Mots clés : Direction, salarié(e)s, logs

[Undefined]

Tout d'abord bonjour, <BR> <BR>Je me présente : <BR> <BR>Je suis informaticien polyvalent (pas de spécialité) et je travaille dans une association semi public semi privé d'une vingtaine de personnes. <BR> <BR>Je sors du bureau de la direction, qui me demande de fournir les informations suivantes pour 2 salarié(e)s de la structure (elles sont visiblement soupçonnées d'utiliser les ressources informatiques à des fins personnelles) : <BR>- logs Internet : proxy <BR>- logs mails entrants et sortants <BR> <BR>Je sais que ça bouge énormément sur le plan juridique : jurisprudences .... atteinte à la liberté <BR> <BR>Quels sont mes obligations avec réf si possible : <BR>- vis à vis de la direction ? <BR>- vis à vis des salariés ? => je dois les prevenir ? <BR> <BR>Infos complémentaires : <BR>Une charte d'utilisation des ressources informatique a été élaborée. Elle précise que l'utilisation des ressources est limitée à des activités professionnelles. Cette charte n'a pas été : <BR>- annexée à la convention d'entreprise <BR>- soumise et acceptée par la Direction Départementale du Travail <BR> <BR>La mise en place de KeyLogger est elle autorisée ? <BR> <BR>Je vous remercie d'avance et tiens à préciser que je ne suis pas pour la délation. <BR> <BR> <BR>

[arapaho]

Si la charte informatique n'a pas été intégrée à la convention d'entreprise, elle ne vaut pas un clou. Il faut au minimum une petite référence à cette charte dans la convention. <BR> <BR>De plus, la surveillance informatique salariale est tout à fait illégale. Par contre l'exploitation des logs obtenus auparavant est tout fait possible avec l'autorisation et en présence de la direction et des salariés concernés. <BR> <BR>Il me semble également qu'il faut une autorisation de la part du ministère du travail et qu'ils demanderont à etre presents lors de l'exploitation de ces logs.

[kerozene]

Salut stéphane ! <BR> <BR>D'abord tu n'as aucune obligation de prévention des utilisateurs, c'est à voir avec les affinités que tu as avec eux. <BR> <BR>Sinon, 1ère chose : ta charte ne sert à rien pour les raisons même que celles que tu évoques. <BR> <BR> <BR>Pour être légal, un système de surveillance de l'utilisation des outils informatiques doit être signalé dans le réglement intérieur et déclaré auprès du CE. Et ca je vais te dire que beaucoup de gens sont au courant car c'est dernièrement passer dans un spot de "faire simple" sur M6 qui explique des points de droit. <BR> <BR>deuxièmement, tout est question d'abusif ou non, ta direction ne pourras pas sanctionner quelqu'un qui passe 10 min par jour faire des mails perso. Sinon, il faudrait qu'elle sanctionne aussi les pauses cafés, les pauses pipi et les discussions de retour de vacance. <BR> <BR>Troisièmement, même si tu as signalé dans le RI l'existence d'une surveillance, tu n'as pas le droit d'ouvrir tous les mails/fichiers/repertoires marqués,nommés ou flaggés personnel, sous peine de te mettre en tort par rapport au respect de la vie privée. <BR> <BR>Quatrièmement, à partir du moment ou tu loggues, tu ne doit pas stocker des noms ou toutes informations permettant l'identification d'une personne physique ou morale, sinon cela devient un fichier de traitement automatisé nominatif et par conséquent doit être déclaré à la CNIL. Ces informations outres les noms peuvent être les @ mails, les @ IP dans le cas d'adressage statique au sein de ta boite, etc. <BR> <BR>Cinquièmement,la loi à compris que les logs étaient indispensable à la sécurité des systèmes informatiques, par conséquent elle à décidé que tout informaticien ou personne occupant ce poste est tenu par le secret professionnel, au même titre qu'un banquier ou un medecin. Ce secret professionnel est levé dans le cas de la constatation d'un délit (sites web pédophiles, piratage informatique, par ex.). Si ce secret professionnel n'est pas tenu, l'affaire peut se retourner contre toi. <BR> <BR>sixièmement, même si cela n'as pas grand rapport avec ta question, il faut arréter le mythe de l'informaticien qui paye les pots cassés des licences manquantes et des piratages de l'entreprise. Dans l'entreprise y'a toujours une seule et unique personne qui représente l'entreprise devant la loi et c'est le PDG ou son équivalent : donc c'est lui qui prend et qui peut prendre très grave. Par contre ce qui est certain c'est que c'est pas sur que vous puissiez rester dans la boite ou même dans le métier après une affaire comme celle là. <BR> <BR> <BR>Si malgré cela, tu voit que cela ne décourage pas ta boite, dis leur que si cela doit aller très loin ( c'est à dire que le salarié conteste la sanction et attaque au prud'homme) voilà ce à quoi il faut qu'il s'attende : <BR>- devoir prouver que c'est bien le salarié sanctionné qui est le fautif, et non quelqu'un qui aurait squatter son PC alors qu'il avait le dos tourné <BR>- laisser tomber les éventuels idées de mettre sous-scellés son disque dur, en présence d'un huissier de justice et tout le tout'im. Ca sert à rien parce que vous ne pourrez pas prouver que les informations du disque n'ont pas été trafiqué (un historique se brouille en changeant la date système, par ex.) <BR>- prouver que tes loggs ne peuvent pas être trafiquer (ce sont des fichiers textes à la base, donc facilement "nettoyable" et/ou "salissables". <BR> <BR>Pour résumer, même si ils se mettent en accord avec la loi, ils ont plus de chance de perdre de l'énérgie que les deux salariés encombrant.Conseille leurs plutôt le négoce de leur départ ou de tenter de les choper sur leurs retards éventuels <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Tu pourras trouver plein d'informations en farfouillant sur le site de legifrance (www.legifrance.gouv.fr) et en cas de menace directe et/ou voilé envers ta personne et/ou ton poste n'hésite pas à consulter un avocat spécialisé. (Renseigne toi au barreau près de chez toi). <BR> <BR>Salut et @ + <BR> <BR>Kerozene

[remi]

Suite à l'explication claire est exhaustive de mon ami kerozene, je ne peux que conseiller pour approfondir le sujet de lire le document suivant : <BR> <BR> <BR><!-- BBCode auto-link start --><a href="http://forums.ixus.net/viewtopic.php?t=3854" target="_blank">http://forums.ixus.net/viewtopic.php?t=3854</a><!-- BBCode auto-link end -->

[ldidier]

Rajouter le fait qu'une personne qui administre un systéme n'as aucun droit concernant la divulgation d'informations, de quel ordre que ce soit, sous peine de se retrouver au tribunal pour un délit pénal, qui fait plus mal qu'un délit civil, ou prud'hommal.

[Vincent92]

Bonjour, ayant traité pas mal de dossier dans ce domaine, je ne suis malheureusement pas d'accord avec ce qui a été évoqué ci-dessus......et aucun cas des logs internet ou logs mails ne semblent constituer une atteinte à la vie privée, puisque là il n'est pas question du texte du mail......mais simplement des rgts sur l'expéditeur ou sur le destinataire (adresse mail, adresse IP); dans ce cas, on pourrait s'interroger sur les gens qui pointent dans les sociétés, et les informations sont également "loggées" pour comptabiliser ses heures, la société pourrait transmettre un avertissement ou engager une procédure à l'encontre de son salarié s'il ne faisait pas ses heures..... <BR> <BR>beaucoup d'administrateurs réseau signalent à leur direction des faits de ce type, et c'est pas pour ça que c'est contesté......et oui, je ne vois rien d'illégal là dedans...le rôle de l'administrateur est de veiller à l'administration de son système pour éviter que la responsabilité de sa société ou de la sienne soit engagée........du moment qu'il n'enfreigne pas la loi Godfrain, il peut parfaitement communiqué ces rgts à sa direction...si je lis bien, ils ne lui ont pas demandés la copie de ses mails...... <BR> <BR>Je suis d'accord, tout peut être modifiable (date fichier; éléments contenus dans dedans....), mais dans ce cas.......on pourrait tous les jours tout contester, car maintenant, tout ce que l'on fait est stocké qq part : tph portable, carte bancaire, etc....... <BR> <BR>Dommage que vous n'avez pas assisté au 1° salon de l'internet et du juridique certains des éléments de réponses...y étaient...... <BR> <BR>voilà mon point de vue... <BR> <BR>@+ <BR>

[ldidier]

Si vous avez traité des dossiers de ce type pouvez nous dire que dit l'CNIL sur la communication de tous éléments permettant d'identifier l'utilisateur d'une machine dans l'entreprise à un instant T. <BR>De plus je vous rappel que toutes informations qui permet l'indentification d'un utilisateurs dans l'entreprise sans l'avoir préalablement déclaré à la CNIL, et avoir duement informer les salariés, est formellement interdit. <BR> <BR> <BR>LOI N° 78-17 DU 6 JANVIER 1978 <BR>relative à l'informatique, aux fichiers et aux libertés <BR> <BR>CHAPITRE IV <BR>Collecte, enregistrement et conservation des informations nominatives <BR> <BR>Article 31 <BR>Il est interdit de mettre ou conserver en mémoire informatique, sauf accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les moeurs des personnes. <BR> <BR>Toutefois, les Églises ou les groupements à caractère religieux, philosophique, politique ou syndical peuvent tenir registre de leurs membres ou de leurs correspondants sous forme automatisée. Aucun contrôle ne peut être exercé, de ce chef, à leur encontre <BR> <BR>Pour des motifs d'intérêt public, il peut aussi être fait exception à l'interdiction ci-dessus sur proposition ou avis conforme de la commission par décret en Conseil d'État. <BR> <BR>Textes modifiant la loi <BR> <BR>Loi n° 88-227 du 11 mars 1988 (Journal officiel du 12 mars 1988), <BR>Loi n° 92-1336 du 16 décembre 1992 (Journal officiel du 23 décembre 1992), <BR>Loi n° 94-548 du ler juillet 1994 (Journal officiel du 2 juillet 1994), <BR>Loi n° 99-641 du 27 juillet 1999, (Journal officiel du 28 juillet 1999). <BR>Loi n° 2000-321 du 12 avril 2000, (Journal officiel du 13 avril 2000). <BR>Loi n° 2002-303 du 4 mars 2002, ( Journal officiel du 5 Mars 2002). <BR>Loi n° 2003-239 du 18 mars 2003 (Journal officiel du 19 mars 2003) <BR> <BR>source <!-- BBCode auto-link start --><a href="http://www.cnil.fr" target="_blank">http://www.cnil.fr</a><!-- BBCode auto-link end --> <BR>_________________ <BR>Rien de grand ne c'est accompli dans le monde sans passion. <BR>A.ENGEL<BR><BR><font size=-2></font>