8 millions de salariés ont basculé en télétravail du jour au lendemain avec une communication par le biais des nouvelles technologies. Les dirigeants d’entreprise ont craint pour la sécurité de leurs données et la CNIL a prodigué entre autres les conseils suivants aux entreprises :
Si vos services sont accessibles depuis Internet
- utilisez des protocoles garantissant la confidentialité et l’authentification du serveur destinataire, par exemple HTTPS pour les sites web et SFTP pour le transfert de fichiers, en utilisant les versions les plus récentes de ces protocoles ;
- appliquez les derniers correctifs de sécurité aux équipements et logiciels utilisés (VPN, solution de bureau distant, messagerie, vidéoconférence etc.). Consultez régulièrement le bulletin d’actualité CERT-FR pour être prévenu des dernières vulnérabilités sur les logiciels et des moyens pour s’en prémunir ;
- mettez en œuvre des mécanismes d’authentification à double facteur sur les services accessibles à distance pour limiter les risques d’intrusions ;
- Consultez régulièrement les journaux d’accès aux services accessibles à distance pour détecter des comportements suspects.
- ne rendez pas directement accessibles les interfaces de serveurs non sécurisées. De manière générale, limitez le nombre de services mis à disposition au strict minimum pour limiter les risques d’attaques.
-ci Cependant, certains chefs d’entreprises très soucieux de la rentabilité commettent parfois l’erreur d’aller trop loin et pensent que l’amélioration de la productivité des employés passe par un contrôle absolu de leurs activités. Attention, si vous franchissez la ligne rouge et tombez dans l’espionnage, vous faites courir par la même occasion de sérieux risques à votre entreprise.
Des règles de droit à connaître
En tant que chef d’entreprise, vous disposez d’un pouvoir de direction qui vous donne le droit d’effectuer un contrôle sur vos salariés, de vérifier qu’ils appliquent bien les directives. Cependant, ce droit de contrôle n’est pas absolu, il doit se faire dans la transparence et le respect des libertés fondamentales.
L’espionnage , un interdit
- Ce qui est réellement interdit, c’est en soi, l’espionnage, le fait de contrôler son salarié à son insu. Les formes d’espionnage peuvent être diverses : espionnage des mails, des ordinateurs, des téléphones, géolocalisation des salariés, écoutes téléphoniques, voire filature par des détectives privés. Les histoires de ce type sont de plus en plus nombreuses, avec notamment, « dernièrement » les affaires Ikea et EuroDisney. Il est dans tous les cas interdit de contrôler tous les faits et gestes de vos salariés.
Ces dernières années ce sont surtout les affaires d’espionnage sur internet qui se sont développées. Les logiciels destinés à ce type d’utilisation se sont multipliés. Ils sont souvent gratuits, et extrêmement simples à utiliser. Le logiciel démarre à chaque ouverture de session sans que l‘utilisateur ne s’en aperçoive. Celui-ci prend note de tout ce qui est fait, les clics effectués, les frappes sur le clavier, les pages internet visitées.
Ne vous laissez pas attirer pas la facilité avec laquelle il est possible d’avoir accès à ces logiciels et leur simplicité d’utilisation. La Cnil explique bien qu’il est interdit d’utiliser ces logiciels dans un cadre professionnel sauf en cas de forts impératifs de sécurité (lutte contre la divulgation de secrets industriels par exemple). Les salariés doivent être informés des dispositifs mis en place et des modalités de contrôle de l’utilisation d’internet. Le comité d’entreprise doit avoir été consulté et informé (article L2323-32 du code du travail); les salariés doivent être informés, notamment de la finalité du dispositif de contrôle et de la durée pendant laquelle les données de connexion sont conservées. Une durée de conservation de l’ordre de six mois est suffisante, dans la plupart des cas, pour dissuader tout usage abusif d’internet.
Comment déclarer ?
Lorsque l’entreprise ou l’administration met en place un dispositif de contrôle individuel des salariés destiné à produire un relevé des connexions ou des sites visités, poste par poste, le traitement ainsi mis en œuvre doit être déclaré à la CNIL (déclaration normale) sauf si un correspondant informatique et libertés a été désigné, auquel cas aucune déclaration n’est nécessaire. Le contrôle de l’utilisation de la messagerie
Des exigences de sécurité, de prévention ou de contrôle de l’encombrement du réseau peuvent conduire les entreprises ou les administrations à mettre en place des outils de contrôle de la messagerie.
La messagerie professionnelle doit faire l’objet d’une déclaration de conformité en référence à la norme simplifiée n° NS-046 (gestion des personnels des organismes publics et privés). Si un dispositif de contrôle individuel de la messagerie est mis en place, il doit être déclaré à la CNIL (déclaration normale), sauf désignation d’un correspondant informatique et libertés.
Il est possible de contrôler le travail d’un salarié mais plusieurs règles doivent être respectées. Lors de l’installation de tout dispositif de surveillance, le salarié et les institutions représentatives du personnel doivent en être informés. L’utilisation doit évidemment être justifiée et le principe de proportionnalité respecté. A noter que certains dispositifs doivent également être déclarés à la Cnil. L’accès au poste informatique ou à la messagerie
L’employeur doit respecter le secret des correspondances privées une communication électronique émise ou reçue par un employé peut avoir le caractère d’une correspondance privée. La violation du secret des correspondances est une infraction pénalement sanctionnée par les articles L.226-15 (pour le secteur privé) et L.432-9 (pour le secteur public) du Code pénal.
Un risque de démotivation du personnel si les contrôles sont trop stricts
Il faut bien garder en tête que ce n’est pas parce que vous avez installé vos dispositifs de surveillance conformément à la loi, et que vos salariés ne disent rien, qu’ils sont efficaces. Contrôler trop fermement ses salariés est souvent la meilleure manière de voir leur productivité et leur implication s’effondrer. En constatant que malgré leurs efforts, vous ne leur faites pas confiance, ils peuvent être rapidement tentés de faire uniquement le minimum.
La confiance, la reconnaissance et les responsabilités sont les meilleurs moyens de motiver vos salariés. Il y a toujours des exceptions, des personnes qui profitent, mais d’une façon générale, si vos salariés sentent que vous leur faites confiance, ils voudront en retour s’engager et s’impliquer un maximum pour l’entreprise.
Vous transformer en employeur « Big Brother » ne permettra en aucun cas d’augmenter la productivité de vos équipes.
Informations données par la CNIL
Les caméras peuvent être installées au niveau des entrées et sorties des bâtiments, des issues de secours et des voies de circulation. Elles peuvent aussi filmer les zones où de la marchandise ou des biens de valeur sont entreposés.
Elles ne doivent pas filmer les employés sur leur poste de travail, sauf circonstances particulières (employé manipulant de l’argent par exemple, mais la caméra doit davantage filmer la caisse que le caissier ; entrepôt stockant des biens de valeurs au sein duquel travaillent des manutentionnaires).
En effet, sur le lieu de travail comme ailleurs, les employés ont droit au respect de leur vie privée.
Les caméras ne doivent pas non plus filmer les zones de pause ou de repos des employés, ni les toilettes. Si des dégradations sont commises sur les distributeurs alimentaires par exemple, les caméras ne doivent filmer que les distributeurs et pas toute la pièce.
Enfin, elles ne doivent pas filmer les locaux syndicaux ou des représentants du personnel, ni leur accès lorsqu’il ne mène qu’à ces seuls locaux.
Si les images sont accessibles à distance, depuis internet sur son téléphone mobile par exemple, il faut sécuriser cet accès.
La possibilité de regarder les images sur tablette ou téléphone ne doit pas conduire à surveiller ses employés pour leur faire des remarques sur la qualité du travail. L’accès à distance doit être sécurisé (mot de passe robuste, connexion https, etc). Enfin, l’enregistrement du son, en plus des images, est réservé à des situations particulières et ne doit pouvoir être déclenché qu’à l’initiative d’un l’employé en cas d’événement le justifiant (en cas d’agression par exemple).
Qui peut consulter les images ?
Seules les personnes habilitées par l’employeur, dans le cadre de leurs fonctions, peuvent visionner les images enregistrées (par exemple : le responsable de la sécurité de l’organisme). Ces personnes doivent être particulièrement formées et sensibilisées aux règles de mise en œuvre d’un système de vidéosurveillance. L’accès aux images doit être sécurisé pour éviter que tout le monde ne puisse les visionner.
Pendant combien de temps conserver les images ?
L’employeur doit définir la durée de conservation des images issues des caméras.
Cette durée doit être en lien avec l’objectif poursuivi par les caméras. En principe, cette durée n’excède pas un mois. En règle générale, conserver les images quelques jours suffit, sauf circonstances exceptionnelles à effectuer les vérifications nécessaires en cas d’incident et permet d’enclencher d’éventuelles procédures disciplinaires ou pénales. Si de telles procédures sont engagées, les images sont alors extraites du dispositif (après consignation de cette opération dans un cahier spécifique) et conservées pour la durée de la procédure.
La durée maximale de conservation des images ne doit pas être fixée en fonction de la seule capacité technique de stockage de l’enregistreur.