les nouvelles technologies ravivent les vieilles peurs.....
Tous fliqués ? Détournés de leur usage premier, le GSM, l'étiquette radio
(RFID) ou la biométrie peuvent attenter au respect des droits individuels.
Éclairages juridique et sociologique sur ces nouvelles technologies
potentiellement liberticides.
Où êtes-vous ? Que faites-vous ? Comment travaillez-vous ? Si les
solutions de contrôle de l'activité salariée sévissaient bien avant la bulle
Internet, de nouvelles technologies viennent élargir le champ des possibles
- tant dans le domaine de la géolocalisation que dans celui de
l'identification numérique.
Inutile, néanmoins, de tomber dans la paranoïa stérile du « tous fliqués ».
Comme le rappelle Xavier Barras, responsable d'EPC Global France,
organisme de standardisation, « le caractère liberticide n'est pas
intrinsèque à une technologie.
Seul l'usage que l'on en fait peut être attentatoire aux libertés individuelles
Les géolocalisés baignent dans le flou juridique
A la rentrée, les trois opérateurs de téléphonie mobile ont annoncé, coup
sur coup, des offres de géolocalisation.
Muni d'un simple GSM et d'une carte SIM dédiée, le collaborateur filé
apparaît sur fond de carte.
Un système d'alerte peut aller jusqu'à avertir l'employeur quand le salarié
entre dans une zone prédéterminée.
Si ce service n'a pas la précision du GPS la portée serait au mieux de 50
0 mètres , il suscite de vives inquiétudes.
Quel est le but poursuivi ? Optimiser la tournée d'un VRP, d'un
transporteur ou d'un technicien de maintenance sur site répond au principe
de proportionnalité.
D'ailleurs, ces professionnels de la route, en réduisant le nombre de
kilomètres parcourus, gagneraient en qualité de vie ce qu'ils perdraient en
liberté.
Géolocaliser un comptable - sédentaire par essence - s'avérerait, en
revanche, disproportionné.
Se pose ensuite la question du délai de conservation des données liées
aux déplacements. « Il ne saurait excéder deux mois, estime Mathias
Moulin, juriste à la Cnil.
Au-delà, ces informations ne pourraient servir de preuve pour sanctionner
un salarié.
» Tout en faisant observer que « l'optimisation des tournées n'exige, a
priori, que de l'information en temps réel ».
Enfin, le salarié peut-il, à tout moment, désactiver la fonction localisation ?
La directive européenne du 12 juillet 2002, en cours de transposition,
entretient le flou.
« Il appartiendra au droit local de préciser ce point », estime Hervé
Gabadou, avocat associé, dont le cabinet, Courtois Lebel, a participé à la
rédaction d'un guide pratique localisation pour les clients d'Orange (1) .
« Laisser au salarié la possibilité de couper à tout moment cette fonction
peut s'avérer contre-productif.
La localisation d'une flotte de camions participe, par exemple, à la lutte
contre le vol.
Il me semble légitime que le salarié garde son GSM actif durant les heures
légales de travail.
» Dans le doute, les opérateurs français ont adopté une démarche
prudente.
« Ils se sont substitués au législateur en suggérant à leurs clients cette
possibilité de désactivation. »
Nicolas Sauvage, avocat dans le même cabinet, préconise pour sa part de
contractualiser la localisation en introduisant une nouvelle clause dans le
contrat de travail des recrues et en faisant signer un avenant aux salariés
en poste.
« Le refus d'activer la fonction s'apparenterait alors à une insubordination.
A l'image d'un salarié qui refuserait de badger ou d'allumer son PC.
» Quant au salarié qui ne signerait pas ledit avenant, son refus de se
conformer à l'introduction d'une nouvelle technologie pourrait lui valoir
d'être licencié.
Toutefois, la Cnil rappelle un arrêt du 26 novembre 2002.
La chambre sociale de la Cour de cassation avait estimé que la filature
organisée par l'employeur pour contrôler et surveiller l'activité d'un salarié
constituait un moyen de preuve illicite.
Que le salarié ait ou non été informé de l'existence d'un tel contrôle.
Pourrait-il s'appliquer à la géolocalisation ? Aujourd'hui, manque encore un
cas de jurisprudence spécifique.
L'essentiel des dossiers reçus à la Commission concerne des dispositifs de
couplage GPS/GSM, permettant de communiquer des informations
relatives à la position des véhicules.
Les demandes liées à la géolocalisation des personnes montent toutefois
en puissance.
Biométrie : des supports de données personnels et indépendants
Si la biométrie sur les lieux de travail pour en contrôler les accès s'est
généralisée en même temps que la baisse des coûts, les technologies ont
évolué.
La Cnil distingue les technologies sans traces - iris, rétine, contour de la
main - et avec traces - ADN, empreintes digitales.
Si les premières - neutres - ne soulèvent pas de critiques, il en va
autrement des secondes, qui nécessitent la constitution d'une base de
données, dont l'utilisation peut être détournée de sa finalité première.
« En cas de vol, un fichier privé pourrait servir à des fins policières »,
note Mathias Moulin.
Pour contourner cet obstacle, la Cnil demande que l'empreinte digitale -
l'ADN étant réservée aux fichiers de police - soit stockée sur un support
personnel et indépendant, de type carte à puce.
« En introduisant sa carte, puis en posant son doigt, le salarié reste maître
des données qu'il communique à la badgeuse.
» Sur la base de cette recommandation, la Cnil a émis un avis favorable à
la mise en oeuvre d'un contrôle d'accès aux zones de sûreté des aéroports
d'Orly et de Roissy, et elle s'est opposée à un dispositif de contrôle des
temps de travail dans un centre hospitalier.
Là encore, le principe de proportionnalité doit être respecté.
Si les impératifs de sécurité du Louvre ou de la Cogema ne laissent pas de
place au doute, il en va autrement pour une cantine scolaire.
RFID : un consommateur derrière chaque produit marqué ?
Les puces RFID (Radio Frequency Identification) font couler beaucoup
d'encre.
Ces marques dites « intelligentes » permettent de tracer par ondes radio
les objets étiquetés.
La grande majorité des expériences menées le sont dans la distribution -
Wal-Mart, Tesco, etc.
Donnée comme une possible remplaçante des codes-barres, la RFID
permet d'optimiser la chaîne logistique, de limiter les risques de vol ou de
raccourcir le temps d'attente aux caisses.
« La RFID en tant que telle ne nous pose pas de problèmes, estime
Mathias Moulin.
Mais il faut se pencher sur la finalité poursuivie et sur le dispositif dans
lequel elle s'intègre.
» Passer de l'étiquetage de simples objets au traitement d'informations
nominatives présente un risque réel.
« Le fait de marquer un rasoir est, en soi, insignifiant.
Mais le maillage de centaines d'objets " taggés " crée un maillage très
dense d'informations, potentiellement intrusif.
Le croisement de données relatives aux habitudes de consommation du
client et de son numéro de carte de crédit ou de carte de fidélité relève du
profilage.
» C'est dans le même esprit que la Cnil a posé des garde-fous dans
l'usage du passe sans contact Navigo de la RATP.
Le traitement de l'information a été limité à la lutte contre la fraude pour
un délai de conservation d'un jour + 1.
Autre risque soulevé : avec les tags RFID, les données sont saisies à
distance, sans action particulière du porteur.
Ils peuvent donc tromper la vigilance de l'individu et enregistrer à son insu
des informations le concernant.
La Commission recommande, dès lors, la mise en place de mécanismes de
désactivation des puces, assortis d'une visualisation aisée de leur état -
actif ou non.
Enfin, la Cnil note que c'est aux Etats-Unis - « hors de la tradition
européenne " informatique et libertés " » - que sont définis les standards
avant d'être étendus au monde entier.
Selon elle, les travaux devraient être menés dans un cadre international.
A l'image de la résolution (2) prise à Sydney, en septembre dernier, par
la Conférence internationale des commissaires à la protection des données
et à la vie privée.
Le potentiel liberticide de la RFID, souligne cette résolution, interviendra
véritablement quand la technologie sortira des grandes surfaces.
Pour prévenir les contrefaçons, les billets, les passeports et visas ou les
vêtements pourraient en être munis.
Responsable d'EPC Global France, Xavier Barras tempère ce constat.
« Si, dans les travaux EPC, on retrouve une majorité d'acteurs
anglosaxons, on dénombre aussi - mais pas assez, et je le regrette - des
contributeurs européens, à l'image de l'Allemand Metro. »
Quant à la vision orwellienne d'une technologie omniprésente et
omnisciente, il la ramène à la réalité des premières expérimentations.
« Aujourd'hui, les étiquettes RFID se cantonnent au suivi des palettes.
Le but des distributeurs consiste à fournir aux consommateurs un service
de meilleure qualité - en améliorant, par exemple, le réapprovisionnement
? - et non à le fliquer.
Enfin, la portée opérationnelle des puces passives, actuellement utilisées
en grande distribution, se limite à un mètre. » On est loin des quinze
mètres des puces actives traçant les containers, d'un coût unitaire de 20
ou 30 euros.
Xavier Barras, qui a rencontré la Cnil sur le sujet, rejoint la Commission
sur les précautions à mettre en oeuvre.
« La réponse passe par une solution technique - offrir la possibilité d'une
désactivation permanente -, mais aussi par la sensibilisation du
consommateur.
Celui-ci doit être informé des intérêts de la RFID.
» Enfin, au-delà de la déclaration à la Cnil des bases de données
constituées sur d'éventuelles informations nominatives, il se dit favorable à
la déclaration des lecteurs RFID eux-mêmes.
Contrôle d'activité : vers un usage raisonné des NTIC
Le contrôle de l'activité n'est pas nouveau en soi.
Le PABX, la badgeuse ou la vidéosurveillance sévissent de longue date en
entreprise.
Ces derniers concernaient toutefois, comme le rappelle la Cnil dans un
rapport publié en mars (3) , la présence ou la localisation physique de
l'individu.
Avec les NTIC, nous passons du « contremaître électronique » au «
contremaître virtuel » .
Alors que le badge d'accès présente, à ses yeux, une réalité concrète, le
salarié n'a pas toujours conscience du contrôle exercé via les nouvelles
technologies.
« Un message électronique que le salarié a cru supprimer peut avoir été
sauvegardé sur un serveur de messagerie ou sur un support magnétique
», souligne la commission.
La cybersurveillance répond à plusieurs objectifs.
Les nouvelles technologies étant ludiques et faciles d'emploi, l'entreprise
doit veiller à ce que ses salariés n'en fassent pas un usage abusif, sans
lien avec leur activité, et inutilement consommateur de bande passante .
L'employeur est aussi en droit de se retrancher derrière des impératifs
de sécurité et de confidentialité.
D'un clic, un salarié peut - sciemment ou non - envoyer à un concurrent un
fichier client ou des secrets de fabrication.
Enfin, l'employeur peut voir sa responsabilité civile - voire pénale -
engagée si son employé visite, sur le lieu de travail, un site pédophile ou
révisionniste, par exemple.
« Avant, les entreprises nous consultaient pour le surf non productif ou
illicite.
Aujourd'hui, les problèmes de sécurité et juridiques - peer to peer illégal,
virus, spyware, etc. - sont au centre de leurs préoccupations », observe
Philippe Birot, directeur Europe du Sud de Websense.
Les solutions de contrôle de contenu commercialisées par cet éditeur
entrent dans le cadre juridique des dispositifs de vidéosurveillance
d'entreprise ou d'écoute téléphonique.
« La classification des sites et le profiling - gestion des droits par
utilisateur, par groupe - sont décidés par la DRH ou par la DSI. »
Si l'interdiction absolue de surfer semble irréaliste, la Cnil plaide pour un
« usage raisonnable »,« non susceptible d'amoindrir les conditions d'accès
», et « ne mettant pas en cause la productivité ».
La Commission préconise, pour cela, de mettre en place, en amont, de
dispositifs de filtrage des sites non autorisés, associés au pare-feu.
De même, l'exigence de sécurité peut imposer l'interdiction de télécharger,
de dialoguer sur un forum ou un « chat » , ou d'expédier une pièce jointe
via une messagerie instantanée.
« Mieux vaut bloquer l'installation de messageries instantanées que de
devoir les filtrer par la suite », retient Mathias Moulin.
Faute de mieux, le contrôle a posteriori doit s'exercer de façon globale, et
non individuelle.
Si, malgré tout, l'entreprise conduit des relevés nominatifs des durées de
connexion ou des sites (fichiers de journalisation), elle doit déclarer son
traitement à la Cnil.
Pour une durée de conservation d'environ six mois.
Attention, dès lors, souligne Arnaud Belleil, directeur conseil du prestataire
Cecurity.com et auteur d'e-Privacy (éditions Dunod ; 2001), à ne pas
glisser d'un contrôle de la productivité à la définition de profils par analyse
de contenu.
« Le matin, vous lisez en ligne Le Figaro ou Libération ? »
Pour éviter de telles dérives, la jurisprudence est venue encadrer l'usage
de la messagerie.
Dans le fameux arrêt Nikon, la Cour de cassation a jugé que la lecture
d'un message électronique par l'employeur, bien que ne comportant pas la
mention « personnel » , violait le secret des correspondances privées.
Un arrêt précieux, mais aisément contournable, selon Arnaud Belleil.
« L'employeur licenciera l'auteur de l'e-mail diffamant sous un autre motif,
sans jamais faire référence à ce courrier dans sa procédure. »
De son côté, la cour d'appel de Paris a reconnu un secret professionnel
aux administrateurs de réseaux et systèmes.
Ils ne doivent pas divulguer les informations qu'ils auraient été amenés à
connaître dans le cadre de leurs fonctions.
Inversement, l'utilisation des logiciels de télémaintenance et de prise de
main à distance doit faire, selon la Cnil, l'objet d'un accord préalable de
l'utilisateur qui « donne la main » .
La cybersurveillance est, pour Arnaud Belleil, non seulement discutable sur
le plan éthique, mais aussi contre-productive sur le plan économique
« A moins d'être un dictateur en puissance, quel intérêt, pour un manager,
de lire les milliers d'e-mails de ses collaborateurs ?
» Un équilibre doit être trouvé entre impératifs de sécurité et politique
managériale, dans un climat de confiance mutuelle.
« Impossible de dire à ses cadres ou à ses créatifs : " Soyez autonomes,
travaillez en mode projet où bon vous semble ", tout en exerçant une
surveillance constante. »
Arnaud Belleil note que la cybersurveillance touche avant tout les cadres
dirigeants.
A l'image du scandale récent, intervenu chez Shell, où le PDG et ses
adjoints ont dû démissionner.
Des échanges d'e-mails montraient, en effet, qu'ils savaient depuis des
mois que les réserves en hydrocarbures étaient surévaluées de 20 %.
Autre type de risque, plus pernicieux celui-ci : l'autocontrôle.
« A partir du moment où les employés ont le sentiment - à tort ou à raison
- d'être surveillés, ils perdent de leur originalité et de leur créativité.
Leurs écrits, leurs productions se fondent dans le conformisme.
» Pour sortir de ce climat de suspicion, Arnaud Belleil reprend l'idée
évoquée dès 2000, par l'avocat Alain Bensoussan, du casier numérique du
salarié : un espace d'archivage personnel inviolable, sauf procédure de
justice.
« La tendance se dessine avec l'instauration de l'espace de confiance
sécurisé du citoyen. »
Travailleurs nomades : le droit à la déconnexion
Le contrôle de l'activité se fera d'autant plus pressant que le salarié sera
physiquement éloigné de l'entreprise.
Ce qui est le cas des populations nomades - consultants, commerciaux,
etc. - et des télétravailleurs.
La généralisation des connexions permanentes en déplacement - Wi-Fi,
GPRS, UMTS - ou au domicile - câble, ADSL - introduit une préjudiciable
interférence entre vie privée et vie professionnelle.
Travailler dans un train, à l'hôtel ou la nuit chez soi, qu'importe : les unités
de temps, de lieu et d'action volent en éclats.
Pour éviter les dérives, Yves Lasfargue, consultant et directeur de
l'Obergo, Observatoire des conditions de travail et de l'ergostressie
(d'ergo, travail), milite pour un « droit à la déconnexion », avec
délimitation de plages horaires.
« A quel moment l'employé est-il ou non disponible pour l'entreprise ? »
Ce qui passe, selon lui, par une formalisation des nouveaux modes
d'organisation du travail.
« Trop de salariés sont passés de la sédentarité au nomadisme ou au
télétravail sans que ce changement ne soit contractualisé dans le contrat
de travail.
» Cet absence de cadre peut se retourner contre l'employeur.
Un patron est susceptible d'être attaqué pour travail dissimulé si son
salarié se connecte le week-end depuis son domicile pour terminer un
dossier ou s'il travaille dans les transports en commun.
Cette formalisation donne aussi l'occasion d'évoquer la contrepartie -
financière ou non - qu'est en droit d'attendre le salarié devant ses
nouvelles contraintes.
« Ce type d'outils pousse à raisonner non plus en temps de travail, mais
en charge de travail ou en objectif.
» Les cadres travaillant au forfait, hors du cadre des trente-cinq heures,
sont habitués à ce calcul. «
Leur salaire élevé correspond implicitement à une charge de travail et à
des horaires au diapason.
Pionniers dans l'utilisation du GSM et de l'ordinateur portable, ils ont appris
à vivre avec ce type de contrôle et à le gérer.
Aujourd'hui, ces outils mobiles équipent des réparateurs ou des
transporteurs, qui n'ont ni le même recul ni le même niveau de formation.
Il revient aussi au salarié, selon Yves Lasfargue, de ne pas « vendre son
âme pour quelques sous » .
Le don ou le prêt d'un GSM, d'un ordinateur portable ou d'un PC à usage
privé (amendement Messier) tient parfois du cadeau empoissonné.
« En acceptant un téléphone mobile à usage mixte, pro/perso, le
collaborateur se met à nu.
Il ne doit pas s'étonner ensuite que l'entreprise l'appelle à tout moment et
qu'elle ait un libre accès à la liste des numéros composés.
De même, je milite pour que le télétravailleur se voie interdire l'usage à
titre personnel du matériel mis à sa disposition.
» Sans oublier le droit à l'image.
La webcam que le télétravailleur utilise en visioconférence ou, dans un
avenir proche, les services de visiophonie des UMTS peuvent, si l'employé
n'y prend pas garde, livrer en pâture de vrais moments d'intimité.
Après la téléréalité, l'e-travail réalité ?
d' après Xavier Biseul ( 01 Informatique)
scott
un bon article pour méditer...
SECURITE - CYBERSURVEILLANCE
Modérateurs : Team Admin, Team Info
SECURITE - CYBERSURVEILLANCE
Dernière modification par scott le 27 août 2004 14:02, modifié 1 fois.
bien oui....c'est comme celà...et encore ..peut-être que dans un futur proche
chaque clavier numerique sera équipé d'une reconnaissance
d'empreintes digitales ... qui te permettra ou pas de te connecter ...avec
celà ils sauront encore mieux qui est derrière chaque clavier....
" la vie est belle ....et le futur s'annonce pas triste..."
scott
chaque clavier numerique sera équipé d'une reconnaissance
d'empreintes digitales ... qui te permettra ou pas de te connecter ...avec
celà ils sauront encore mieux qui est derrière chaque clavier....
" la vie est belle ....et le futur s'annonce pas triste..."
scott