Certaines sociétés sont parfois tentées d'utiliser
des méthodes très intrusives afin de surveiller l'activité de leurs
salariés depuis leur poste informatique. Cette surveillance peut par
exemple s'opérer en utilisant des outils dénommés « keylogger ». Ces
logiciels permettent d'enregistrer notamment toutes les frappes
effectuées par un salarié sur son clavier.
La CNIL rappelle que ce type d'outil ne peut pas être utilisé dans un
contexte professionnel, à l'exception d'impératifs forts de sécurité, et
d'une information spécifique des personnes concernées.
Les " keyloggers " sont des dispositifs de
surveillance, parfois téléchargeables gratuitement depuis le web, qui se
lancent automatiquement à chaque démarrage de la session de
l'utilisateur, à son insu. Une fois lancés, ils permettent, selon les
versions, d'enregistrer toutes les actions effectuées par les salariés
sur leur poste informatique sans que ceux-ci s'en aperçoivent.
Toute frappe saisie sur le clavier ou tout écran consulté est enregistré avec un horodatage.
Des alertes peuvent être automatiquement envoyées à
la personne ayant installé le dispositif lorsque le salarié ainsi
surveillé saisit sur son clavier un mot prédéterminé. Selon son
paramétrage, le dispositif permet également de générer des rapports,
récapitulant l'ensemble des actions faites à partir d'un poste
informatique, qui sont directement envoyés sur le poste informatique de
celui qui aura installé le logiciel espion.
Un employeur peut fixer des conditions et des
limites à l'utilisation des outils informatiques, notamment par un
filtrage des sites non autorisés ou une interdiction de télécharger ou
d'installer des logiciels. Mais la surveillance exercée sur les salariés
ne doit pas porter une atteinte disproportionnée à leurs droits.
Or, ce type de logiciel conduit celui qui l'utilise à
pouvoir exercer une surveillance constante et permanente sur l'activité
professionnelle des salariés concernés mais aussi sur leur activité
personnelle résiduelle effectuée à partir du poste informatique. Ainsi,
les données enregistrées peuvent concerner aussi bien les courriels émis
ou reçus, les conversations de messageries instantanées ou des
informations personnelles sensibles telles qu'un numéro de carte
bancaire ou les mots de passe des salariés lorsqu'ils accèdent, pendant
leur temps de pause, à leur compte d'adresse électronique personnelle.
L'installation et l'utilisation d'un tel logiciel ne
saurait se justifier en l'absence d'un fort impératif de sécurité
(lutte contre la divulgation de secrets industriels, par exemple),
accompagné d'une information spécifique des personnes concernées.
Depuis 2012, la CNIL a reçu plusieurs plaintes de
salariés qui dénoncent l'installation, réelle ou supposée, sur leur
poste informatique de dispositifs, du type " keylogger ".
Ces plaintes ont conduit la CNIL à effectuer des
contrôles auprès des sociétés mises en cause afin de vérifier dans
quelles conditions ces dispositifs très particuliers de
cybersurveillance étaient utilisés.
Le contrôle de l'une de ces sociétés a permis de
constater la mise en place effective d'un dispositif de ce type, à
l'insu des salariés. La CNIL a estimé que ce dispositif portait une
atteinte excessive à la vie privée des salariés concernés et qu'il
était, dès lors, illicite au regard de la loi "informatique et
libertés". Elle a donc mis en demeure la société de cesser le
traitement des données avec le logiciel en cause.
La CNIL précise, en outre, que la loi d'orientation
et de programmation pour la performance de la sécurité intérieure du 14
mars 2011 punit dorénavant de 5 ans d'emprisonnement et de 300 000 €
d'amende l'utilisation, mais aussi la vente, de certains dispositifs de
captation de données informatiques à l'insu des personnes concernées.
