Loi et Proxy

[Oizo]

Bonjour, J'ai mis en place un IPCOP au sein ma société.

Je suis en train de préparer une "charte informatique" mais je me demande si je ne suis pas obligé légalement d'avertir dès aujourd'hui mes utilisateur qu'un proxy log leurs activitées internet...

Quelqu'un en sait il plus que moi?

[Bilbo]

http://www.sg.cnrs.fr/fsd/securite-syst ... /num51.pdf

Page 5.

À+

[Oizo]

Si j'ai bien tout comris il faut rédiger un texte, le déclarer à la CNIL et diffuser l'information via par exemple un intranet...?
Faut il que je me raproche de la CNIL...?

[calamarz]

Alors je suis pas un expert mais non et oui legalement il n'y a pas de durée pour le stockage - 6 mois pas serieux + 1 an = abusif un juriste m'a dit qu'il faut conserver 1 an, Apres le probleme avec la CNIL on doit normalement declarer tous documents, logs qui contiennent des infos privées (login, password, journaux, base de données et log avec IP etc...) donc legalement tu dois meme declarer un document excel par exemple dans lequel il y aurait les users et leurs passwords !!! La déclaration à la cnil va surtout te permettre en cas de litige avec un utilisateur de pouvoir utiliser le fichier/log comme preuve mais dans le cas contraire et bien rien ton log n'est plus une preuve. Tu parles aussi de la charte il faut normalement faire une charte de "bonne conduite" d'utilisation du materiel/outil informatique (messagerie, internet....) et la faire signée par chaque utilisateur.

Voila j'espere ne pas avoir dit trop de betises, un conseil va sur des sites specialises !!!

POUR LES MODOS:
--------------------------
Il faudrait probablement deplace ce post dans la rubrique legislation non ???

[bruno]

tout à fait

[micjack]

Faut il que je me raproche de la CNIL...?

Je ne vois pas en quoi la raison d'en informer la CNIL (y'a rien de nominatif, que des IP)... Tu informe tes clients comme quoi des log peuvent etres générer par un trafic, c'est tout...

C'est comme certaines hotlines que tu appel "Attention, votre communication peut etre enregitrée pour une amélioration, blabla" Y'a pourtant pas de CNIL, puisque ils ne connaissent pas l'appelant par avance...

Comme pour une caméra de surveillance dans un endroit public ou privé, le client doit en etre infomé par une affiche dans l'endroit ou il se trouve 'Attention!! des caméras sont .... )

Y'a rien de nominatif, donc pas de CNIL, donc le signaler par un message ou de l'indiquer dans une charte à signer semble quand même de rigueur... C'est un minimum sécuritaire, je dirais même suffisant

[tomtom]

Faut il que je me raproche de la CNIL...?

Je ne vois pas en quoi la raison d'en informer la CNIL (y'a rien de nominatif, que des IP)... Tu informe tes clients comme quoi des log peuvent etres générer par un trafic, c'est tout...

Y'a rien de nominatif, donc pas de CNIL, donc le signaler par un message ou de l'indiquer dans une charte à signer semble quand même de rigueur... C'est un minimum sécuritaire, je dirais même suffisant

Attention !!!

Si les ip peuvent permettre d'ide"ntifier une pesonne, ou s'il y a un login, etc. tu dois declarer à la cnil.

Dans le doute, je vous conseille de vous rapprocher de la cnil, ce sont des gens compétents et qui savent vous aider.
Dans la plupart des cas, la déclaration peut se faire en ligne.

Par ailleurs, dans tous les cas si les logs du proxy peuvent un jour etre employés comme preuve, ou autres mesure de ce que font les gens, il faut impérativement :
1- les en avertir
2- que les mesures soient "adaptées" à l'objectif visé (je sais ce n'est pas précis mais c'est la loi). Il peut sembler raisonable de logguer les pages visitées par les utilisateurs sur leur lieu de travail pendant quelques mois, mais faire par exemple un traitement automatique dessus pour identifier un utilisateur qui surferait trop risque d'etre non retenu par un tribunal.


Dans tous les cas, il faut que tu identifies en premier ton objectif :
- S'il s'gait juste de sécurité (vérifier que tout marche bien), alors charte + déclaration + pas garder les logs trop longtemps
- S'il s'agit de virer des gens ou de leur mettre des avertissements parcequ'ils surfent pendant les heures de boulot, vous perdrez aux prud'hommes, charte ou pas.
- s'il s'agit d'un intermediare entre les deux, genre observer les abus, detecter les comportements illicites, les fuites d'information, alors prendre les mesures adaptées, informer le client et bien déclarer.

Si vous en avez les moyens, un avocat spécialisé dans les NTIC est un bon atout.

t.

[micjack]

Si les ip peuvent permettre d'ide"ntifier une pesonne, ou s'il y a un login, etc. tu dois declarer à la cnil.

Une IP n'est pas nominative, mais peut correspondre (aprés enquette) à une personne (avec DHCP, c'est le bronx), contrairement à un login qui fait suite à un enregistrement d'une personne dans la bd

[tomtom]

Je suis tout à fait d'accord, mais la loi t'oblige à déclarer toutes les informations permettant d'identifier des personnes.
Les adresse IP ont déja été incriminées.

Encore une fois, la bonne pocédure est de determiner en premier lieu ce que l'on va faire avec le fichier de logs.
SI l'on veut le correller automatiquement -> declaration.
Si l'on veut s'n servir un jour de pruve en cas de licenciment -> declaration et charte et adéquation etc.
SI l'on ne compte jamais rien en faire contre ses employés, les informaer quffit probablement (et il n'y a dans ce cas aucune raison de garder des moyens de remonter à l'identité de la personne, mais c'est difficile à faire. La CNIL préconise des moyes d'anonymisation des fichiers).

C'est tout, il faut avant tout faire preuve de bon sens.

J'ajoute que la loi fait mention de la "bonne foi" (sic), donc en clair il faut que les logs et le traitement soient tout simplement adaptés.


Clairement, la mauvaise chose à faire est de conserver des données indéfiniment et sur tout en se disant que ça pourra toujours servir.



t.

[tomtom]

Le site de la CNIL (www.cnil.fr) est bien détaillé sur pas mal de points.

t.

[micjack]

Quelques sources, dont évidement la CNIL (que j'ai déja eu au tél il y a un an, ils sont trés sympas)
http://www.cri.u-psud.fr/securite/droit/

Un compte rendu en pdf de la CNIL http://www.cnil.fr/fileadmin/documents/ ... 004-VD.pdf

J'ai lu en diagonale (c'est barbant) j'ai retenu vite fait... La cybersurveillance sur les lieux de travail:

Première idée fausse: l'ordinateur personnel mis à la disposition des utilisateurs sur leur lieu de travail serait, en tant que tel, protégé par la loi "informatique et libertés" et relèverait de la vie privé du salarié.

Il n'en est rien. Un ordinateur mis à la disposition d'un salarié ou d'un agent public dans le cadre de la relation de travail est la propriété de l'entreprise ou de l'administration et ne peut comporter que subsidiairement des informations relevant de l'intimité de la vie privée.

Deuxième idée fausse: une information préalable des personnels suffirait

De nombreuses entreprises imaginent qu'une information préalable des salariés suffirait à se prémunir de tout problème et à autoriser l'emploi de tous les modes de surveillance et de contrôle. Une telle manière de procéder n'est pas suffisante dès lors que les finalités seraient mal définies ou mal comprises.

Il semblerait que le code du travail suffirait.

l’article L 121-8 du code de travail, aucune information concernant personnellement un salarié ne peut être sollicitée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié.

Enfin bref, le mieux encore c'est de les contacter... Pour moi, je reste quand même sur l'idée que d'en informer les salariers suffise (Je vais me pencher aussi sur la question, puisque je pense prochainement metre un proxy dans un hôtel, avec une information aux clients... Des logs, juste au cas qu'ils ferraient l'endouille avec la ligne, mais pas du fliquage, cependant necéssaire au cas ou)

Je viens de trouver cela "CNIL_GuideEmployeurs" .. Allé hop j'imprime (36 pages)
http://www.dsi.cnrs.fr/cnil/D%C3%A9lib% ... oyeurs.pdf

Un extrait,

Les administrateurs qui doivent veiller à assurer le fonctionnement normal et la
sécurité des réseaux et systèmes sont conduits par leurs fonctions mêmes à
avoir accès à l’ensemble des informations relatives aux utilisateurs (messagerie,
connexions à internet, fichiers "logs" ou de journalisation, etc.) y compris
celles qui sont enregistrées sur le disque dur du poste de travail. Un tel accès
n’est contraire à aucune disposition de la loi du 6 janvier 1978.

Puis en page 17 au titre "Les fichiers de journalisation des connexions informatique"

Généralement préconisée par la CNIL ...Ces fichiers de journalisation n'ont pas, en tant que tels, à faire l'objet des formalités préalables auprés de la CNIL.