas sous le coup de l’art. 26 OLT 3. Dans le cadre du surf et du courrier électronique au travail, ceci signifie que la surveillance permanente d’un employé en particulier opérée au moyen de l’analyse de fichiers journaux n’est pas admissible. La même raison interdit d’ailleurs l’installation de programmes espions (cf. chapitre 4). Ces espiogiciels permettent, on le sait, de surveiller, à son insu, un employé au travail. Leur installation viole l’interdiction de surveiller le comportement mais aussi le principe de la bonne foi.

20
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Vu leurs multiples fonctions et le fait qu’on peut les programmer, les programmes de surveillance constituent même une violation plus grave de la personnalité de l’employé que l’utilisation d’une caméra vidéo. Les «content scanners» sont une variante de programmes espions. Ce sont des progiciels qui examinent les courriers électroniques reçus ou envoyés en fonction de termes prédéfinis et qui réagissent en conséquence (en les bloquant, les effaçant, en en envoyant une copie à l’administrateur système voire au supérieur hiérarchique de l’employé). Le risque de violation de la personnalité d’un individu est patent dès lors qu’on surveille systématiquement son comportement. L’efficacité des filtres basés sur des termes est en outre contestable, étant donné qu’ils filtrent en pratique trop ou trop peu. Il est du reste illusoire de croire qu’ils offrent une sécurité absolue du contenu car ils ne peuvent pas analyser les messages chiffrés, dont l’utilisation est toujours plus fréquente. S’y ajoute le fait qu’il est interdit de passer au crible le contenu des messages privés annoncés comme tels. Le Tribunal fédéral ne s’est pas encore prononcé sur les logiciels de surveillance électronique. Sont par contre autorisées l’analyse anonymisée en continu des fichiers de journalisation et l’analyse pseudonymisée par sondages des fichiers de journalisation, toutes analyses qui permettent de contrôler que le règlement d’utilisation est bien respecté

(cf. chapitre 8.4.1.1). Ces contrôles donnent les preuves qui permettent de réprimer les abus que des mesures techniques n’ont pas permis d’empêcher (par exemple la lecture de pages Web ne figurant pas sur la liste des pages bloquées du pare-feu). S’il constate un abus, l’employeur sera en droit d’effectuer une analyse nominative de fichiers journaux, à condition toutefois qu’il en ait informé au préalable le personnel dans le règlement de surveillance (cf. chapitre 7.1). L’interdiction de procéder à une surveillance du comportement, visée à l’art. 26 OLT 3, n’est donc pas applicable de manière absolue. Il s’agit bien plus de déterminer ce qui prévaut dans chaque cas: la protection de la personnalité de l’employé ou les intérêts de l’employeur (cf. chapitre 2). Dans certains cas, lorsqu’un abus a été constaté et qu’une information préalable a eu lieu (par le règlement), la surveillance du comportement d’une personne est admissible. Cependant, si aucun abus n’a été constaté, la garantie de la sécurité, de même que les contrôles du respect du règlement d’utilisation, doivent rester anonymes ou pseudonymes13. En plus de l’art. 26 OLT 3, la loi sur la protection des données ainsi que les articles 328 et 328b du Code des obligations protègent la personnalité de l’employé. Ces dispositions prévoient également que l’employeur n’est en droit de traiter des données personnelles qu’en conformité avec les principes de la finalité et de la proportionnalité. De nombreux employeurs mettent à la disposition de leurs collaborateurs des instruments de travail portables (ordinateurs portables notamment) qui sont également concernés par la surveillance, ce qui pose un problème particulier puisque ces appareils sont aussi souvent utilisés à des fins personnelles. L’employé peut exiger à tout moment de son employeur qu’il lui communique s’il traite des données le concernant (art. 8, al. 1, LPD; cf. chapitre 8.1.2), ce qui peut même avoir un effet dissuasif quant à la surveillance de la part de l’employeur. Des données personnelles ne peuvent être communiquées à des tiers non autorisés sans motif valable ou sans l’accord de la personne concernée (art. 12 et 13 LPD). Les collègues de travail de la personne concernée sont des tiers non autorisés pour la protection des données. Les services informatiques, le préposé à la sécurité, les supérieurs hiérarchiques et le service du personnel doivent prendre toutes les mesures techniques et organisationnelles nécessaires pour empêcher que les données personnelles (notamment les fichiers journaux qu’ils traitent dans le cadre de la surveillance d’un employé et ce qui découle de leur exploitation) ne tombent entre les mains de personnes non autorisées (art. 7, al. 1, LPD)14. Tous doivent assurer la confidentialité, la disponibilité et l’intégrité de ces données (art. 8, al. 1, de l’ordonnance relative à la loi sur la protection des données ou OLPD, RS 235.11).

Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Préposé fédéral à la protection des données et à la transparence (PFPDT)

21

7.

Principales conditions juridiques pour la surveillance du surf et du courrier électronique

Pour pouvoir effectuer une analyse nominative, l’employeur doit avoir au préalable
Préposé fédéral à la protection des données et à la transparence (PFPDT)

informé le personnel, constaté un abus ou soupçonner qu’un abus a été commis. Sont applicables les règles qui suivent. 7.1 L’information préalable

S’il n’a pas l’obligation d’édicter un règlement d’utilisation d’Internet et du courrier électronique dans l’entreprise, l’employeur est tenu par contre d’édicter un règlement de la surveillance de ces deux activités s’il se livre à cette surveillance, car elle constitue une ingérence dans la sphère privée des employés (principe de la bonne foi, art. 4, al. 2, LPD). Une ingérence de ce type existe quand il y a analyse nominative des fichiers journaux. Pour assurer la transparence et la sécurité du droit, l’employeur rédigera ledit règlement de surveillance par écrit et si possible en même temps que le règlement d’utilisation d’Internet et du courrier électronique dans l’entreprise, l’idéal étant que ces deux règlements figurent sur un seul et même document (cf. le règlement type à l’annexe C). L’employeur mentionnera dans le règlement de surveillance qu’il peut analyser nominativement les fichiers journaux (cf. chapitres 8.2 et 8.3), mais aussi en livrer les résultats au supérieur hiérarchique de l’employé et au service du personnel en cas d’abus manifeste. Si cette clause fait défaut, l’employeur l’ajoutera avant de procéder à l’analyse nominative des fichiers journaux concernés. Autrement dit, il informera ses employés avant qu’ils ne puissent commettre d’abus ou avant qu’un soupçon ne naisse et non pas juste avant l’analyse nominative. Le cas contraire ne pourra être qu’exceptionnel, en cas d’abus grave. Dans ce cas, c’est l’intérêt de l’employeur à identifier l’employé fautif qui l’emportera. L’employeur mentionnera aussi le nom de la ou des personnes chargées d’analyser nominativement les fichiers journaux, les sanctions concrètes prévues et la procédure qu’il suivra en cas de soupçon d’infraction. Enfin nous lui conseillons de décrire aux employés le type de journalisation utilisé, son contenu et son but, mais aussi de les informer sur la durée de conservation des fichiers journaux et sur leur droit d’accès.

22
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

L’employeur avertira encore les expéditeurs et les destinataires externes de courriers électroniques que les messages font l’objet d’une surveillance et peuvent être lus par des délégués (par exemple au moyen d’une note qui pourrait figurer au pied de tout message sortant, à côté de la clause de confidentialité).
Préposé fédéral à la protection des données et à la transparence (PFPDT)

Le fait de savoir qu’une surveillance est possible peut dissuader les employés de surfer. 7.2 La constatation d’un abus

Il y a abus lorsque le règlement d’utilisation d’Internet et du courrier électronique a été violé. Selon ce règlement, un abus peut par exemple consister à consulter des sites Web qui n’ont rien à voir avec les tâches professionnelles ou à surfer tout court à des fins privées si cela est expressément interdit. Tenter d’accéder à des sites Web qui ont été bloqués par des mesures techniques de protection n’est toutefois pas considéré comme un abus. Même sans règlement, l’employé peut violer le devoir de loyauté et le principe de la proportionnalité. Dans ce cas-là aussi, on parlera d’abus. Un abus pourra être constaté lors du contrôle, anonymisé ou pseudonymisé, du respect du règlement par les employés (cf. chapitres 8.2 et 8.3), lors d’un examen de sécurité (pour chercher la source d’un virus ou d’une tentative interne de «hacking») ou encore grâce à d’autres indications (découverte de documents imprimés privés sur l’imprimante de l’entreprise, envoi – par erreur – de messages privés à des supérieurs, surcharge de la boîte de réception du courrier électronique, etc.).

23
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

8.

Surveillance du surf et du courrier électronique au lieu de travail

Rappelons tout d’abord que l’employeur doit accorder la priorité aux mesures préPréposé fédéral à la protection des données et à la transparence (PFPDT)

ventives de nature technique, à la sensibilisation des employés et aux mesures les incitant à collaborer. Il n’a le droit de surveiller une personne déterminée que s’il n’y a pas d’autre moyen de prévenir un abus. La surveillance du surf sur Internet et du courrier électronique à des fins privées seront traitées séparément. Il y a lieu de préciser en outre que les règles présentées ci-après sont difficilement applicables dans les petites entreprises car l’anonymat ne peut y être véritablement garanti. Dans les chapitres qui suivent, il sera question notamment de la surveillance du surf et du courrier électronique par le biais de l’analyse des fichiers journaux. Du fait de son caractère préventif, permanent et intentionnel, cette forme de surveillance est particulièrement préjudiciable mais néanmoins très répandue. Une autre forme de surveillance consiste à effectuer des surveillances ponctuelles pour garantir la sécurité et le bon fonctionnement des ressources techniques ou pour d’autres motifs. 8.1 Surveillance exercée pour garantir la sécurité et le bon fonctionnement du système informatique de l’entreprise Les services informatiques ou les responsables de la sécurité d’une entreprise ont pour tâche de garantir la sécurité et le bon fonctionnement des ressources techniques. Dans les petites entreprises, cette tâche est généralement assumée par le chef lui-même. Garantir la sécurité est une tâche permanente, qui est mise en œuvre le plus souvent par des mesures de protection techniques (système de détection d’intrusion par exemple); elle se fait de manière anonyme. Ce sont les mesures les plus importantes pour parer aux attaques internes ou externes. L’employeur doit veiller à ce qu’elles soient régulièrement adaptées aux évolutions technologiques. Si un problème technique survient malgré les mesures prises, l’employeur a le droit d’analyser les fichiers journaux pour déterminer l’origine du problème. Cet examen peut révéler l’existence d’un abus – cause de la panne – ou faire naître un soupçon d’abus. Lorsqu’il est possible d’établir avec certitude qu’un abus a été commis, le collaborateur fautif peut faire l’objet de sanctions (cf. chap. 10).

24
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

8.2

Surveillance exercée pour d’autres motifs

Il peut arriver que l’employeur constate un abus ou pense qu’il y a eu abus parce que d’autres indices le lui font supposer (cf. chap. 7.2). Afin de pouvoir identifier le collaboPréposé fédéral à la protection des données et à la transparence (PFPDT)

rateur fautif, l’employeur peut alors dépouiller les fichiers journaux (par exemple ceux de l’imprimante) ou leurs analyses. S’il parvient à prouver qu’un abus a été commis, il peut prendre une des sanctions prévues au chapitre 10. 8.3 Surveillance basée sur l’analyse des fichiers journaux

L’analyse des fichiers journaux consiste à dépouiller de manière détaillée, sur la base de critères prédéfinis, les activités enregistrées. Cette analyse est effectuée à l’aide d’un programme idoine. Une analyse ou plusieurs analyses combinées, portant par exemple sur l’utilisation d’Internet, du courrier électronique ou du téléphone, peuvent donner lieu à la constitution de profils de la personnalité. Il existe principalement trois types d’analyse: l’analyse anonyme, l’analyse pseudonyme et l’analyse nominative. L’analyse anonyme est une analyse statistique des fichiers journaux effectuée selon le critère par exemple des pages Web les plus consultées ou du nombre de messages envoyés. L’analyse peut porter sur l’ensemble de l’entreprise ou sur une partie seulement de cette dernière (un service, par exemple). Pour que l’anonymat soit garanti, l’analyse doit porter sur un échantillon de personnes suffisamment grand. L’analyse pseudonyme est une analyse des fichiers journaux qui porte sur plusieurs personnes déterminables, soit dont l’identité a été pseudonymisée; elle peut s’effectuer selon le critère par exemple des pages les plus consultées par chaque pseudonyme. Le pseudonyme doit être choisi de sorte qu’il soit impossible d’identifier la personne concernée dans la phase de la surveillance non nominative (cf. chap. 8.4.1). L’identification de l’utilisateur (USERID) ou une adresse IP statique ne constitue pas un pseudonyme robuste, car il est facile de retrouver l’identité des personnes concernées. L’analyse nominative est une analyse des fichiers journaux qui porte sur une personne en particulier. Une liste des correspondances entre les noms d’utilisateur et les pseudonymes permet de déterminer l’identité des personnes concernées (réidentification/analyse nominative). Il est conseillé de stocker séparément les analyses des fichiers journaux et la liste de correspondance (noms d’utilisateurs et pseudonymes), en les remettant à deux personnes aux fonctions différentes. Il est à noter toutefois que le stockage séparé des listes ou la pseudonymisation des noms ne garantissent en rien une surveillance anonyme si les listes de correspondance sont accessibles à tous15.

25
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Il y a lieu de préciser en outre que l’analyse nominative des fichiers journaux relatifs aux messages privés signalés comme tels (cf. chap. 8.5) ne doit contenir que les éléments suivants: la date et l’heure de l’envoi ou de la réception du message, l’adresse de l’expéditeur (masquée dans les messages entrants), celle du destinataire (masquée dans les messages sortants), et la mention «Privé». Autrement dit, seule l’adresse de
Préposé fédéral à la protection des données et à la transparence (PFPDT)

l’employé doit apparaître dans les analyses nominatives du courrier électronique. 8.4 Surveillance basée sur l’analyse des fichiers journaux du surf

La surveillance basée sur l’analyse des fichiers journaux du surf a pour but de protéger les intérêts de l’employeur dans ce domaine (cf. chap. 2 du présent guide). Ce type de surveillance se subdivise en deux phases: • • surveillance non nominative surveillance nominative

8.4.1

Première phase: surveillance non nominative

La première phase de la surveillance a pour buts principaux d’établir des statistiques 26
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

et de vérifier si le règlement d’utilisation est respecté. • Etablissement de statistiques: les statistiques sont établies sur la base de l’analyse anonyme des fichiers journaux; elles ont pour but de donner un aperçu anonyme et structuré de l’utilisation moyenne d’Internet. • Contrôle du respect du règlement d’utilisation: l’employeur a le droit de vérifier si le règlement d’utilisation est respecté à condition d’en avoir informé préalablement ses employés par une clause idoine dans le règlement de surveillance (cf. chap. 7.1 et annexe C). Suivant ce que prévoit le règlement de surveillance, ce contrôle prend la forme d’une analyse anonyme et/ou pseudonyme des fichiers journaux. L’analyse anonyme ne permet pas d’identifier une personne en particulier et peut donc être faite de manière permanente. L’analyse pseudonyme permet par contre de surveiller le comportement d’une personne déterminable par rapport au comportement anonyme moyen; elle ne peut être effectuée que de manière ponctuelle, à une date ou une heure déterminée (par exemple un jour par mois avec annonce obligatoire de la semaine concernée aux employés, afin d’éviter qu’ils ne se sentent surveillés en permanence et à titre individuel). Surveiller les employés pendant toute la période prédéterminée (à l’aide par ex-

emple d’un espiogiciel, cf. chap. 6) serait par contre synonyme de surveillance permanente de l’ensemble du personnel, une pratique illicite selon l’art. 26 OLT 3. La surveillance non nominative effectuée pour vérifier le respect du règlement d’utilisation devrait être confiée au préposé à la protection des données de l’entreprise, à un collaborateur ayant été formé à cet effet ou à une personne
Préposé fédéral à la protection des données et à la transparence (PFPDT)

de confiance extérieure à l’entreprise. La personne compétente devra être clairement informée de ses responsabilités et en particulier de l’interdiction de faire des analyses nominatives à cette première phase de la surveillance. 8.4.2 Deuxième phase: surveillance nominative

La deuxième phase de la surveillance, qui porte désormais sur une personne en particulier, consiste à identifier ou à réidentifier le collaborateur fautif si la première phase de la surveillance a révélé l’existence d’un abus ou fait naître un soupçon d’abus. En cas de soupçon d’abus16, l’employeur procède à une analyse nominative des fichiers journaux (ou analyses) pseudonymisés, en utilisant la liste de correspondance, afin de déterminer s’il y a abus ou non. S’il s’avère que le soupçon est infondé, l’analyse nominative doit être immédiatement interrompue. L’employeur reste toutefois tenu d’adapter régulièrement les mesures de protection techniques et/ou le règlement d’utilisation en fonction des évolutions de la technologie – par exemple en mettant à jour les logiciels antivirus ou encore la liste des sites interdits du pare-feu. Si l’employeur constate un abus (cf. chap. 7.2), il commence par adapter les mesures techniques de protection et, si nécessaire, le règlement d’utilisation. Les employés sont informés de la modification du règlement d’utilisation. Le collaborateur fautif est identifié ou réidentifié selon la procédure décrite au chap. 8.3. L’employeur peut alors prendre des sanctions disciplinaires (cf. chap. 10). Comme le traitement des fichiers journaux peut mettre en évidence des données personnelles n’ayant aucun rapport avec l’abus présumé, la personne chargée de l’analyse est liée par le secret de fonction. Elle n’a pas le droit d’utiliser de telles données à des fins abusives. Lorsque l’employeur confie à des tiers le traitement de données personnelles, il doit attirer leur attention sur ce fait (art. 14 LPD).

27
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

8.5

Surveillance du courrier électronique

8.5.1
Préposé fédéral à la protection des données et à la transparence (PFPDT)

Surveillance du courrier électronique de nature privée

La surveillance du courrier électronique est soumise pratiquement aux mêmes règles que la surveillance du courrier postal, raison pour laquelle nous examinerons en premier lieu les règles applicables à la surveillance du courrier postal au lieu de travail17. Le courrier privé au lieu de travail jouit d’une protection illimitée. Par conséquent, il doit être remis à la personne à laquelle il est adressé sans être ouvert. L’ouverture de courrier privé par un tiers constitue une violation de la personnalité qui peut être poursuivie par le biais d’une procédure civile (art. 15 LPD) ou administrative (art. 25 LPD). Dans les deux cas, les conséquences pénales sont réservées (art. 179 CP). Est considéré comme courrier privé tout envoi dont on voit clairement qu’il a été adressé à l’employé non pas à titre professionnel mais à titre privé. Certains éléments ne trompent pas sur la nature privée d’un envoi, notamment la mention «Privé» ou «En main propre», le genre d’envoi (avis mortuaire, journal adressé au collaborateur, magazine), ou encore d’autres caractéristiques (format, papier couleur, cartes postales, courrier militaire adressé à un employé). L’adressage de type «Monsieur X, Service Y» ne suffit pas pour considérer qu’il s’agit d’un pli de nature privée, encore faut-il que le pli comporte une mention telle que «Privé». Le fait que le nom d’un employé figure avant le nom de l’entreprise ne suffit pas pour affirmer que l’envoi lui a été adressé à titre privé (ATF 114 IV 16). De même que pour le courrier postal et les conversations téléphoniques, l’employeur n’a, pour des motifs de protection de la personnalité, pas le droit de consulter les messages électroniques privés de ses collaborateurs. Il n’est guère possible de séparer automatiquement les messages privés des messages professionnels sur la base des seuls éléments d’adressage. Il faut donc que l’expéditeur d’un message d’ordre privé précise sa nature, en activant l’option de confidentialité correspondante. Si cette option n’est pas activée et qu’il ne ressort pas des éléments d’adressage qu’il s’agit ou pourrait s’agir d’un message de nature privée, l’employeur peut partir de l’idée – comme pour le courrier postal – qu’il s’agit d’un message d’ordre professionnel. En cas de doute, l’employé est consulté. L’employeur n’a donc le droit ni d’ouvrir ni de traiter (c’est-à-dire sauvegarder, transmettre, scanner, etc.) un message électronique privé lorsque celui-ci est signalé ou reconnaissable comme tel. Partie constitutive de la personnalité, la sphère privée est aussi protégée par l’art. 13, al. 1, de la Constitution, qui garantit le respect des relations

28
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

qu’une personne établit par les télécommunications et qui s’applique également au courrier électronique (cf. également ATF 126 I 50, consid. 6a en particulier). La consultation des messages privés auprès du fournisseur de service de courrier électronique de l’employeur ne peut avoir lieu que par un juge dans le cadre d’une poursuite pour certains crimes ou délits (art. 3 de la loi fédérale sur la surveillance de la corresponPréposé fédéral à la protection des données et à la transparence (PFPDT)

dance par poste et télécommunication, LSCPT, RS 780.1). L’employeur même n’a pas le droit d’obtenir du fournisseur du service de courrier électronique des informations relatives au contenu des courriels de ses employés (art. 43 de la loi sur les télécommunications, LTC, RS 784.10). Pour protéger les messages privés, on pourra par exemple utiliser un service Web de courrier électronique, si possible chiffré, qui soit indépendant du service professionnel mis à disposition18. L’utilisation d’un service Web de courrier électronique chiffré dépend ce que prévoit le règlement d’utilisation. Si le règlement interdit l’utilisation d’Internet au lieu de travail, l’employé prend le risque d’être sanctionné s’il surfe quand même à des fins privées. La règle applicable à l’usage privé du courrier électronique au lieu de travail est donc la suivante: si le règlement d’utilisation autorise l’usage privé du courrier électronique, l’employé a tout intérêt à utiliser un service Web de courrier électronique si possible chiffré pour se protéger; si l’usage privé du courrier électronique est interdit, il est conseillé d’y renoncer complètement. Il n’est toutefois pas possible d’éviter complètement de recevoir des messages privés. L’employeur doit être conscient du fait qu’il ne peut rendre entièrement responsable l’employé pour la réception de tous les courriers privés qu’il reçoit. A l’heure actuelle, les messages sont en général archivés sur le serveur de courrier électronique. L’employeur a le droit d’utiliser les copies de sauvegarde pour récupérer des données perdues, mais aussi pour identifier un collaborateur fautif ou déterminer si un soupçon est fondé, à condition toutefois qu’il ait prévu une telle possibilité dans le règlement de surveillance et que les fichiers journaux n’aient pas permis d’identifier le fautif. Afin d’opérer une séparation claire entre les messages d’ordre privé et les messages d’ordre professionnel, mais aussi dans le but de faciliter la gestion du courrier professionnel, il est déconseillé d’utiliser la boîte à lettres comme moyen d’archivage. On aura plutôt avantage à archiver le courrier privé sur un support privé et à transférer les messages de nature professionnelle sur un support idoine de gestion des documents. Cette manière de procéder permet de renforcer sensiblement la protection de la sphère privée, car les messages privés ne figurent plus dans les sauvegardes effectuées par l’entreprise.

29
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

8.5.1.1

Procédure à suivre

La surveillance exercée pour vérifier si les règles applicables au courrier électronique sont respectées est soumise aux mêmes principes que la surveillance du surf (cf. chap. 8.1 ss).
Préposé fédéral à la protection des données et à la transparence (PFPDT)

8.5.2

Surveillance du courrier électronique de nature professionnelle

La gestion des documents de l’entreprise suppose que tout document de nature professionnelle (y compris les messages électroniques entrants et sortants) soit systématiquement enregistré et localisable en tout temps. L’entreprise est en droit de créer des fichiers journaux complets pour les courriers électroniques de nature professionnelle et de sauvegarder ces messages. Il est conseillé toutefois de limiter la journalisation aux éléments suivants: le champ «Objet», la date et l’heure d’envoi ou de réception du message, l’adresse de l’expéditeur et celle du destinataire. Pour le courrier électronique, comme du reste pour le courrier postal, deux types d’adressage sont possibles: l’adressage nominatif (par exemple jean.dupont@entreprise.ch ou jean. dupont@vente.entreprise.ch) et l’adressage fonctionnel non nominatif (par exemple information@entreprise.ch, vente@entreprise.ch ou directeur.ventes@entreprise.ch). L’adressage nominatif est la formule la plus répandue aujourd’hui. Il présente toutefois de nombreux inconvénients du point de vue de la gestion des documents, notamment en ce qui concerne la gestion des messages lorsqu’un collaborateur est absent ou a quitté l’entreprise et la difficulté à distinguer messages professionnels et messages privés dans ces cas-là. Lorsqu’il n’est pas indiqué explicitement qu’un message est d’ordre privé ou professionnel et que les éléments d’adressage ne permettent pas non plus de déterminer qu’il s’agit ou peut s’agir d’un message privé, l’employeur peut – comme pour le courrier postal – partir de l’idée que le message est d’ordre professionnel. L’adressage fonctionnel non nominatif est particulièrement approprié pour le courrier électronique professionnel qui ne concerne pas une personne en particulier, car elle ne présente pas les inconvénients précités. L’adressage nominatif devrait être réservé aux cas où l’échange d’informations, bien que de nature professionnelle, ne concerne que la personne en question (par exemple pour les questions de personnel ou les messages la concernant elle seule).

30
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

8.5.2.1

Gestion du courrier électronique d’un collaborateur absent

Lors des absences prévisibles (telles que vacances, congés ou service militaire), les messages entrants peuvent être gérés de trois manières principales:
Préposé fédéral à la protection des données et à la transparence (PFPDT)

définition d’une réponse automatique d’absence du bureau envoyée à l’expéditeur avec indication des personnes à contacter en cas d’urgence; définition d’une règle qui transfère au suppléant tous les messages entrants; cette solution a pour inconvénient toutefois que les messages de nature privée non marqués comme tels sont eux aussi transmis au suppléant;

désignation d’un suppléant et définition d’un droit d’accès personnalisé (droit de lire et, si nécessaire, de traiter les messages entrants d’ordre professionnel); le suppléant n’a pas d’accès aux messages privés signalés comme tels; ce type de mesures permet de protéger la sphère privée du collaborateur absent; les expéditeurs de messages privés doivent être conscients du fait que leurs messages sont lus par le suppléant si rien ne permet de déterminer qu’il s’agit de messages privés.

Pour les absences non prévisibles (maladie ou accident), chaque collaborateur devrait avoir un suppléant prédéfini ayant entre autres accès à son courrier électronique (cf. annexe C). 8.5.2.2 Gestion du courrier électronique d’un collaborateur quittant l’entreprise Un employé qui va quitter l’entreprise doit avant son départ transférer à qui de droit les dossiers en cours (y compris les messages électroniques). Il certifie en outre par une déclaration19 qu’il a remis à l’entreprise tous les documents de nature professionnelle. On doit lui offrir la possibilité de copier les messages électroniques et autres documents de nature privée sur un support privé, puis de les effacer des serveurs de l’entreprise. A la fin du dernier jour de travail au plus tard, son compte de courrier électronique (comme d’ailleurs ses autres comptes informatiques) doit être bloqué et sa boîte à lettres (comme du reste ses autres supports de données personnels) effacée; cette règle s’applique également en cas de décès. Il serait bon que l’employeur s’engage par écrit à le faire. Les personnes qui enverront un message à l’adresse bloquée seront automatiquement informées du fait que cette adresse n’existe plus. La réponse automatique pourra en outre indiquer une adresse alternative.

31
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

8.5.3

Surveillance du courrier électronique: cas particuliers

L’employeur a-t-il le droit de chercher à identifier l’auteur de messages électroniques anonymes qui constituent des atteintes à la personnalité ou une forme de harcèlement psychologique?
Préposé fédéral à la protection des données et à la transparence (PFPDT)

L’éventuelle atteinte à la personnalité d’un employé par un autre employé est l’affaire de la personne visée et de la justice civile. L’employeur a toutefois le droit de rechercher lui-même l’identité de la personne fautive lorsque le devoir de loyauté n’est pas respecté ou que les intérêts de l’employeur peuvent être touchés (par exemple baisse de rendement de la part de l’employé victime). Il peut aussi le faire lorsque le règlement d’utilisation interdit l’usage du courrier électronique à des fins privées. Dans un tel cas, l’identification du fautif se justifie du fait que le règlement d’utilisation n’a pas été respecté ou que le devoir de loyauté n’a pas été observé, et non du fait qu’un collaborateur a été atteint dans sa personnalité. 8.6 Cas du télétravail

Par télétravailleur, on entend tout employé dont le lieu de travail se situe en dehors de l’entreprise (par exemple employé travaillant chez lui par Internet). Comme les télétravailleurs ne peuvent être directement surveillés par leur supérieur, l’utilisation privée des installations mises à disposition par l’employeur est en règle générale plus étendue. Bien que l’on ne puisse parler directement d’abus à cet égard, le risque d’une atteinte à la personnalité liée à la consultation des fichiers journaux ou des données privées par l’employeur est plus important pour les télétravailleurs que pour les autres employés de l’entreprise. Il est donc conseillé, pour parer à ce risque, d’utiliser un support de données distinct (tel que disque dur externe, disquette ou CD) pour les documents et messages privés. Si le télétravailleur procède de la sorte, il lui sera plus facile de rendre l’instrument de travail dans un état irréprochable lorsqu’il quittera l’entreprise.

32
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

9.

Surveillance en cas de délit

Si un employeur, suite à un contrôle ou sur la base d’autres indices, a des soupçons concrets qu’un acte délictueux a été commis par surf ou à l’aide du courrier électroPréposé fédéral à la protection des données et à la transparence (PFPDT)

nique, il peut sauvegarder les moyens de preuve (fichiers journaux et sauvegardes éventuelles). Comme la conservation des moyens de preuve est une affaire techniquement complexe, elle devrait être confiée à un spécialiste («forensic computing scientist20»). Les fichiers journaux ou des plaintes émanant d’employés ou de tiers peuvent faire naître des soupçons ou révéler l’existence d’agissements qui non seulement violent le contrat de travail ou le règlement d’utilisation mais constituent un acte délictueux tel que: • • • diffamation (art. 173 ss CP) harcèlement sexuel au lieu de travail (art. 198 CP) diffusion de matériel à caractère raciste ou pornographique (art. 261bis et 197 CP) • «actes de sabotage par Internet» ou «espionnage industriel» (cf. en particulier art. 143, 143bis, 144bis et 147 CP) Ce sont les supérieurs hiérarchiques et, éventuellement, le service du personnel – et non les services informatiques – qui décident si une plainte est déposée ou non. Bien qu’il n’existe aucune obligation en la matière, il est recommandé de le faire, du moins pour les délits poursuivis d’office, ceci afin d’écarter le risque que l’entreprise ne soit déclarée complice. Lorsqu’il y a eu abus, l’employeur a le droit de rechercher l’identité de la personne soupçonnée et de porter plainte contre cette dernière. La suite de la procédure relève des autorités pénales. Ainsi, seules les autorités pénales ont le droit, par exemple, d’ordonner qu’une personne déterminée soit à nouveau mise sous surveillance quand elle utilise Internet dans le but de déterminer si le soupçon est fondé, étant donné qu’une telle surveillance constitue une atteinte grave à la personnalité. Si l’employeur décide de son propre chef de surveiller une nouvelle fois certaines personnes, ces surveillances peuvent ne pas être retenues comme moyen de preuve recevable dans le cadre d’une procédure pénale. Elles pourront en outre avoir des conséquences juridiques pour l’employeur (cf. chap. 11).

33
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

L’employeur est tenu de traiter les résultats de l’enquête de manière confidentielle, notamment à l’égard des tiers non autorisés (tels que les autres collaborateurs de l’entreprise). Relevons enfin que la prise de sanctions disciplinaires pour violation du règlement d’utilisation est réservée, même lorsqu’un délit a été commis (cf. chap. 10).

Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Préposé fédéral à la protection des données et à la transparence (PFPDT)

34

10.

Sanctions en cas d’abus

Si les conditions requises pour la surveillance et les règles qui la gèrent ont été respectées, l’employeur (idéalement le supérieur hiérarchique et, éventuellement, le
Préposé fédéral à la protection des données et à la transparence (PFPDT)

service du personnel) a le droit, lorsqu’il constate un abus, de prendre des sanctions disciplinaires contre l’employé fautif. L’employé répond du dommage qu’il a causé à l’employeur intentionnellement ou par négligence (art. 321e CO). Les sanctions possibles sont: l’avertissement, le blocage de l’accès à Internet, la demande de dommages-intérêts, la réduction de salaire et le changement d’affectation. Dans les cas extrêmes, par exemple si l’abus est à nouveau commis malgré un avertissement et qu’il provoque une panne technique ou si un délit est prouvé, l’employeur peut congédier l’employé (art. 335 CO). Le contrat de travail peut même être résilié avec effet immédiat lorsqu’en toute bonne foi on ne peut exiger de l’employeur qu’il maintienne les rapports de travail (art. 337 CO). Ce sont les supérieurs hiérarchiques de l’employé fautif qui sont compétents pour prendre des sanctions contre ce dernier. Les services informatiques ou les responsables de la sécurité ont le droit, pour leur part, de donner des avertissements, de limiter l’accès à Internet ou de supprimer des données, mais à condition que le règlement de surveillance le prévoie expressément et que l’abus ait pu être prouvé avec certitude. Avant d’effacer des fichiers de ce type, l’employeur informera l’employé concerné et lui permettra de copier les fichiers en question (messages électroniques privés, etc.) sur un support de données privé. Les sanctions doivent être adaptées à la gravité de l’abus et avoir été définies préalablement dans le règlement de surveillance ou pouvoir être dérivées de ce dernier. Les abus ne sont pas toujours des actes de malveillance. Dans de nombreux cas, ils sont motivés par la curiosité de l’employé ou dus à un manque d’information de la part de l’employeur sur les risques pour la sécurité. Dans de tels cas, l’employeur porte une part de responsabilité. Il porte également une part importante de responsabilité si un ordinateur est contaminé par un virus et qu’il n’a pas prévu de logiciel antivirus ou n’a pas installé un logiciel approprié. Il doit veiller à ce que le logiciel antivirus soit automatiquement et régulièrement mis à jour (notamment les fichiers de définition) et qu’il ne puisse être désactivé par les employés. Enfin, l’employeur porte aussi une part de responsabilité si les autres mesures de sécurité sont insuffisantes.

35
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Si le règlement d’utilisation ne contient pas de critères précis permettant de distinguer clairement l’utilisation professionnelle admise d’Internet de l’utilisation privée non admise, il sera très difficile, en pratique, de décider si l’utilisation d’Internet est autorisée ou non. En l’absence d’un règlement clair à ce sujet, on ne prendra des sanctions à l’encontre d’un employé que si un abus manifeste a été constaté.
Préposé fédéral à la protection des données et à la transparence (PFPDT)

S’il n’existe pas de règlement du tout, l’employé ne devrait être rendu responsable que des dommages qu’il a causés intentionnellement ou par négligence grave. L’adresse IP et donc en principe aussi l’identité du collaborateur fautif peuvent être consciemment falsifiées. L’employeur devrait s’engager à ne prendre des mesures disciplinaires que si l’identité du collaborateur fautif a pu être établie avec certitude. L’activation automatique d’un économiseur d’écran assorti d’un mot de passe permet de réduire sensiblement le risque d’usurpation d’identité. Est réservée la poursuite pénale par les organes compétents en cas de délit. Le fardeau de la preuve est régi par la règle suivante: c’est à l’employeur de prouver que l’employé a manqué à ses devoirs et qu’il en a résulté un dommage. L’employé a alors la possibilité de prouver qu’il est innocent ou qu’il n’a commis qu’une faute légère (art. 97 CO)21.

36
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

11.

Prétentions de l’employé en cas de surveillance illicite

Si l’employeur ne respecte pas les conditions requises pour la surveillance ni les règles
Préposé fédéral à la protection des données et à la transparence (PFPDT)

qui la régissent, les employés peuvent intenter une action en justice pour atteinte à la personnalité (art. 15 et 25 LPD). Le fardeau de la preuve est régi par l’art. 97 CO. Le collaborateur concerné peut, dans un premier temps, faire valoir ses prétentions auprès de l’employeur directement (constatation du caractère illicite de la surveillance, dommages-intérêts, etc.). Si ce dernier n’entre pas en matière, l’employé peut alors saisir le tribunal des prud’hommes, qui ouvrira en principe une procédure rapide et gratuite. L’employé peut également contester les sanctions disciplinaires prises par l’employeur suite à une surveillance illicite (telles que congé abusif selon l’art. 336 CO). Une surveillance abusive peut en outre avoir des conséquences pénales pour l’employeur, par exemple lorsqu’il y a eu violation de l’interdiction de surveiller le comportement des employés (cf. art. 59, al 1, lit. a de la loi sur le travail, LTr, RS 822.11), ou soustraction de données personnelles (art. 179novies CP). L’utilisation d’espiogiciels et l’analyse nominative des fichiers journaux sans information préalable des employés et/ou sans qu’un abus ait été constaté sont aussi considérées comme surveillance abusive.

37
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Préposé fédéral à la protection des données et à la transparence 3003 Bern Tél. 031 322 43 95 Fax 031 325 99 96 www.leprepose.ch

Décembre 2007

Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Préposé fédéral à la protection des données et à la transparence (PFPDT)

38

Annexe A:

fil ans al s loc eau Rés

Tableau 1
Wardriving Système de détection d'intrusion (IDS)
N LA ss ele Wir

Internet Zone démilitarisée
Ordinateur portable Imprimante laser Serveur proxy Serveur HTTP Point d'accès VoIP Téléphone

Serveur

LAN
Pare-feu externe (NAT) Pare-feu interne Serveur Intranet

Diagramme

Serveur

Serveur

Serveur de messagerie Serveur FTP Routeur VPN Serveur DNS Groupe de modems

Serveur interne: - quotas disque Serveur DHCP

Pirate informatique

Ordinateur: - antivirus Infr - IP DNS a Blu rouge - renifleur eto oth Ordinateur de poche

Intranet

Routeur VPN Modem Télétravailleur Revendeur Modem RNIS

Succursale

Extranet

Fichiers journaux

Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail Préposé fédéral à la protection des données et à la transparence (PFPDT)

39 B.1

Tableau 2

Annexe B:
Conditions de la surveillance

Surveillance: conditions et déroulement

B.2

Déroulement de la surveillance

Préposé fédéral à la protection des données et à la transparence (PFPDT)

Surveillance anonyme, exercée de manière permanente (cf. chap. 8.3)

Surveillance pseudonyme, exercée de manière ponctuelle (cf. chap. 8.3)

Autres indices (internes ou externes) (cf. chap. 8.2) L'employeur constate-t-il un abus ou a-t-il des soupçons d'abus ? Mesures visant à garantir la sécurité et le bon fonctionnement des installations techniques (cf. chap. 8.1) Non Adaptation éventuelle du règlement d'utilisation et/ou des mesures de protection techniques (cf. chap. 8.1 ss)

Oui Adaptation éventuelle du règlement d'utilisation et/ou des mesures de protection techniques (cf. chap. 8.1 ss) Soupçon Abus Pas d'abus

40
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Analyse nominative des fichiers journaux (cf. chap. 8.4.2)

Abus

Analyse nominative sommaire pour déterminer si le soupçon est fondé (cf. chap. 8.4.2)

Sanction adaptée à la gravité de l'abus cf. chap. 9 et 10) : - avertissement - blocage de l'accès à Internet - demande de dommages-intérêts - sauvegarde des preuves et dépôt d'une plainte pénale - licenciement - etc.

Dépôt éventuel d'une plainte pénale ou civile en cas de surveillance abusive par l'employeur (cf. chap. 11)

Tableau 3

B.3

Déroulement de l’analyse

Préposé fédéral à la protection des données et à la transparence (PFPDT)

DATE TIME USER-ID SENDER RECEIVER PRIVATE -----------------------------------------------------------------------------010103 23:59 PIERRE MONNIER PM@ENTREPRISE.COM XY@PRIVE.COM YES 020103 00:02 JEAN DUPONT JD@ENTREPRISE.COM PB@ENTREPRISE.COM NO 020103 00:02 PIERRE MONNIER PM@ENTREPRISE.COM HM@ENTREPRISE.COM NO 020103 00:02 JEAN DUPONT ZZ@PRIVE.COM HM@ENTREPRISE.COM NO 020103 00:10 JEAN DUPONT JD@ENTREPRISE.COM ZZ@PRIVE.COM YES 020103 00:11 JEAN DUPONT ZZ@PRIVE.COM HM@ENTREPRISE.COM NO 020103 00:12 JEAN DUPONT JD@ENTREPRISE.COM ZZ@PRIVE.COM YES 020103 00:13 JEAN DUPONT ZZ@PRIVE.COM HM@ENTREPRISE.COM NO 020103 00:14 JEAN DUPONT JD@ENTREPRISE.COM ZZ@PRIVE.COM YES 020103 00:15 PIERRE MONNIER PM@ENTREPRISE.COM HM@ENTREPRISE.COM NO 020103 00:16 JEAN DUPONT JD@ENTREPRISE.COM PB@ENTREPRISE.COM NO 020103 00:17 JEAN DUPONT ZZ@PRIVE.COM HM@ENTREPRISE.COM NO 020103 00:21 JEAN DUPONT JD@ENTREPRISE.COM ZZ@PRIVE.COM YES 020103 00:22 JEAN DUPONT ZZ@PRIVE.COM HM@ENTREPRISE.COM NO ...

Les services informatiques chargés d'assurer la sécurité et le bon fonctionnement des installations ont un accès direct aux fichiers journaux.

DATE TIME USER-ID URL -----------------------------------------------------010103 23:59 PIERRE MONNIER WWW.ENTREPRISE.COM 020103 00:02 JEAN DUPONT WWW.ENTREPRISE.COM 020103 00:02 PIERRE MONNIER WWW.TEST.COM 020103 00:02 JEAN DUPONT WWW.SEXE.COM 020103 00:10 JEAN DUPONT WWW.ENTREPRISE.COM 020103 00:11 JEAN DUPONT WWW.TEST.COM 020103 00:12 JEAN DUPONT WWW.SEXE.COM 020103 00:13 JEAN DUPONT WWW.ENTREPRISE.COM 020103 00:14 JEAN DUPONT WWW.TRADING.COM 020103 00:15 PIERRE MONNIER WWW.ENTREPRISE.COM 020103 00:16 JEAN DUPONT WWW.SEXE.COM 020103 00:17 JEAN DUPONT WWW.ENTREPRISE.COM 020103 00:21 JEAN DUPONT WWW.ENTREPRISE.COM 020103 00:22 JEAN DUPONT WWW.ENTREPRISE.COM ...

Fichier journal Internet

Fichier journal messagerie

Fichier journal imprimante

41
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

LISTE DE CORRESPONDANCE -----------------xy123 => PIERRE MONNIER zz321 => JEAN DUPONT

La personne chargée de vérifier si le règlement d'utilisation est respecté (en règle générale le responsable de la protection des données de l'entreprise) a accès aux analyses mais pas aux fichiers journaux .

Outil d'analyse

Fichier journal outil d'analyse

Analyse anonyme, 020203 ----------------------Internet -------1. www.entreprise.com 2. www.test.com 3. www.sexe.com Courriels --------Envoyés: Reçus:

Analyse pseudonyme, 020203 -------------------------Pseudo: zz321 Internet -------1. www.sexe.com 2. www.entreprise.com 3. www.trading.com Courriels --------Envoyés: Reçus:

Analyse nominative, 020203 -------------------------USER: JEAN DUPONT Internet -------1. www.sexe.com 2. www.entreprise.com 3. www.trading.com Courriels --------Envoyés: Reçus:

65% 25% 6%

55% 40% 5%

55% 40% 5%

70 (37 privés) 70 (2 privés)

38 (35 privés) 37 (2 privés)

38 (35 privés) 37 (2 privés)

Tableau 4: cf. chap. 8.3

Annexe C:

Règlement type de surveillance du surf et du courrier électronique au lieu de travail

Le texte du règlement est en caractères standard, les notes et commentaires sont en
Préposé fédéral à la protection des données et à la transparence (PFPDT)

italique. C.1 But et champ d’application

C.1.1

But

Le présent règlement a pour but de protéger les intérêts de l’employeur et de l’employé en matière de surveillance du surf et du courrier électronique au lieu de travail. C.1.2 Champ d’application

Le présent règlement s’applique à tout employé, interne ou externe, de l’entreprise. C.2 Intérêts et risques de l’employeur et de l’employé

42
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

C.2.1

Intérêts et risques de l’employeur

L’utilisation, au lieu de travail, d’un ordinateur en réseau peut porter atteinte à certains intérêts et équipements techniques de l’entreprise. Peuvent être affectés: • la capacité de stockage et la bande passante du réseau, suite à une utilisation excessive d’Internet et du courrier électronique; • la sécurité des données et des applications (disponibilité, intégrité, confidentialité), en raison de l’importation de virus, vers, chevaux de Troie ou de l’installation de logiciels étrangers à l’entreprise; • le temps de travail et d’autres intérêts financiers (pertes de productivité, augmentation des coûts pour des moyens et/ou prestations supplémentaires, frais de réseau, etc.); d’autres intérêts de l’entreprise protégés par la loi, tels que sa réputation, ses secrets de fabrication ou d’affaires, ou encore la protection des données.

C.2.2

Intérêts et risques de l’employé

Les intérêts de l’employé liés au surf et au courrier électronique au lieu de travail (information et communication) peuvent être menacés sur le plan notamment du droit
Préposé fédéral à la protection des données et à la transparence (PFPDT)

du travail, de la protection des données ou de la santé, ou encore sur le plan économique. C.3 Mesures de protection techniques et journalisations

C.3.1

Mesures de protection techniques

L’entreprise met en œuvre les mesures de protection techniques suivantes: - ... - ... - ... Le chap. 3 du présent guide dresse la liste des principales mesures de protection techniques. C.3.2 Journalisations

43
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

La plupart des activités effectuées à l’aide de moyens informatiques sont consignées dans des fichiers journaux. La journalisation est l’enregistrement continu des données d’utilisation de type «qui, quoi, quand». Dans notre entreprise, elle est effectuée aux endroits suivants: - ... - ... - ... On indiquera ici les types de journalisation effectués, le but visé et la durée de conservation des données. L’entreprise remplira ainsi le devoir d’information qui lui incombe selon l’art. 4, al. 2, LPD en matière de traitement de données et de constitution de fichiers. Si elle ne fournit pas ces informations aux employés, elle devra déclarer les fichiers journaux au Préposé fédéral à la protection des données et à la transparence en vertu de l’art. 11 LPD. Les principaux types de journalisation sont recensés au chap. 4 et à l’annexe A du guide.

Les fichiers journaux relatifs aux messages privés ne comprennent que l’adresse de l’employé, la mention «Privé», la date et l’heure d’envoi ou de réception du message. C.4
Préposé fédéral à la protection des données et à la transparence (PFPDT)

Règlement d’utilisation

C’est à l’employeur de décider si les employés peuvent utiliser Internet et le courrier électronique à des fins privées au lieu de travail. Comme dans les autres domaines du rapport de travail, il dispose en effet du droit d’établir des directives. La portée des droits d’utilisation pourront varier selon les catégories d’employés et selon les besoins de chacun sur le plan professionnel. Le chap. 5 du guide indique un certain nombre de règles applicables pour le surf et le courrier électronique au lieu de travail. Dans tous les cas, il est indispensable que l’employeur fixe des règles concrètes et dénuées de toute ambiguïté dans ce domaine. Le règlement d’utilisation doit être mis à jour si nécessaire. C.5 Règlement de surveillance

C.5.1

Priorité aux mesures de protection techniques

44
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

L’entreprise s’engage à privilégier les mesures de protection techniques pour prévenir les abus et les dommages de nature technique. Elle actualise régulièrement les mesures de protection techniques en fonction des évolutions de la technologie. Elle adapte également ces mesures après un dérangement technique. Elle n’a le droit de procéder à une analyse nominative des fichiers journaux du surf et du courrier électronique que dans les cas où les mesures de protection techniques ne suffisent pas à empêcher un abus. Elle n’utilise pas d’espiogiciels. C.5.2 Analyse des fichiers journaux

L’entreprise effectue des analyses anonymes et pseudonymes des fichiers journaux dans le but de vérifier si le règlement d’utilisation est respecté. L’analyse anonyme est une analyse statistique des fichiers journaux qui s’effectue sur la base des critères suivants: (L’entreprise ou l’unité administrative concernée indiquera ici les critères qu’elle a retenus, cf. chap. 8.3 du guide).

L’analyse pseudonyme se fait par sondages uniquement. On indiquera ici le calendrier et la période pendant laquelle le sondage aura lieu (cf. chap. 8.4.1 du guide). Les analyses pseudonymes (ou anonymes) portent sur des échantillons suffisamment grands de personnes pour garantir le caractère pseudonyme (ou anonyme) des analyPréposé fédéral à la protection des données et à la transparence (PFPDT)

ses. Les fichiers journaux et leslistes de correspondance sont conservés séparément, par des personnes ayant des fonctions différentes. (Cf. chap. 8.3 du guide.) Si l’entreprise constate un abus lors d’une analyse anonyme ou pseudonyme (ou qu’une analyse fait naître un soupçon d’abus), elle procède à une analyse nominative des fichiers journaux en utilisant la liste de correspondance. Est considéré comme abus toute violation du règlement d’utilisation. Lorsqu’il y a abus, l’entreprise peut prononcer une des sanctions visées au point 5.8 du présent règlement. S’il s’avère qu’un soupçon est infondé, l’entreprise interrompt immédiatement l’analyse nominative. On indiquera ici la personne responsable de l’analyse nominative. En règle générale, cette tâche sera assumée par le conseiller à la protection des données de l’entreprise (cf. annexe B.3). Si l’analyse des fichiers journaux ou d’autres éléments révèlent l’existence d’un délit ou font naître des soupçons d’abus, l’entreprise sauvegarde les fichiers journaux concernés. Elle se réserve le droit de déposer plainte contre la personne concernée. La suite de la procédure relève des autorités pénales. L’entreprise s’engage à traiter les résultats de l’enquête de manière confidentielle, notamment à l’égard des tiers non autorisés (tels que les autres collaborateurs de l’entreprise). C’est le supérieur hiérarchique – et non le service informatique – qui décidera si une plainte est déposée ou non. Bien qu’il n’existe aucune obligation en la matière, il est recommandé de le faire, du moins pour les délits poursuivis d’office, afin d’écarter le risque que l’entreprise ne soit déclarée complice. C.5.3 Surveillance exercée pour garantir la sécurité et le bon fonctionnement du système informatique ou sur la base d’autres indices Si l’entreprise constate un dysfonctionnement du système informatique en dépit des mesures de protection techniques prises, elle peut analyser les fichiers journaux pour en déterminer la cause. Si le dysfonctionnement est dû à un abus, le collaborateur fautif peut faire l’objet d’une des sanctions visées au point 5.8.

45
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Si l’employeur constate un abus ou qu’il pense qu’il y a eu abus parce que d’autres indications le lui font supposer, il peut consulter les fichiers journaux concernés et leurs analyses. En cas d’abus, il peut prononcer l’une des sanctions visées au point 5.8. C.5.4 Distinction entre messages privés et messages professionnels

Préposé fédéral à la protection des données et à la transparence (PFPDT)

Les messages privés doivent être signalés en tant que tels (option «Privé») par l’expéditeur, que ce dernier fasse partie de l’entreprise ou non. L’entreprise n’a le droit ni de consulter ni de traiter d’une quelconque manière les messages privés signalés comme tels. Lorsque rien n’indique la nature (professionnelle ou privée) du message et que les éléments d’adressage ne permettent pas non plus de déterminer qu’il s’agit d’un message privé, l’entreprise part de l’idée qu’il s’agit d’un message de nature professionnelle. En cas de doute, l’employeur clarifie la question avec l’employé. Les expéditeurs, internes ou externes, doivent être expressément informés sur ce point. L’entreprise vous recommande d’utiliser un service Web de courrier électronique si possible chiffré, afin de mieux protéger vos messages privés. Le droit d’utilisation d’un service Web de courrier électronique chiffré dépend de ce que prévoit le règlement d’utilisation. En vue de mieux distinguer le courrier professionnel du courrier privé, l’entreprise pourra aussi décider que le courrier électronique de nature professionnelle soit effectuée avec des adresses fonctionnelles plutôt que nominatives (cf. chap. 8.5.2 du guide). C.5.5 Surveillance du courrier électronique de nature professionnelle

46
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

L’entreprise a le droit d’établir des fichiers journaux pour les messages d’ordre professionnel et, si nécessaire, de sauvegarder ces messages. Ces fichiers journaux englobent notamment le champ «Objet», la date et l’heure d’envoi ou de réception du message, l’adresse de l’expéditeur et celle du destinataire.

C.5.6

Gestion du courrier électronique d’un collaborateur absent

Pour les absences prévisibles (telles que vacances, congés ou service militaire) comme d’ailleurs imprévisibles (maladie ou accident), l’employé désigne un suppléant qui aura le droit de lire et, si nécessaire, de traiter les messages professionnels entrants. Le
Préposé fédéral à la protection des données et à la transparence (PFPDT)

suppléant n’aura pas accès aux messages signalés comme privés. Les expéditeurs externes de messages privés doivent être informés du fait que les messages privés non signalés comme tels sont susceptibles d’être lus par un suppléant. C.5.7 Gestion du courrier électronique d’un collaborateur ayant quitté l’entreprise L’employé qui va quitter l’entreprise doit avant son départ transférer à qui de droit les affaires pendantes comme les messages électroniques. Il certifie par une déclaration qu’il a remis à l’entreprise tous les documents de nature professionnelle. On doit lui offrir la possibilité de copier ses messages électroniques et autres documents privés sur un support privé, puis de les effacer des serveurs de l’entreprise. A la fin du dernier jour de travail au plus tard, son compte de courrier électronique (comme du reste ses autres comptes informatiques) sera bloqué et sa boîte à lettres (comme tous les autres supports de données personnels) effacée; cette règle s’applique également en cas de décès. Les personnes qui enverront un message à l’adresse bloquée seront automatiquement informées du fait que cette adresse n’existe plus. La réponse automatique pourra en outre leur indiquer une adresse alternative. C.5.8 Sanctions en cas d’abus

47
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Si les conditions requises pour la surveillance et les règles qui la régissent ont été respectées, l’entreprise est en droit, lorsqu’elle constate un abus, de prendre des sanctions disciplinaires contre l’employé fautif. On énumèrera ici les sanctions possibles: avertissement, blocage de l’accès à Internet, demande de dommages-intérêts, suppression de primes, etc. (cf. chap. 10 du guide). Dans les cas extrêmes, par exemple si l’abus se reproduit malgré un avertissement et provoque une panne technique ou si un délit est prouvé, l’employeur peut congédier

l’employé. Le contrat de travail peut même être résilié avec effet immédiat lorsqu’en toute bonne foi on ne peut plus exiger de l’employeur qu’il maintienne les rapports de travail. Les sanctions doivent être adaptées à la gravité de l’abus et avoir été définies préalablement dans le règlement de surveillance.
Préposé fédéral à la protection des données et à la transparence (PFPDT)

Avant d’effacer des fichiers obtenus de manière abusive, nous informerons l’employé concerné et lui permettrons de copier les fichiers en question (messages électroniques privés, etc.) sur un support de données privé. C.5.9 Prétentions de l’employé en cas de surveillance illicite

Si les conditions requises pour la surveillance et les règles qui la régissent ne sont pas respectées, l’employé peut faire valoir les prétentions prévues par le code civil en cas d’atteinte à la personnalité (cf. art. 28 ss CC). En cas de surveillance abusive par l’entreprise, l’employé peut aussi engager une poursuite pénale contre elle, par exemple pour violation du domaine secret ou du domaine privé au moyen d’un appareil de prises de vues (art. 179quater CP) ou pour soustraction de données personnelles (art. 179novies CP). C.5.10 Autres dispositions

48
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Les employés de notre entreprise sont régulièrement sensibilisés, par divers cours, aux risques en rapport avec le surf et le courrier électronique. Les services informatiques et les responsables hiérarchiques de l’entreprise prennent toutes les mesures techniques nécessaires pour empêcher que les données personnelles qu’ils traitent dans le cadre d’une surveillance ne tombent entre les mains de personnes non autorisées. Ils veillent en particulier à assurer la confidentialité, la disponibilité et l’intégrité de ces données. L’employé peut en tout temps demander à l’entreprise si des données le concernant sont traitées et, le cas échéant, lesquelles. Des données personnelles ne peuvent être communiquées à des tiers non autorisés sans motif valable ou sans l’accord de la personne concernée. Les collègues de travail de la personne concernée sont considérés comme des tiers. L’entreprise n’a aucune obligation légale de conserver les fichiers journaux. Elle peut toutefois le faire pendant une durée limitée (ne dépassant en général pas quatre semaines) s’ils sont susceptibles de servir de moyens de preuve.

La durée de conservation dépendra du but de la journalisation. Dans le cadre d’une procédure de sanction ou d’une procédure pénale, les fichiers journaux pourront être conservés jusqu’à l’expiration du délai de recours correspondant.

Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

Préposé fédéral à la protection des données et à la transparence (PFPDT)

49

Notes
URL (Uniform Resource Locator): adresse unique d’une ressource sur Internet, comme par ex. http://www.indesirable.ch ou ftp://ftp.firme.ch/fichier.zip
1

Préposé fédéral à la protection des données et à la transparence (PFPDT)

2

Duden Informatik, 2e edition, Mannheim, Leipzig, Zurich, Vienne, 1993. Par ex. le programme Stripes.exe de MS-DOS. Consulter à ce sujet le «Guide relatif aux mesures techniques et organisationnelles de

3

4

la protection des données» édité par le Préposé fédéral à la protection des données et à la transparence.
5

Service Pack, Service Release, Hotfix, Patch, etc.)

Par ex. refuser les cookies ou désactiver Javascript, pour empêcher les «écoutes» (Wiretap) du courrier électronique
6 7

Un pare-feu est en mesure, grâce au procédé appelé «Network Address Translation» (NAT), de remplacer une adresse IP personnelle par une adresse IP publique d’entreprise, rendant ainsi une attaque pirate depuis l’extérieur pratiquement impossible.
8

50
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail
9

HTTP, FTP, TELNET, NNTP, SMTP etc. , Ghost Keylogger, WinWhatWhere Investigator, PC Activity Monitor, etc.

10

Les programmes de journalisation se sont pas avertis de la fermeture du navigateur.
11

Motion Fritz Reimann du 12 décembre 1984 concernant la protection de la personnalité des employés.
12

Voir également la réponse écrite du Conseil fédéral du 20 août 1985 à la motion

Reimann ainsi que les remarques du projet de directive au sujet de l’art. 26 OLT 3.
13

Lors des travaux d’élaboration de l’art. 26 OLT 3 on avait déjà fait remarquer, dans

le contexte des écoutes téléphoniques, que les données accessoires complètes des communications téléphoniques ne pouvaient être analysées nominativement que si un abus concret avait été constaté.
14

Consulter à ce sujet le «Guide relatif aux mesures techniques et organisationnelles de la protection des données» édité par le Préposé fédéral à la protection des données et à la transparence.

15

Cf. le 9e rapport d’activités du Préposé fédéral à la protection des données et à la

transparence, 2001/2002, chap. 2.2.1, p. 19 ss, en particulier p. 21.
16

Si l’analyse révèle par exemple que le site Internet d’un quotidien est régulièrement consulté par un pseudonyme en particulier, l’employeur a le droit de procéder à une analyse nominative pour déterminer si la personne concernée est autorisée à consulter le site en question. La consultation du site peut se justifier suivant la fonction de la personne (en l’occurrence s’il s’agit du chargé de presse).
17

Préposé fédéral à la protection des données et à la transparence (PFPDT)

Cf. 5e rapport d’activités du Préposé fédéral à la protection des données et à la

transparence, 1997/98, p. 42/178.
18

Un chiffrement peut être obtenu en utilisant p. ex. le logiciel PGP («Pretty Good Priva-

cy») ou un service Web de courrier électronique tel que Hushmail.com. Il convient de préciser toutefois qu’une protection absolue n’existe que si les deux correspondants (expéditeur et destinataire) utilisent un tel logiciel ou un tel service de chiffrement.
19

Exemple de déclaration: «Je confirme par la présente déclaration que j’ai rendu à l’entreprise tous les biens physiques et électroniques qui lui appartiennent, y compris les biens intellectuels».
20

Ces experts conseillent les autorités d’instruction dans les domaines de la crimi-

51
Guide relatif à la surveillance de l‘utilisation d‘internet et du courrier électronique au lieu de travail

nalité informatique et de la criminalité utilisant des moyens informatiques. Ils sont associés aux enquêtes préliminaires et aux mesures de surveillance techniques au titre d’experts, après s’être engagés devant le juge à respecter le secret de fonction. Ils ont pour tâche de sauvegarder les données numériques pouvant servir de preuves au tribunal. Ils remettent à l’autorité d’instruction un rapport d’expertise comprenant leurs analyses et leurs recommandations. Ils ont une grande responsabilité et peuvent être appelés à présenter leurs conclusions devant le tribunal.
21

Cf. Brunner, Bühler, Waeber in «Commentaire du contrat de travail», Union syndicale suisse, Lausanne, 1996, p. 42 ss.