securité courrier et internet

7/31/2019 Securit Courrier et Internet

1/51

1

Prpos

fdral

la

protectio

n

desdonnesetlatransparence

(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

Le Prpos fdral la protection des donnes et la transparence

Guide relatif la

surveillance de

lutilisation dinternet

et du courrier

lectronique au lieude travail

A lintention des

administrations publiques

et de l'industrie prive


2/51

Editeur:

Le Prpos fdral la protection des

donnes et la transparence

3003 Bern


3/51

3

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

Table des matires

Introduction: la surveillance du surf et du courrier lectronique................5

1. Les applications en rseau les plus importantes ................................... 6

1.1 Applications sans enregistrement de contenu ................................................. 6

1.2 Applications avec enregistrement de contenu ................................................. 6

2. Intrts concerns de lemployeur............................................................ 8

3. Mesures techniques et organisationnelles de protection ................. 10

4. Traces laisses par le surf sur Internet ................................................... 14

5. Le rglement dutilisation dInternet et du courrier lectronique

titre priv..................................................................................................... 18

6. Bases lgales de la surveillance ............................................................... 20

7. Principales conditions juridiques pour la surveillance du surf etdu courrier lectronique ............................................................................. 22

7.1 Linformation pralable..................................................................................... 22

7.2 La constatation dun abus ................................................................................ 23

8. Surveillance du surf et du courrier lectronique au lieu de travail . 24

8.1 Surveillance exerce pour garantir la scurit et le bon fonctionnement

du systme informatique de lentreprise ....................................................... 24

8.2 Surveillance exerce pour dautres motifs ..................................................... 25

8.3 Surveillance base sur lanalyse des fichiers journaux .................................. 25

8.4 Surveillance base sur lanalyse des fichiers journaux du surf ..................... 26

8.4.1 Premire phase: surveillance non nominative ................................................ 26

8.4.2 Deuxime phase: surveillance nominative ..................................................... 27

8.5 Surveillance du courrier lectronique ............................................................. 28

8.5.1 Surveillance du courrier lectronique de nature prive ................................. 28

8.5.1.1Procdure suivre ........................................................................................... 30

8.5.2 Surveillance du courrier lectronique de nature professionnelle .................. 30

8.5.2.1Gestion du courrier lectronique dun collaborateur absent ......................... 31

8.5.2.2Gestion du courrier lectronique dun collaborateur quittant lentreprise ... 31

8.5.3 Surveillance du courrier lectronique: cas particuliers .................................. 32

8.6 Cas du tltravail .............................................................................................. 32

9. Surveillance en cas de dlit ....................................................................... 33

10. Sanctions en cas dabus ............................................................................. 35

11. Prtentions de lemploy en cas de surveillance illicite .................... 37


4/51

4

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

Annexe A: Diagramme .................................................................................38

Annexe B: Surveillance: conditions et droulement ..................................39

B.1 Conditions de la surveillance ........................................................................... 39

B.2 Droulement de la surveillance ....................................................................... 40

B.3 Droulement de lanalyse ................................................................................ 41

Annexe C: Rglement type de surveillance du surf et du courrier

lectronique au lieu de travail ......................................................... 42

C.1 But et champ dapplication .............................................................................. 42

C.1.1 But ..................................................................................................................... 42

C.1.2 Champ dapplication ........................................................................................ 42

C.2 Intrts et risques de lemployeur et de lemploy ........................................ 42

C.2.1 Intrts et risques de lemployeur ................................................................... 42

C.2.2 Intrts et risques de lemploy ...................................................................... 43

C.3 Mesures de protection techniques et journalisations .................................... 43

C.3.1 Mesures de protection techniques ................................................................. 43

C.3.2 Journalisations .................................................................................................. 43

C.4 Rglement dutilisation ..................................................................................... 44

C.5 Rglement de surveillance ............................................................................... 44

C.5.1 Priorit aux mesures de protection techniques ............................................. 44

C.5.2 Analyse des fichiers journaux .......................................................................... 44

C.5.3 Surveillance exerce pour garantir la scurit et le bon fonctionnement

du systme informatique ou sur la base dautres indices ............................. 45

C.5.4 Distinction entre messages privs et messages professionnels ................... 46

C.5.5 Surveillance du courrier lectronique de nature professionnelle .................. 46

C.5.6 Gestion du courrier lectronique dun collaborateur absent ......................... 47

C.5.7 Gestion du courrier lectronique dun collaborateur ayant quitt

lentreprise ........................................................................................................ 47C.5.8 Sanctions en cas dabus .................................................................................. 47

C.5.9 Prtentions de lemploy en cas de surveillance illicite ................................. 48

C.5.10 Autres dispositions ........................................................................................... 48

Notes ........................................................................................................................... 50


5/51

5

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

Introduction: la surveillance du surf et du courrierlectronique

Lapparition des nouvelles technologies dans le monde du travail a permis aux entre-

prises daugmenter leur productivit et la qualit, mais elle saccompagne pour elles

deffets moins rjouissants: une utilisation indue ou excessive dInternet et du courrier

lectronique pendant les heures de travail peut non seulement coter cher; mais aussi

paralyser les transmissions de donnes, surcharger la capacit de stockage, voire

mme conduire un blocage de stations de travail. De plus, la visite de sites Web

illgaux peut entacher la rputation de lentreprise et entraner des consquences

juridiques. Les mesures prises par lemployeur pour prvenir ce genre dabus ne sont

souvent pas moins contestables. Le recours aux programmes espions (espiogiciels) et

lanalyse nominative permanente des fichiers journaux sont des intrusions interdites

dans la personnalit de lemploy.

Le moment est venu pour lemployeur de changer dattitude: il lui faut dsormais

concentrer ses efforts sur la prvention technique. Plutt que surveiller ses employs,

il mettra en uvre les mesures dordre technique permettant de contenir les abus

et de protger lentreprise. Il ne sera autoris analyser nominativement les fichiers

journaux que si les mesures prises savrent inefficaces et encore faudra-t-il quil en

ait inform au pralable le personnel dans le cadre du rglement de surveillance. En

labsence dabus et dinformation pralable, il ne pourra analyser les fichiers journaux

du surf et du courrier lectronique que sous forme anonyme ou pseudonyme. Il devra

encore se poser la question de savoir lesquels de ses employs doivent avoir accs

Internet et dans quelles limites. Le cas chant, il ne leur mettra disposition que le

courrier lectronique. Il ne perdra jamais de vue que laccs de lentreprise Internet

et au courrier lectronique la rend vulnrable aux attaques de lextrieur.

Le lgislateur nayant gure lgifr jusquici sur les droits et sur les devoirs des par-

ties en prsence, nous esprons ly inciter ici, mais aussi sensibiliser toutes les per-sonnes concernes par le problme.

Ce guide traite en premier lieu des principales applications en rseau, des traces quel-

les laissent, des intrts qui sont en jeu pour lemployeur et des mesures de protec-

tion techniques quil peut prendre. Il prsente ensuite les bases lgales actuelles et

nonce quelles conditions le surf et le courrier lectronique peuvent tre surveills

par lemployeur. Il rend encore le lecteur attentif aux consquences de lusage abusif

dInternet et de la surveillance illicite. Divers diagrammes et un rglement type figuranten annexe rsument lessentiel.


6/51

6

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

1. Les applications en rseau les plus importantes

Internet offre une multitude dapplications que lon appelle communment les ser-

vices Web, parmi lesquels on compte galement des services du rseau interne de

lentreprise (Intranet). Ces applications en rseau peuvent tre subdivises en deux

grandes catgories: celles qui provoquent lenregistrement dun contenu sur un sup-

port de donnes et celles qui ne le provoquent pas.

1.1 Applications sans enregistrement de contenu

Parmi les applications de ce type, on recense en premier lieu lactivit bien connue

qui consiste surfer (naviguer) sur Internet, c.--d. visiter des sites qui sont

hbergs sur des serveurs Web et auxquels on accde directement grce leur adres-se URL1. Le surf permet aussi de relever le courrier lectronique (web-based email)

hberg chez des fournisseurs daccs Internet (ISP: Internet Service Providers). Des

moteurs de recherche spcialiss tels quAltavista ou Google permettent de procder

une sorte de recherche en plein texte dans une base de donnes globale, daprs

des critres choisis par lutilisateur. On parle de surf multimdia lorsque les sources

audio et vido ainsi que la tlphonie (VoIP: Voice over IP) passent par le rseau.

Les groupes de discussion (newsgroups) sont des forums de discussion publics. Ils

fonctionnent selon le principe du tableau daffichage; on les dsigne galement par

le terme de babillards lectroniques: tous les abonns un groupe de discussion

peuvent apporter des contributions (questions ou rponses) sous la forme de messa-

ges pouvant tre lus par les autres participants.

Le cyberbavardage ou la causette (IRC: Internet Relay Chat), de mme que la mes-

sagerie instantane (Instant Messaging), permet plusieurs personnes de dialoguer

en direct et en temps rel au moyen du clavier, pour autant quelles se soient dotes

dun pseudonyme qui les identifie.

1.2 Applications avec enregistrement de contenu

Parmi les applications de ce deuxime type, on compte principalement le tlchar-

gement de fichiers (download) laide de protocoles tels que HTTP ou FTP. Les

exemples classiques de tlchargement concernent des gratuiciels et partagiciels

(freewares/sharewares) tels que des jeux ou des objets multimdiaux (image, son ou

vido).


7/51

7

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

La rception et lenvoi de messages lectroniques (courriels) font galement

partie de cette catgorie. Le courrier lectronique permet denvoyer des messages

rdigs en clair, parfois avec des fichiers joints, dautres personnes connectes

au rseau. Sans chiffrement, la confidentialit des messages est comparable celle

dune carte postale, cest pourquoi les contenus sensibles doivent tre chiffrs par

lutilisateur.Lemploy qui sinscrira sur une liste de distribution (mailing list) en utilisant son

adresse courrielle professionnelle sollicitera la capacit de stockage de lentreprise et

la bande passante du rseau (throughput) pendant son temps de travail.


8/51

8

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

2. Intrts concerns de lemployeur

Lutilisation dun ordinateur en rseau peut porter atteinte certains intrts et qui-

pements techniques de lemployeur. Ceci peut affecter:

la capacit de stockage et la bande passante du rseau, suite une utilisationexcessive dInternet et du courrier lectronique;

la scurit des donnes et des applications (disponibilit, intgrit, confidentialit)

en raison de limportation de virus, de vers, de chevaux de Troie ou de linstallation

de logiciels trangers lentreprise;

le temps de travail et dautres intrts financiers (pertes de productivit, aug-

mentation des cots pour des moyens et/ou prestations supplmentaires, frais

de rseau, etc.);

dautres intrts de lemployeur protgs par la loi tels que sa rputation, ses

secrets de fabrication ou daffaires, ou encore la protection des donnes.

La capacit de stockage est principalement sollicite par les fichiers tlchargs ou

par les messages du courrier lectronique (cf. chapitre 1).

Les messages reus/envoys par courrier lectronique restent en gnral dans la

bote lettres du serveur de lentreprise et lemploy est libre de les sauvegarder oude les supprimer aprs les avoir lus/envoys. Sont stocks dune part les donnes ac-

cessoires telles que le nom de lexpditeur, celui du destinataire, lobjet du message ou

sa date, dautre part son contenu. Les documents joints sollicitent tout particulirement

la capacit de stockage de lentreprise. Leffacement (logique) de messages revient en

fait leur dplacement dans le dossier des lments supprims (deleted items), du-

quel ils doivent tre effacs une seconde fois pour disparatre dfinitivement.

Quant la bande passante, elle est sollicite aussi bien par les applications avec quepar celles sans enregistrement de contenu.

Linstallation de logiciels tiers tels que des conomiseurs dcran ou des jeux peu-

vent entraver laccs aux applications professionnelles (disponibilit) ou les fausser

(intgrit/confidentialit). Les contaminations informatiques peuvent tre classes en

trois grandes catgories: les virus, les vers (worm) et les chevaux de Troie.

Un virus est un logiciel qui se reproduit lui-mme, se recopie dans dautres logiciels

et qui est en mme temps en mesure dexcuter des actions malveillantes dans unsystme informatique2. Un virus est introduit partir dune source extrieure (cour-

rier lectronique, disquette, jeu ou gratuiciel). Certains types de virus atteignent


9/51

9

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

lintgrit dun fichier en en changeant les caractres, tandis que dautres dtruisent

carrment le fichier complet. Il en rsulte un risque fonctionnel pour lordinateur, qui

peut par exemple ne plus redmarrer.

Un verest un logiciel autonome qui se propage dun systme un autre en se reco-

piant lui-mme, en gnral travers un rseau. Comme un virus, il peut directement

dtruire des donnes ou diminuer les performances dun systme informatique. Unautre aspect nuisible des vers est quils peuvent vhiculer des chevaux de Troie.

Un tel cheval de Troie est par exemple en mesure de soutirer des mots de passe

qui permettront par la suite daccder illicitement des donnes, de les transfrer, de

les modifier voire de les supprimer. Un cheval de Troie est un logiciel autonome qui

premire vue accomplit une tche prvue, mais qui en plus contient une ou plusieurs

fonctions caches3. Cela signifie que lorsque lutilisateur lance le programme, le che-

val de Troie excute en plus une action non voulue et critique pour la scurit. Laplupart des espiogiciels (cf. chapitre 4) sont des chevaux de Troie.

Lutilisation du rseau informatique entrane des cots plusieurs niveaux, ceux-ci

peuvent tre forfaitaires ou calculs en fonction du temps et/ou du volume. Dans le

cas du tarif forfaitaire (ligne loue), le temps pass surfer na pas dincidence sur

les cots, mais il en a une sur le temps de travail consacr. Un largissement de la

bande passante du rseau peut de surcrot tre ncessaire.

Il en rsultera encore dautres cots pour lemployeur si un employ utilise le nom oula carte de crdit de lentreprise lorsquil accde une offre payante sur le Web. Un col-

laborateur peut galement dlibrment ou inconsciemment conclure un contrat

sur le Web au nom de la socit et engager ainsi la responsabilit de lemployeur.

Il est encore possible que des secrets de fabrication ou daffaires ainsi que la

protection des donnes soient compromis, par exemple lorsque des informations

confidentielles sont expdies par courrier lectronique des personnes non auto-

rises. Ce risque augmente avec lusage accru dinstruments de travail tels que lesordinateurs portables, les assistants numriques personnels (PDA) ou les tlphones

mobiles. Les mesures techniques de protection prsentes ci-aprs ne peuvent tre

mises en uvre que de manire limite sur ce genre dappareils. Le danger de voir

des secrets daffaires tomber en mains non autorises est dautant plus grand que ces

appareils peuvent tre facilement perdus ou vols.


10/51

10

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

3. Mesures techniques et organisationnelles deprotection4

Il est bien connu que la scurit technique absolue nexiste pas. Des mesures tech-

niques de protection (cf. annexe A) peuvent cependant rduire les risques lis au surf

sur Internet et au courrier lectronique.

La mise en uvre de telles mesures de protection permet lemployeur dviter

temps ce qui menace la scurit et le bon fonctionnement du systme lectronique.

Leffet prventif devrait donc remplacer dans une large mesure la mise en uvre de

moyens de rpression tels que la surveillance des personnes (cf. chapitre 8). Parmi les

mesures de protection techniques les plus importantes figurent les mots de passe

et les droits daccs, leslogiciels antivirus, lesgestionnaires de quotas disque,

lasauvegarde des fichiers (backups) et lessystmes pare-feu (firewalls). Dautrepart, les logiciels de surf et de courrier lectronique doivent tre installs dans le re-

spect des avances technologiques les plus rcentes5, configurs de manire sre et

rgulirement mis jour6.

Le mot de passe sert lauthentification de lutilisateur et ne doit donc jamais com-

muniqu des tiers. Il doit tre suffisamment compliqu et modifi intervalles r-

guliers. Aprs une courte priode (ex: 5 minutes) dinactivit, la protection par mot

de passe doit tre active par lconomiseur dcran, obligeant ainsi lutilisateur sauthentifier nouveau ds son retour. Chacun dentre nous tant amen retenir

une multitude de mots de passe, il est conseill de les conserver dans une base de

donnes chiffres plutt que sur une liste papier. Des applications idoines sont dis-

ponibles sur le march. Le mot de passe daccs une telle application doit tre

soigneusement mmoris par lutilisateur.

La protection contre des accs non autoriss (droits daccs) consiste attribuer

des autorisations (lire, crire/modifier, excuter, effacer) pour laccs aux donnes ou

objets dignes de protection. Dans la pratique, on recourt une matrice dfinissant

pour chaque utilisateur (ou rle) et pour chaque objet les droits daccs accords.

Ces droits individuels de lemploy sont attribus par le responsable (suprieur hirar-

chique ou chef dquipe) et implments par ladministrateur du systme.

Il est en outre recommand de chiffrerles donnes sensibles (cf. lart. 3, let. c, de

la loi fdrale sur la protection des donnes, LPD, RS 235.1). Le chiffrement assure

lintgrit et la confidentialit des donnes. La cryptographie symtrique utilise la

mme cl pour chiffrer et dchiffrer. Un canal sr doit tre utilis pour changer cettecl secrte, dont la taille doit tre aujourdhui dau moins 128 bits pour tre reconnue


11/51

11

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

sre. A loppos, la cryptographie asymtrique utilise une cl publique pour chiffrer

les donnes et une cl prive (protge par un mot de passe) pour les dchiffrer. A

linverse, la cl prive est utilise pour la signature numrique et la cl publique pour

vrifier lintgrit et la provenance des donnes. La cryptographie asymtrique nces-

site une infrastructure cls publiques (PKI) pour certifier les cls publiques. Elle est

rpute sre aujourdhui lorsque la taille de la paire de cls est dau moins 1024 bits.Le scurit dun procd cryptographique repose entirement sur les cls, qui doivent

donc tre protges et conserves de manire approprie.

Le chiffrement des donnes est recommand pour le transfert (SSL, WEP, etc.) des don-

nes mais aussi pour leur stockage. Lchange de donnes enregistres sous forme

chiffre peut se faire dans un canal non chiffr, mais on risque alors de ne pas pouvoir

les dchiffrer en tout temps (par suite de la perte du mot de passe ou de la cl ou

encore en labsence du dtenteur de cette dernire).

Voil pourquoi une cl supplmentaire de dchiffrement (additional decryption key

[ADK] ou corporate message recovery key[CMRK]) peut savrer ncessaire. Les int-

resss doivent alors en tre informs.

Le chiffrement simposant toujours plus comme complment aux habituels droits

daccs aux donnes, les administrateurs systme ne dtiennent plus forcment la

totalit des autorisations.

Faute dtre chiffr, un message lectronique aura une confidentialit comparable

celle dune carte postale.

Les logiciels antivirus permettent de dceler les virus et en rgle gnrale aussi de

les dtruire. Ils doivent pour ce faire utiliser la dernire version disponible du fichier

de signatures et tre activs sur chaque ordinateur. Pour les services Web de courrier

lectronique, le logiciel antivirus doit tre install sur lordinateur de chaque emplo-

y, afin de pouvoir effectuer le contrle antiviral du contenu rceptionn. Le danger

dinfection par un virus nest gure plus grand avec un service Web de courrier lec-tronique quavec le service interne de courrier lectronique de lemployeur.

Les logiciels antivirus de la dernire gnration qui sont installs de manire licite

(existence dune licence) et correcte sur un ordinateur peuvent tre rgulirement et

souvent automatiquement mis jour via Internet. Au cas o il nest techniquement

pas possible de supprimer un virus, la sauvegarde rgulire des donnes permettra

de rcuprer des fichiers antrieurs non infects. On notera que les logiciels antivirus

noffrent pas de protection totale contre les attaques. Do la ncessit de se doter deprogrammes de protection supplmentaires (Spyware Blaster, Detector).


12/51

12

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

Les gestionnaires de quotas disque sont des utilitaires intervenant au niveau du

systme dexploitation et permettant de limiter lespace disque quun utilisateur peut

occuper pour ses fichiers ou messages. Un tel programme force lutilisateur rest-

reindre lui-mme lespace disque quil utilise, tant donn quil doit dment justifier

toute demande dextension. Lutilisation de quotas disque permet donc dviter des

surcharges inutiles de la capacit du disque et rend ainsi superflue toute interventionde lemployeur dans ce domaine personnel. A linstar des quotas disque, la mesure

technique analogue qui consiste limiter la taille des pices jointes dun courrier

lectronique est relativement inefficace, car elle peut facilement tre contourne par

une rpartition de pices jointes sur plusieurs messages. Les quotas disque indivi-

duels sont attribus par un responsable (suprieur hirarchique ou chef dquipe) et

implments par ladministrateur du systme.

La sauvegardedes donnes permet de les rcuprer rapidement et totalement

en cas de perte. Les supports de donnes correspondants doivent tre conservs

pendant une certaine dure (fixe lavance) labri du feu, de leau, des voleurs et

des rayonnements. Les sauvegardes successives sont autant de protocoles exploiter

avec prudence.

La sauvegarde des donnes du serveur de courrier lectronique nest pas recom-

mande car elle pourrait concerner le courriel priv des employs. Raison de plus pour

sauvegarder ces courriels part et ainsi permettre la sauvegarde du reste.

Un systme pare-feu (firewall)protge les donnes contre les attaques extrieures7

et vite que la bande passante et le temps de travail ne soient par trop sollicits.

Les pare-feu sont gnralement placs entre Internet, Intranet et ventuellement une

zone dmilitarise (DMZ, o se trouvent les serveurs Web de lentreprise). Ils filtrent

le trafic de donnes dans les deux sens en fonction de lidentification utilisateur (USE-

RID), de ladresse IP ou des protocoles dapplication8. La configuration dun pare-feu

est complexe; elle exige des connaissances prcises et devrait tre opre unique-

ment par un spcialiste. La configuration du pare-feu peut tre complte par uneliste de sites interdits. Cette liste dite ngative contient les URL indsirables, dfinies

soit par le constructeur, soit par lemployeur. Une autre possibilit consiste tablir

une liste dite positive qui ne contient que les sites Web ncessaires pour excuter les

tches de lentreprise.

De nos jours on complte souvent les pare-feu matriels du rseau par linstallation de

pare-feu logiciels (personal firewalls) sur chaque place de travail. Etant donn que ces

mesures techniques de protection ne peuvent assurer une scurit absolue, on utilise

encore des systmes de dtection dintrusion (IDS), aussi bien sur le rseau, sur


13/51

13

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

les serveurs quau niveau du client. Lutilisation de tels systmes permet de dceler

les attaques ou les abus. Elle confirme en quelque sorte linefficacit des mesures de

scurit prises jusqualors.

Le tlchargement de fichiers par FTP, HTTP ou SMTP peut tre limit aux fichiers dun

format particulier (EXE, MP3, BAT, etc.). Un blocage similaire peut tre mis en place

pour les fichiers joints aux messages lectroniques. Lefficacit de tels blocages doitnanmoins tre relativise puisque certains formats, tels que les formats darchive

(fichiers compresss) comme.ZIP, ne sont en rgle gnrale pas bloqus, bien quils

puissent contenir des fichiers ayant eux un format bloqu.

Un modem install sur un poste de travail local permet de contourner la scurit as-

sure par le pare-feu. Un utilisateur externe non autoris peut alors sintroduire dans

le rseau dune entreprise sans quelle sen rende compte. Il peut aussi contourner le

pare-feu en utilisant des points daccs sans fil (wireless access points) en labsencede mesure de protection adquates. Aussi est-il recommand de chiffrer le transfert

de donnes au moyen du protocole WEP (wired equivalent privacy) ou du nouveau

WPA (Wi-Fi Protected Access).

La mise en uvre de mesures techniques de protection appropries devrait permettre

de minimiser le nombre des vraies pannes techniques.


14/51

14

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

4. Traces laisses par le surf sur Internet

Presque toutes les machines modernes sur lesquelles tournent des applications com-

munes (serveurs, banques de donnes, imprimantes) tiennent un journal de leurs

activits (cf. annexe A). Les traces laisses par lutilisation dapplications en rseau

se limitent en rgle gnrale des donnes accessoires du genre qui a fait quoi et

quand?. Par journalisation, on entend lenregistrement en continu de ces donnes

accessoires. La dcision dautoriser la journalisation et daccorder le droit diverses

personnes daccder aux fichiers journaux (qui et pendant combien de temps?) doit

tre dicte par les principes de la finalit et de la proportionnalit. Le rglement de

surveillance devrait, par souci de transparence, rendre les employs attentifs aux jour-

nalisations, les informer du but recherch, du contenu des oprations effectues et

de la dure de conservation des fichiers journaux. Une journalisation peut savrer

ncessaire lorsque des mesures prventives ne suffisent plus protger des donnes

personnelles sensibles (art. 10 de lordonnance relative la loi fdrale sur la protec-

tion des donnes, OLPD, RS 235.11).

Les journalisations peuvent tre configures selon les besoins de lentreprise.

Ladministrateur systme opre en gnral une configuration minimale de ma-

nire recueillir un nombre limit dinformations. Il laugmente pour une certaine

dure seulement quand des informations plus dtailles sont ncessaires (en cas

de panne du systme par exemple). Les fichiers journaux ayant en gnral une taille

considrable, il est quasiment impossible de les exploiter sans procdure automatise

(cf. chapitre 8.1). Cest pour cette raison aussi quil faut prvoir les outils adquats,

livrant des rsultats anonymiss ou pseudonymiss. La journalisation des activits

dune personne donne est en outre considrer comme un fichier et doit partant

tre dclare au Prpos fdral la protection des donnes et la transparence en

vertu de lart. 11 LPD. Particuliers et entreprises doivent dclarer leurs fichiers si le

traitement de ces donnes nest soumis aucune obligation lgale et si les personnes

concernes nen ont pas connaissance. La dure de conservation des fichiers journ-

aux est directement fonction du but recherch, qui doit tre clairement indiqu dans

le rglement de surveillance et dutilisation. Lentreprise na aucune obligation lgale

de conserver ces fichiers journaux. Elle peut en revanche les conserver jusqu la fin

dune procdure de sanction ou dune procdure pnale. Dans les autres cas, elle les

dtruira, en gnral aprs un dlai de quatre semaines.

La journalisation des activits de lemploy peut avoir lieu quatre endroits: sur son

poste de travail, sur un serveur Intranet, sur les quipements de connexion interr-

seaux ou sur les serveurs de la zone dmilitarise (cf. annexe A). En cas dinfraction


15/51

15

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

pnale, les fichiers journaux du fournisseur daccs Internet peuvent tre examins

sur requte du juge, lequel peut encore ordonner un enregistrement des donnes de

contenu.

Sur lordinateur de lemploy: un espiogiciel9 (cf. chapitre 6) permet denregistrer

toutes les oprations effectues par lemploy. Ce type de programme, install le plus

souvent linsu de lintress, est illicite car il permet de le surveiller en permanenceet en dtail son lieu de travail. Il permet notamment de lire les messages lectro-

niques envoys ou er4us (il les enregistre et les transmet au tiers espion), de pho-

tographier ou de copier son cran intervalles rguliers (recurrentscreenshots)

et la totalit de son contenu (des pages Web consultes par exemple). Il peut encore

enregistrer toutes les touches du clavier qui ont t actives (hardware keylogger),

capturer des mots de passe, voir toutes les applications actives, accder au disque dur

local, couter les fichiers audio couts par lemploy, etc. Il permet enfin denregistrer

toutes les informations espionnes, mais aussi de les transmettre des tiers qui

pourront les traiter.

Les informations recueillies en surfant ou charges sur lordinateur sont le plus souve-

nt stockes titre temporaire (cache) sur le disque dur local. Ce nest pas lutilisateur

qui veut quil en soit ainsi, mais lapplication, pour amliorer ses temps de rponse.

Lutilisateur peut bloquer ou effacer ces fichiers temporaires et les donnes acces-

soires telles que les cookies, mais aussi lhistorique et la saisie semi-automatique

des donnes (autocomplete), dans le but de mnager la capacit de stockage et deprotger partiellement sa sphre prive. Lidal est que les fichiers temporaires soient

effacs automatiquement ds que le surfeur quitte le navigateur ou ds quil teint

son ordinateur.

Sur le serveur Intranet: le journal y enregistre le qui (nom de lutilisateur), le

quand (la date) et le quoi (lobjet de la consultation, la connexion au systme, la

dconnexion, les fichiers imprims, lattribution dynamique dadresses IP et la rso-

lution des noms de domaine, le lancement dune application). Les adresses IP desordinateurs des utilisateurs peuvent tre attribues de manire statique et dfinitive

par un administrateur de rseau ou de manire dynamique et provisoire par un ser-

veur de rseau. Dans ce dernier cas, la liste chronologique des correspondances entre

les adresses IP attribues et les noms des utilisateurs entrs dans le systme figure

uniquement dans le protocole du serveur DHCP (Dynamic Host Configuration Proto-

col). Un collgue mal intentionn peut galement oprer une activit rprhensible

sous couvert du compte dun employ parfaitement innocent. Ce dernier est respon-

sable au premier chef de son compte dans un tel cas (non-transmission du mot depasse, activation rapide de lconomiseur dcran).


16/51

16

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

Les pages Web consultes et les fichiers tlchargs peuvent en outre faire lobjet

dun enregistrement intermdiaire sur un serveur proxy de lIntranet de lentreprise,

donc livrer une photo instantane des dernires activits de surf accomplies. Toute

utilisation ultrieure dun de ces fichiers par un autre employ se fera directement

partir du serveur proxy, ce qui rendra inutile toute nouvelle connexion Internet et

dchargera ainsi la bande passante. On pourrait ainsi perdre la trace de certaines acti-vits opres sur le Web mme si le serveur proxy est tout fait capable de journaliser

intgralement ses propres activits (fonction cache et fonction filtre). A noter quune

URL est une donne accessoire dont le contenu peut tre gnralement rappel

lcran et sy afficher.

Les quipements de connexion interrseaux tels que les pare-feu et les routeurs

tiennent en principe le journal de la date et de lheure, des adresses IP (adresses sour-

ce et adresses cible), du protocole dapplication utilis quand ce nest pas celui des

pages appeles et du nom de lutilisateur. A propos des adresses source, il faut savoir

quil est possible de recourir une fonction optionnelle de traduction dadresses de

rseau (Network Address Translation). Les adresses IP utilises en interne sont alors

transformes de manire dynamique en adresses externes connues mais inviolables,

qui protgent des attaques externes. De ce fait, lanalyse des fichiers journaux peut

tre rendue plus difficile.

A ce niveau, un renifleur (sniffer/scanner) peut tre install par un administrateur

en vue doprer une coute plus dtaille des paquets de donnes qui sont transmis,autant au niveau des donnes accessoires que de leur contenu. Une coute de ce

type nest problmatique que si elle est effectue par un bidouilleur (hacker). Les don-

nes sensibles du genre des mots de passe devraient toujours tre transmises sous

forme chiffre. On peut encore installer un systme de dtection dintrusion (IDS) sur

le serveur ou sur le rseau qui rvlera aprs-coup les attaques extrieures que le

pare-feu naurait pas dceles.

Une zone dmilitarise (DMZ) situe entre Intranet et Internet est souvent grepar les pare-feu. Elle hberge les serveurs joignables des deux mondes, notamment

les serveurs de courrier lectronique, de fichiers publics et les serveurs Web (proto-

coles SMTP, FTP et HTTP).

Sont journaliss sur les serveurs de courrier lectronique, lheure denvoi ou de r-

ception du message, ladresse de lexpditeur, ladresse du destinataire, le champ

Objet, le degr de priorit et la confidentialit dudit message. Il nest pas exclu que

dautres informations (nombre de documents annexs, taille du message, signature

numrique, mme ladresse IP) soient galement journalises. Le contenu du message

ne lest en principe pas.


17/51

17

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

Les enregistrements du journal sont en gnral attribuables directement ou indirecte-

ment une personne donne (en utilisant la liste de correspondance). Un journal

devant tre rendu public devra vraisemblablement tre pseudonymis voire repseu-

donymis (si la pseudonymisation originelle nest pas assez robuste).


18/51

18

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

5. Le rglement dutilisation dInternet et du courrierlectronique titre priv

Quun employ soit autoris surfer sur Internet et utiliser le courrier lectronique

des fins prives dpend en premier lieu de lemployeur. Comme dans dautres do-

maines des rapports de travail, ce dernier dispose en effet du droit dtablir des direc-

tives (art. 321 du Code des obligations, CO, RS 220). Il est donc important quil examine

de manire diffrencie les exigences professionnelles relles des collaborateurs

avant de leur accorder un accs Internet. Les employs doivent tre sensibiliss, par

divers cours, aux risques que lutilisation dapplications en rseau fait courir.

Nous conseillons lemployeur dlaborer des directives par crit sur lutilisation

dapplications en rseau, bien que cela ne soit pas obligatoire. Un tel rglement (cf.

annexe C) est en effet de nature assurer la transparence et la scurit juridique dansles relations qui lient lemployeur aux employs. Le mieux serait que ce rglement soit

remis tout employ sous la forme crite, car si le rglement oral possde bel et bien

un caractre obligatoire, il peut savrer problmatique en cas de litige. Lemploy

en accusera rception par crit. Lemployeur rexaminera le rglement intervalles

rguliers et ladaptera si ncessaire, par exemple en cas de nouveaut technologique

ou sil constate des abus.

Le rglement peut autoriser lusage priv des applications en rseau, le restreindre ouencore linterdire compltement.

Une restriction peut intervenir de plusieurs manires. Une restriction qui concerne la

dure de surf par exemple 15 minutes par jour nest pas efficace pour deux raisons.

Dune part, il est difficile de contrler quelle est respecte, tant donn que lheure

laquelle un utilisateur quitte un site Web nest en rgle gnrale pas enregistre10.

Dautre part, un enregistrement de la dure dutilisation ne permettrait pas de tirer des

conclusions sur le temps effectivement pass surfer, puisque la fentre du naviga-

teur peut rester ouverte derrire une autre application (telle quun traitement de texte)

sans quelle soit effectivement sollicite. Seul lenregistrement dune srie daccs

au Web conscutifs depuis un mme poste de travail pendant une priode donne

permettrait de connatre la dure effective dutilisation, pour autant que les accs

se suivent intervalles rapprochs. Mais, mme dans ce cas, il ne serait pas possi-

ble davoir une indication prcise de la dure dutilisation car certaines pages Web

sont rgulirement mises jour automatiquement (les newstickers de journaux ou

dannonces boursires notamment).


19/51

19

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

Une autre manire de restreindre laccs Internet consiste bloquer des offres in-

dsirables (bourse, march de lemploi, sites commerciaux, textes et images porno-

graphiques ou caractre raciste, etc.) en limitant la capacit utilisable du serveur (cf.

chapitre 3) ou en dfinissant une plage horaire pendant laquelle il est permis dutiliser

Internet des fins prives (par ex. aprs 18 heures). Il est encore possible dattribuer

une bande passante diffrente en fonction du caractre professionnel ou non dessites consults.

On peut galement restreindre ou interdire la consultation des fins prives en dfi-

nissant une liste positive qui indique les sites Web que lutilisateur est autoris visiter

(par exemple ceux dadministrations officielles pour la recherche dinformations, cf.

chapitre 3). En rgle gnrale, laccs Internet sera autoris dans tous les cas o il a

lieu des fins professionnelles.

Dans les cas o lutilisation dInternet est restreinte, il est envisageable que lemployeurmette la disposition des employs (comme pour le tlphone) des bornes Internet en

libre accs. Le journal des oprations ne doit pas tre consult par lemployeur, mais il

est tabli des fins de conservation de preuves (par exemple pour enqute officielle). Il

est recommand, pour plus de scurit, de brancher ces bornes indpendamment du

rseau interne dentreprise (cf. chapitre 2). Lemploy qui les utilise sengage le faire

de manire conforme la loi et il est entirement responsable de la scurit.

En labsence de rglement dict par lemployeur, lemploy ne peut savoir sil est

autoris surfer sur Internet ou utiliser le courrier lectronique des fins person-

nelles. Certains milieux estiment que linterdiction de lancer ou de recevoir des appels

tlphoniques de nature prive au lieu de travail sapplique par analogie Internet.

Les intrts et les moyens de lemployeur doivent tre prservs quoi quil arrive en

raison du devoir de diligence et de loyaut (art. 321a CO) qui oblige tout employ

sauvegarder les intrts de son employeur. Lincidence de cet article sur lutilisation

dInternet doit tre tablie au cas par cas, en fonction de la situation concrte. Il existe

donc un risque que lemployeur fasse une mauvaise apprciation du caractre admis-sible ou non dune session de surf.

Cest la raison pour laquelle nous vous conseillons dtablir un rglement crit

sur lutilisation dInternet. Plus ce rglement sera concret et prcis, moins il y aura

dquivoques sur ce qui est permis ou non en matire de lutilisation prive dInternet

au travail.


20/51

20

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

6. Bases lgales de la surveillance

Le danger que reprsente la surveillance durable du comportement dun employ

son travail a fait lobjet, en 1984, dune motion parlementaire11. Cest la suite de

cette motion que le Conseil fdral a dict une ordonnance qui interdit la surveillance

cible du comportement sur le lieu de travail (art. 26, al. 1, de lordonnance 3 relative

la loi sur le travail, OLT 3, RS 822.113). Lorsque des systmes de surveillance ou de

contrle sont ncessaires pour dautres raisons, ils doivent tre conus et installs de

faon ne pas porter atteinte la sant ni la libert de mouvement des travailleurs

(art. 26, al. 2, OLT 3). Lordonnance en question vise en premier lieu protger la sant

et la personnalit des employs en les soustrayant une surveillance permanente

cible, opre au moyen dun systme de surveillance12. Une surveillance effectue

sans systme de surveillance ne tombe pas sous le coup de lart. 26 OLT 3.

Dans le cadre du surf et du courrier lectronique au travail, ceci signifie que la sur-

veillance permanente dun employ en particulier opre au moyen de lanalyse de

fichiers journaux nest pas admissible. La mme raison interdit dailleurs linstallation

de programmes espions (cf. chapitre 4). Ces espiogiciels permettent, on le sait, de

surveiller, son insu, un employ au travail. Leur installation viole linterdiction de

surveiller le comportement mais aussi le principe de la bonne foi.

Vu leurs multiples fonctions et le fait quon peut les programmer, les programmes desurveillance constituent mme une violation plus grave de la personnalit de lemploy

que lutilisation dune camra vido.

Les content scanners sont une variante de programmes espions. Ce sont des pro-

giciels qui examinent les courriers lectroniques reus ou envoys en fonction de

termes prdfinis et qui ragissent en consquence (en les bloquant, les effaant, en

en envoyant une copie ladministrateur systme voire au suprieur hirarchique de

lemploy). Le risque de violation de la personnalit dun individu est patent ds lors

quon surveille systmatiquement son comportement. Lefficacit des filtres bass sur

des termes est en outre contestable, tant donn quils filtrent en pratique trop ou trop

peu. Il est du reste illusoire de croire quils offrent une scurit absolue du contenu car

ils ne peuvent pas analyser les messages chiffrs, dont lutilisation est toujours plus

frquente. Sy ajoute le fait quil est interdit de passer au crible le contenu des mes-

sages privs annoncs comme tels. Le Tribunal fdral ne sest pas encore prononc

sur les logiciels de surveillance lectronique.

Sont par contre autorises lanalyse anonymise en continu des fichiers de journali-sation et lanalyse pseudonymise par sondages des fichiers de journalisation, toutes

analyses qui permettent de contrler que le rglement dutilisation est bien respect


21/51

21

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

(cf. chapitre 8.4.1.1). Ces contrles donnent les preuves qui permettent de rprimer

les abus que des mesures techniques nont pas permis dempcher (par exemple la

lecture de pages Web ne figurant pas sur la liste des pages bloques du pare-feu).

Sil constate un abus, lemployeur sera en droit deffectuer une analyse nominative de

fichiers journaux, condition toutefois quil en ait inform au pralable le personnel

dans le rglement de surveillance (cf. chapitre 7.1).

Linterdiction de procder une surveillance du comportement, vise lart. 26 OLT 3,

nest donc pas applicable de manire absolue. Il sagit bien plus de dterminer ce qui

prvaut dans chaque cas: la protection de la personnalit de lemploy ou les intrts

de lemployeur (cf. chapitre 2). Dans certains cas, lorsquun abus a t constat et

quune information pralable a eu lieu (par le rglement), la surveillance du comporte-

ment dune personne est admissible. Cependant, si aucun abus na t constat, la ga-

rantie de la scurit, de mme que les contrles du respect du rglement dutilisation,doivent rester anonymes ou pseudonymes13.

En plus de lart. 26 OLT 3, la loi sur la protection des donnes ainsi que les articles 328

et 328b du Code des obligations protgent la personnalit de lemploy. Ces disposi-

tions prvoient galement que lemployeur nest en droit de traiter des donnes per-

sonnelles quen conformit avec les principes de la finalit et de la proportionnalit.

De nombreux employeurs mettent la disposition de leurs collaborateurs des instru-

ments de travail portables (ordinateurs portables notamment) qui sont galement con-cerns par la surveillance, ce qui pose un problme particulier puisque ces appareils

sont aussi souvent utiliss des fins personnelles.

Lemploy peut exiger tout moment de son employeur quil lui communique sil traite

des donnes le concernant (art. 8, al. 1, LPD; cf. chapitre 8.1.2), ce qui peut mme avoir

un effet dissuasif quant la surveillance de la part de lemployeur.

Des donnes personnelles ne peuvent tre communiques des tiers non autoriss

sans motif valable ou sans laccord de la personne concerne (art. 12 et 13 LPD). Lescollgues de travail de la personne concerne sont des tiers non autoriss pour la

protection des donnes.

Les services informatiques, le prpos la scurit, les suprieurs hirarchiques et

le service du personnel doivent prendre toutes les mesures techniques et organisati-

onnelles ncessaires pour empcher que les donnes personnelles (notamment les

fichiers journaux quils traitent dans le cadre de la surveillance dun employ et ce qui

dcoule de leur exploitation) ne tombent entre les mains de personnes non autorises(art. 7, al. 1, LPD)14. Tous doivent assurer la confidentialit, la disponibilit et lintgrit

de ces donnes (art. 8, al. 1, de lordonnance relative la loi sur la protection des

donnes ou OLPD, RS 235.11).


22/51

22

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

7. Principales conditions juridiques pour la surveillancedu surf et du courrier lectronique

Pour pouvoir effectuer une analyse nominative, lemployeur doit avoir au pralable

inform le personnel, constat un abus ou souponner quun abus a t commis. Sont

applicables les rgles qui suivent.

7.1 Linformation pralable

Sil na pas lobligation ddicter un rglement dutilisation dInternet et du courrier

lectronique dans lentreprise, lemployeur est tenu par contre ddicter un rgle-

ment de la surveillance de ces deux activits sil se livre cette surveillance, car elle

constitue une ingrence dans la sphre prive des employs (principe de la bonnefoi, art. 4, al. 2, LPD). Une ingrence de ce type existe quand il y a analyse nominative

des fichiers journaux. Pour assurer la transparence et la scurit du droit, lemployeur

rdigera ledit rglement de surveillance par crit et si possible en mme temps que le

rglement dutilisation dInternet et du courrier lectronique dans lentreprise, lidal

tant que ces deux rglements figurent sur un seul et mme document (cf. le rgle-

ment type lannexe C).

Lemployeur mentionnera dans le rglement de surveillance quil peut analyser no-

minativement les fichiers journaux (cf. chapitres 8.2 et 8.3), mais aussi en livrer les

rsultats au suprieur hirarchique de lemploy et au service du personnel en cas

dabus manifeste. Si cette clause fait dfaut, lemployeur lajoutera avant de procder

lanalyse nominative des fichiers journaux concerns. Autrement dit, il informera

ses employs avant quils ne puissent commettre dabus ou avant quun soupon ne

naisse et non pas juste avant lanalyse nominative. Le cas contraire ne pourra tre

quexceptionnel, en cas dabus grave. Dans ce cas, cest lintrt de lemployeur

identifier lemploy fautif qui lemportera.

Lemployeur mentionnera aussi le nom de la ou des personnes charges danalyser

nominativement les fichiers journaux, les sanctions concrtes prvues et la procdure

quil suivra en cas de soupon dinfraction. Enfin nous lui conseillons de dcrire aux

employs le type de journalisation utilis, son contenu et son but, mais aussi de les

informer sur la dure de conservation des fichiers journaux et sur leur droit daccs.


23/51

23

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

Lemployeur avertira encore les expditeurs et les destinataires externes de courriers

lectroniques que les messages font lobjet dune surveillance et peuvent tre lus par

des dlgus (par exemple au moyen dune note qui pourrait figurer au pied de tout

message sortant, ct de la clause de confidentialit).

Le fait de savoir quune surveillance est possible peut dissuader les employs de

surfer.

7.2 La constatation dun abus

Il y a abus lorsque le rglement dutilisation dInternet et du courrier lectronique a t

viol. Selon ce rglement, un abus peut par exemple consister consulter des sites

Web qui nont rien voir avec les tches professionnelles ou surfer tout court des

fins prives si cela est expressment interdit. Tenter daccder des sites Web qui ont

t bloqus par des mesures techniques de protection nest toutefois pas considr

comme un abus.

Mme sans rglement, lemploy peut violer le devoir de loyaut et le principe de la

proportionnalit. Dans ce cas-l aussi, on parlera dabus.

Un abus pourra tre constat lors du contrle, anonymis ou pseudonymis, du re-

spect du rglement par les employs (cf. chapitres 8.2 et 8.3), lors dun examen de

scurit (pour chercher la source dun virus ou dune tentative interne de hacking)

ou encore grce dautres indications (dcouverte de documents imprims privs sur

limprimante de lentreprise, envoi par erreur de messages privs des suprieurs,

surcharge de la bote de rception du courrier lectronique, etc.).


24/51

24

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

8. Surveillance du surf et du courrier lectronique aulieu de travail

Rappelons tout dabord que lemployeur doit accorder la priorit aux mesures pr-

ventives de nature technique, la sensibilisation des employs et aux mesures les

incitant collaborer. Il na le droit de surveiller une personne dtermine que sil ny a

pas dautre moyen de prvenir un abus.

La surveillance du surf sur Internet et du courrier lectronique des fins prives seront

traites sparment.

Il y a lieu de prciser en outre que les rgles prsentes ci-aprs sont difficilement

applicables dans les petites entreprises car lanonymat ne peut y tre vritablement

garanti.

Dans les chapitres qui suivent, il sera question notamment de la surveillance du surf

et du courrier lectronique par le biais de lanalyse des fichiers journaux. Du fait de

son caractre prventif, permanent et intentionnel, cette forme de surveillance est

particulirement prjudiciable mais nanmoins trs rpandue.

Une autre forme de surveillance consiste effectuer des surveillances ponctuelles

pour garantir la scurit et le bon fonctionnement des ressources techniques ou pour

dautres motifs.

8.1 Surveillance exerce pour garantir la scurit et le bon

fonctionnement du systme informatique de lentreprise

Les services informatiques ou les responsables de la scurit dune entreprise ont

pour tche de garantir la scurit et le bon fonctionnement des ressources tech-

niques. Dans les petites entreprises, cette tche est gnralement assume par le

chef lui-mme. Garantir la scurit est une tche permanente, qui est mise en u-vre le plus souvent par des mesures de protection techniques (systme de dtection

dintrusion par exemple); elle se fait de manire anonyme. Ce sont les mesures les plus

importantes pour parer aux attaques internes ou externes. Lemployeur doit veiller

ce quelles soient rgulirement adaptes aux volutions technologiques.

Si un problme technique survient malgr les mesures prises, lemployeur a le droit

danalyser les fichiers journaux pour dterminer lorigine du problme. Cet examen

peut rvler lexistence dun abus cause de la panne ou faire natre un soupon

dabus. Lorsquil est possible dtablir avec certitude quun abus a t commis, le

collaborateur fautif peut faire lobjet de sanctions (cf. chap. 10).


25/51

25

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

8.2 Surveillance exerce pour dautres motifs

Il peut arriver que lemployeur constate un abus ou pense quil y a eu abus parce que

dautres indices le lui font supposer (cf. chap. 7.2). Afin de pouvoir identifier le collabo-

rateur fautif, lemployeur peut alors dpouiller les fichiers journaux (par exemple ceux

de limprimante) ou leurs analyses. Sil parvient prouver quun abus a t commis, il

peut prendre une des sanctions prvues au chapitre 10.

8.3 Surveillance base sur lanalyse des fichiers journaux

Lanalyse des fichiers journaux consiste dpouiller de manire dtaille, sur la base

de critres prdfinis, les activits enregistres. Cette analyse est effectue laide

dun programme idoine. Une analyse ou plusieurs analyses combines, portant par

exemple sur lutilisation dInternet, du courrier lectronique ou du tlphone, peuventdonner lieu la constitution de profils de la personnalit. Il existe principalement trois

types danalyse: lanalyse anonyme, lanalyse pseudonyme et lanalyse nominative.

Lanalyse anonyme est une analyse statistique des fichiers journaux effectue selon

le critre par exemple des pages Web les plus consultes ou du nombre de messages

envoys. Lanalyse peut porter sur lensemble de lentreprise ou sur une partie seu-

lement de cette dernire (un service, par exemple). Pour que lanonymat soit garanti,

lanalyse doit porter sur un chantillon de personnes suffisamment grand.Lanalyse pseudonyme est une analyse des fichiers journaux qui porte sur plu-

sieurs personnes dterminables, soit dont lidentit a t pseudonymise; elle peut

seffectuer selon le critre par exemple des pages les plus consultes par chaque

pseudonyme. Le pseudonyme doit tre choisi de sorte quil soit impossible didentifier

la personne concerne dans la phase de la surveillance non nominative (cf. chap.

8.4.1). Lidentification de lutilisateur (USERID) ou une adresse IP statique ne constitue

pas un pseudonyme robuste, car il est facile de retrouver lidentit des personnes

concernes.

Lanalyse nominative est une analyse des fichiers journaux qui porte sur une per-

sonne en particulier. Une liste des correspondances entre les noms dutilisateur et les

pseudonymes permet de dterminer lidentit des personnes concernes (ridenti-

fication/analyse nominative). Il est conseill de stocker sparment les analyses des

fichiers journaux et la liste de correspondance (noms dutilisateurs et pseudonymes),

en les remettant deux personnes aux fonctions diffrentes.

Il est noter toutefois que le stockage spar des listes ou la pseudonymisation des

noms ne garantissent en rien une surveillance anonyme si les listes de correspon-

dance sont accessibles tous15.


26/51

26

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

Il y a lieu de prciser en outre que lanalyse nominative des fichiers journaux relatifs

aux messages privs signals comme tels (cf. chap. 8.5) ne doit contenir que les l-

ments suivants: la date et lheure de lenvoi ou de la rception du message, ladresse

de lexpditeur (masque dans les messages entrants), celle du destinataire (masque

dans les messages sortants), et la mention Priv. Autrement dit, seule ladresse de

lemploy doit apparatre dans les analyses nominatives du courrier lectronique.

8.4 Surveillance base sur lanalyse des fichiers journaux du surf

La surveillance base sur lanalyse des fichiers journaux du surf a pour but de protger

les intrts de lemployeur dans ce domaine (cf. chap. 2 du prsent guide).

Ce type de surveillance se subdivise en deux phases:

surveillance non nominative

surveillance nominative

8.4.1 Premire phase: surveillance non nominative

La premire phase de la surveillance a pour buts principaux dtablir des statistiques

et de vrifier si le rglement dutilisation est respect.

Etablissement de statistiques: les statistiques sont tablies sur la base de lanalyse

anonyme des fichiers journaux; elles ont pour but de donner un aperu anonyme

et structur de lutilisation moyenne dInternet.

Contrle du respect du rglement dutilisation: lemployeur a le droit de vrifier si

le rglement dutilisation est respect condition den avoir inform pralable-

ment ses employs par une clause idoine dans le rglement de surveillance (cf.

chap. 7.1 et annexe C). Suivant ce que prvoit le rglement de surveillance, ce

contrle prend la forme dune analyse anonyme et/ou pseudonyme des fichiers

journaux. Lanalyse anonyme ne permet pas didentifier une personne en par-

ticulier et peut donc tre faite de manire permanente. Lanalyse pseudonyme

permet par contre de surveiller le comportement dune personne dterminable

par rapport au comportement anonyme moyen; elle ne peut tre effectue que

de manire ponctuelle, une date ou une heure dtermine (par exemple un

jour par mois avec annonce obligatoire de la semaine concerne aux employs,

afin dviter quils ne se sentent surveills en permanence et titre individuel).Surveiller les employs pendant toute la priode prdtermine ( laide par ex-


27/51

27

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

emple dun espiogiciel, cf. chap. 6) serait par contre synonyme de surveillance

permanente de lensemble du personnel, une pratique illicite selon lart. 26 OLT

3. La surveillance non nominative effectue pour vrifier le respect du rgle-

ment dutilisation devrait tre confie au prpos la protection des donnes

de lentreprise, un collaborateur ayant t form cet effet ou une personne

de confiance extrieure lentreprise. La personne comptente devra tre claire-ment informe de ses responsabilits et en particulier de linterdiction de faire

des analyses nominatives cette premire phase de la surveillance.

8.4.2 Deuxime phase: surveillance nominative

La deuxime phase de la surveillance, qui porte dsormais sur une personne en parti-

culier, consiste identifier ou ridentifier le collaborateur fautif si la premire phase

de la surveillance a rvl lexistence dun abus ou fait natre un soupon dabus.

En cas de soupon dabus16, lemployeur procde une analyse nominative des fi-

chiers journaux (ou analyses) pseudonymiss, en utilisant la liste de correspondance,

afin de dterminer sil y a abus ou non. Sil savre que le soupon est infond,

lanalyse nominative doit tre immdiatement interrompue. Lemployeur reste tou-

tefois tenu dadapter rgulirement les mesures de protection techniques et/ou le

rglement dutilisation en fonction des volutions de la technologie par exemple en

mettant jour les logiciels antivirus ou encore la liste des sites interdits du pare-feu.

Si lemployeur constate un abus (cf. chap. 7.2), il commence par adapter les mesures

techniques de protection et, si ncessaire, le rglement dutilisation. Les employs

sont informs de la modification du rglement dutilisation.

Le collaborateur fautif est identifi ou ridentifi selon la procdure dcrite au chap.

8.3. Lemployeur peut alors prendre des sanctions disciplinaires (cf. chap. 10).

Comme le traitement des fichiers journaux peut mettre en vidence des donnes

personnelles nayant aucun rapport avec labus prsum, la personne charge de

lanalyse est lie par le secret de fonction. Elle na pas le droit dutiliser de telles don-

nes des fins abusives. Lorsque lemployeur confie des tiers le traitement de don-

nes personnelles, il doit attirer leur attention sur ce fait (art. 14 LPD).


28/51

28

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

8.5 Surveillance du courrier lectronique

8.5.1 Surveillance du courrier lectronique de nature prive

La surveillance du courrier lectronique est soumise pratiquement aux mmes rgles

que la surveillance du courrier postal, raison pour laquelle nous examinerons en pre-

mier lieu les rgles applicables la surveillance du courrier postal au lieu de travail17.

Le courrier priv au lieu de travail jouit dune protection illimite. Par consquent, il

doit tre remis la personne laquelle il est adress sans tre ouvert. Louverture

de courrier priv par un tiers constitue une violation de la personnalit qui peut tre

poursuivie par le biais dune procdure civile (art. 15 LPD) ou administrative (art. 25

LPD). Dans les deux cas, les consquences pnales sont rserves (art. 179 CP). Est

considr comme courrier priv tout envoi dont on voit clairement quil a t adress lemploy non pas titre professionnel mais titre priv. Certains lments ne trom-

pent pas sur la nature prive dun envoi, notamment la mention Priv ou En main

propre, le genre denvoi (avis mortuaire, journal adress au collaborateur, magazine),

ou encore dautres caractristiques (format, papier couleur, cartes postales, courrier

militaire adress un employ).

Ladressage de type Monsieur X, Service Y ne suffit pas pour considrer quil sagit

dun pli de nature prive, encore faut-il que le pli comporte une mention telle quePriv. Le fait que le nom dun employ figure avant le nom de lentreprise ne suffit

pas pour affirmer que lenvoi lui a t adress titre priv (ATF 114 IV 16).

De mme que pour le courrier postal et les conversations tlphoniques, lemployeur

na, pour des motifs de protection de la personnalit, pas le droit de consulter les

messages lectroniques privs de ses collaborateurs. Il nest gure possible de spa-

rer automatiquement les messages privs des messages professionnels sur la base

des seuls lments dadressage. Il faut donc que lexpditeur dun message dordre

priv prcise sa nature, en activant loption de confidentialit correspondante. Si cette

option nest pas active et quil ne ressort pas des lments dadressage quil sagit

ou pourrait sagir dun message de nature prive, lemployeur peut partir de lide

comme pour le courrier postal quil sagit dun message dordre professionnel. En

cas de doute, lemploy est consult.

Lemployeur na donc le droit ni douvrir ni de traiter (cest--dire sauvegarder, trans-

mettre, scanner, etc.) un message lectronique priv lorsque celui-ci est signal ou

reconnaissable comme tel. Partie constitutive de la personnalit, la sphre prive estaussi protge par lart. 13, al. 1, de la Constitution, qui garantit le respect des relations


29/51

29

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

quune personne tablit par les tlcommunications et qui sapplique galement au

courrier lectronique (cf. galement ATF 126 I 50, consid. 6a en particulier). La consul-

tation des messages privs auprs du fournisseur de service de courrier lectronique

de lemployeur ne peut avoir lieu que par un juge dans le cadre dune poursuite pour

certains crimes ou dlits (art. 3 de la loi fdrale sur la surveillance de la correspon-

dance par poste et tlcommunication, LSCPT, RS 780.1). Lemployeur mme na pasle droit dobtenir du fournisseur du service de courrier lectronique des informations

relatives au contenu des courriels de ses employs (art. 43 de la loi sur les tlcommu-

nications, LTC, RS 784.10). Pour protger les messages privs, on pourra par exemple

utiliser un service Web de courrier lectronique, si possible chiffr, qui soit indpen-

dant du service professionnel mis disposition18.

Lutilisation dun service Web de courrier lectronique chiffr dpend ce que prvoit le

rglement dutilisation. Si le rglement interdit lutilisation dInternet au lieu de travail,

lemploy prend le risque dtre sanctionn sil surfe quand mme des fins prives.

La rgle applicable lusage priv du courrier lectronique au lieu de travail est donc

la suivante: si le rglement dutilisation autorise lusage priv du courrier lectronique,

lemploy a tout intrt utiliser un service Web de courrier lectronique si possible

chiffr pour se protger; si lusage priv du courrier lectronique est interdit, il est

conseill dy renoncer compltement. Il nest toutefois pas possible dviter comp-

ltement de recevoir des messages privs. Lemployeur doit tre conscient du fait

quil ne peut rendre entirement responsable lemploy pour la rception de tous lescourriers privs quil reoit.

A lheure actuelle, les messages sont en gnral archivs sur le serveur de courrier

lectronique. Lemployeur a le droit dutiliser les copies de sauvegarde pour rcuprer

des donnes perdues, mais aussi pour identifier un collaborateur fautif ou dterminer

si un soupon est fond, condition toutefois quil ait prvu une telle possibilit dans

le rglement de surveillance et que les fichiers journaux naient pas permis didentifier

le fautif.

Afin doprer une sparation claire entre les messages dordre priv et les messages

dordre professionnel, mais aussi dans le but de faciliter la gestion du courrier profes-

sionnel, il est dconseill dutiliser la bote lettres comme moyen darchivage. On

aura plutt avantage archiver le courrier priv sur un support priv et transfrer

les messages de nature professionnelle sur un support idoine de gestion des docu-

ments. Cette manire de procder permet de renforcer sensiblement la protection

de la sphre prive, car les messages privs ne figurent plus dans les sauvegardes

effectues par lentreprise.


30/51

30

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

8.5.1.1 Procdure suivre

La surveillance exerce pour vrifier si les rgles applicables au courrier lectronique

sont respectes est soumise aux mmes principes que la surveillance du surf (cf.

chap. 8.1 ss).

8.5.2 Surveillance du courrier lectronique de nature

professionnelle

La gestion des documents de lentreprise suppose que tout document de nature

professionnelle (y compris les messages lectroniques entrants et sortants) soit sy-

stmatiquement enregistr et localisable en tout temps. Lentreprise est en droit de

crer des fichiers journaux complets pour les courriers lectroniques de nature pro-

fessionnelle et de sauvegarder ces messages. Il est conseill toutefois de limiter lajournalisation aux lments suivants: le champ Objet, la date et lheure denvoi ou

de rception du message, ladresse de lexpditeur et celle du destinataire. Pour le

courrier lectronique, comme du reste pour le courrier postal, deux types dadressage

sont possibles: ladressage nominatif (par exemple [email protected] ou jean.

[email protected]) et ladressage fonctionnel non nominatif (par exemple

[email protected], [email protected] ou [email protected]).

Ladressage nominatif est la formule la plus rpandue aujourdhui.

Il prsente toutefois de nombreux inconvnients du point de vue de la gestion des do-

cuments, notamment en ce qui concerne la gestion des messages lorsquun collabo-

rateur est absent ou a quitt lentreprise et la difficult distinguer messages profes-

sionnels et messages privs dans ces cas-l. Lorsquil nest pas indiqu explicitement

quun message est dordre priv ou professionnel et que les lments dadressage ne

permettent pas non plus de dterminer quil sagit ou peut sagir dun message priv,

lemployeur peut comme pour le courrier postal partir de lide que le message

est dordre professionnel.

Ladressage fonctionnel non nominatif est particulirement appropri pour le courri-

er lectronique professionnel qui ne concerne pas une personne en particulier, car

elle ne prsente pas les inconvnients prcits. Ladressage nominatif devrait tre

rserv aux cas o lchange dinformations, bien que de nature professionnelle, ne

concerne que la personne en question (par exemple pour les questions de personnel

ou les messages la concernant elle seule).


31/51

31

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

8.5.2.1 Gestion du courrier lectronique dun collaborateur absent

Lors des absences prvisibles (telles que vacances, congs ou service militaire), les

messages entrants peuvent tre grs de trois manires principales:

dfinition dune rponse automatique dabsence du bureau envoye lexpditeur

avec indication des personnes contacter en cas durgence;

dfinition dune rgle qui transfre au supplant tous les messages entrants; cet-

te solution a pour inconvnient toutefois que les messages de nature prive non

marqus comme tels sont eux aussi transmis au supplant;

dsignation dun supplant et dfinition dun droit daccs personnalis (droit de

lire et, si ncessaire, de traiter les messages entrants dordre professionnel); le

supplant na pas daccs aux messages privs signals comme tels; ce type de

mesures permet de protger la sphre prive du collaborateur absent; les exp-diteurs de messages privs doivent tre conscients du fait que leurs messages

sont lus par le supplant si rien ne permet de dterminer quil sagit de messages

privs.

Pour les absences non prvisibles (maladie ou accident), chaque collaborateur devrait

avoir un supplant prdfini ayant entre autres accs son courrier lectronique (cf.

annexe C).

8.5.2.2 Gestion du courrier lectronique dun collaborateur quittant

lentreprise

Un employ qui va quitter lentreprise doit avant son dpart transfrer qui de droit

les dossiers en cours (y compris les messages lectroniques). Il certifie en outre par

une dclaration19 quil a remis lentreprise tous les documents de nature professi-

onnelle. On doit lui offrir la possibilit de copier les messages lectroniques et autresdocuments de nature prive sur un support priv, puis de les effacer des serveurs de

lentreprise.

A la fin du dernier jour de travail au plus tard, son compte de courrier lectronique

(comme dailleurs ses autres comptes informatiques) doit tre bloqu et sa bote

lettres (comme du reste ses autres supports de donnes personnels) efface; cette

rgle sapplique galement en cas de dcs. Il serait bon que lemployeur sengage

par crit le faire. Les personnes qui enverront un message ladresse bloque se-

ront automatiquement informes du fait que cette adresse nexiste plus. La rponse

automatique pourra en outre indiquer une adresse alternative.


32/51

32

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

8.5.3 Surveillance du courrier lectronique: cas particuliers

Lemployeur a-t-il le droit de chercher identifier lauteur de messages lectroniques

anonymes qui constituent des atteintes la personnalit ou une forme de harcle-

ment psychologique?

Lventuelle atteinte la personnalit dun employ par un autre employ est laffairede la personne vise et de la justice civile. Lemployeur a toutefois le droit de recher-

cher lui-mme lidentit de la personne fautive lorsque le devoir de loyaut nest pas

respect ou que les intrts de lemployeur peuvent tre touchs (par exemple baisse

de rendement de la part de lemploy victime). Il peut aussi le faire lorsque le rgle-

ment dutilisation interdit lusage du courrier lectronique des fins prives. Dans un

tel cas, lidentification du fautif se justifie du fait que le rglement dutilisation na pas

t respect ou que le devoir de loyaut na pas t observ, et non du fait quun

collaborateur a t atteint dans sa personnalit.

8.6 Cas du tltravail

Par tltravailleur, on entend tout employ dont le lieu de travail se situe en dehors

de lentreprise (par exemple employ travaillant chez lui par Internet). Comme les

tltravailleurs ne peuvent tre directement surveills par leur suprieur, lutilisation

prive des installations mises disposition par lemployeur est en rgle gnrale plustendue. Bien que lon ne puisse parler directement dabus cet gard, le risque dune

atteinte la personnalit lie la consultation des fichiers journaux ou des donnes

prives par lemployeur est plus important pour les tltravailleurs que pour les autres

employs de lentreprise. Il est donc conseill, pour parer ce risque, dutiliser un

support de donnes distinct (tel que disque dur externe, disquette ou CD) pour les

documents et messages privs. Si le tltravailleur procde de la sorte, il lui sera plus

facile de rendre linstrument de travail dans un tat irrprochable lorsquil quittera

lentreprise.


33/51

33

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatif

las

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

9. Surveillance en cas de dlit

Si un employeur, suite un contrle ou sur la base dautres indices, a des soupons

concrets quun acte dlictueux a t commis par surf ou laide du courrier lectro-

nique, il peut sauvegarder les moyens de preuve (fichiers journaux et sauvegardes

ventuelles). Comme la conservation des moyens de preuve est une affaire tech-

niquement complexe, elle devrait tre confie un spcialiste (forensic computing

scientist20).

Les fichiers journaux ou des plaintes manant demploys ou de tiers peuvent faire

natre des soupons ou rvler lexistence dagissements qui non seulement violent

le contrat de travail ou le rglement dutilisation mais constituent un acte dlictueux

tel que:

diffamation (art. 173 ss CP)

harclement sexuel au lieu de travail (art. 198 CP)

diffusion de matriel caractre raciste ou pornographique (art. 261bis et 197

CP)

actes de sabotage par Internet ou espionnage industriel (cf. en particulier art.

143, 143bis, 144bis et 147 CP)

Ce sont les suprieurs hirarchiques et, ventuellement, le service du personnel et

non les services informatiques qui dcident si une plainte est dpose ou non. Bien

quil nexiste aucune obligation en la matire, il est recommand de le faire, du moins

pour les dlits poursuivis doffice, ceci afin dcarter le risque que lentreprise ne soit

dclare complice. Lorsquil y a eu abus, lemployeur a le droit de rechercher lidentit

de la personne souponne et de porter plainte contre cette dernire. La suite de la

procdure relve des autorits pnales. Ainsi, seules les autorits pnales ont le droit,

par exemple, dordonner quune personne dtermine soit nouveau mise sous sur-

veillance quand elle utilise Internet dans le but de dterminer si le soupon est fond,

tant donn quune telle surveillance constitue une atteinte grave la personnalit.

Si lemployeur dcide de son propre chef de surveiller une nouvelle fois certaines

personnes, ces surveillances peuvent ne pas tre retenues comme moyen de preuve

recevable dans le cadre dune procdure pnale. Elles pourront en outre avoir des

consquences juridiques pour lemployeur (cf. chap. 11).


34/51

34

Prpos

fdral

la

protectio

n


(PFP

DT)

Guide

relatiflas

urveillance

de

lutilisation

dinternetetd

u

courrierlectronique

au

lieu

de

travail

Lemployeur est tenu de traiter les rsultats de lenqute de manire confidentielle,

not

securité courrier et internet

Documents