UNE REALITE VIRTUELLE
BIEN REELLE : LE DOUBLE NUMERIQUE
(A M HUSSON)
Depuis que je suis partie de chez moi ce matin, tout ce
que j'ai fait est tracé.
J'ai pris le bus et j'ai mis ma carte Navigo : on connaît ainsi
les détails de mon trajet.
Arrivé au travail, la badgeuse enregistre mon heure d'arrivée.
Au bureau, j'ai écouté mon répondeur et j'ai téléphoné.
J'ai fait un appel personnel, et cela peut être suivi.
J'ai regardé mes mails, que j'ai triés, j'en ai mis à
la poubelle, et j'ai fait des réponses.
Tout cela est traçable.
Je suis partie du bureau à 11h25 et badgé à la
sortie.
Imaginons qu'entre temps j'ai fait un achat avec ma carte VISA, etc
Tout ce que je peux faire aujourd'hui est traçable.
On se trouve dans une situation qui au niveau politique tant que civique
est quelque peu inquiétante.
C'est l'objet de notre débat de ce jour.
La
CNIL
Elle existe depuis 1978.
Elle a émis un certain nombre de règles concernant l'usage
et la constitution de fichiers dans le but de protéger la liberté
individuelle.
Tout fichier contenant des renseignements sur des personnes doit être
déclaré à la CNIL et dans certains cas requière
son autorisation.
On trouve tous les renseignements à ce sujet sur le site de la
CNIL : http://www.cnil.fr/
Les règles de base concernant
les fichiers :
Premier principe : la finalité
Chaque fois que l'on demande une information sur quelqu'un, il faut
savoir et déclarer à quoi vont servir les données.
On n'a pas le droit de les utiliser pour autre chose. La finalité
doit être respectée.
Second principe : la proportionnalité.
On l'adapte au risque et au besoin perçu.
Troisième principe : la pertinence
des données
On ne doit relever que des données pertinentes (si l'on a besoin
de l'adresse mail, il est inutile de demander la date de naissance
)
Quatrième principe : la durée
de vie de l'information.
Ce point doit être annoncé lors de sa collecte.
Cinquième principe : sécurité
et confidentialité
C'est dans l'entreprise de la responsabilité de l'employeur.
Sixième principe : la transparence.
Toute donnée doit être annoncée clairement à
l'intéressé, qui doit savoir avant, à quoi elle
sert, comment elle va être traitée, et si elle a fait l'objet
d'une déclaration à la CNIL
Septième principe : le droit
de la personne fichée, et en l'occurence l'employé
- Il doit être informé de toutes les démarches le
concernant.
- De tous les traitements faits sur les éléments qui le
concernent
- Il doit avoir accès aux données qui le concernent
- Il doit avoir le droit de rectification
- De supprimer les erreurs constatées
- En cas d'erreur, la preuve incombe à l'employeur.
- Il doit avoir le droit de s'opposer à la diffusion de données
personnelles.
Mais l'intérêt de l'employé peut aussi être
que ses données circulent. On
est en position de négociation.
______________________________
Le recrutement :
On peut récupérer beaucoup de choses vous concernant sur
internet.
Ce qui est interdit :
- les fausses annonces pour se constituer un fichier
- Les collectes d'informations à l'insu du candidat, sauf nécessité
pour le poste.
- Le recrutement automatisé (il existe des logiciels qui sont
susceptible d'être utilisés de cette manière)
Les obligations du recruteur et de l'employeur :
- informer le candidat sur tout ce qu'il recueille sur le candidat et
du traitement qu'il fait des données.
- Le candidat a le droit de recevoir l'intégrité de son
dossier à l'issue du recrutement.
L'usage d'Internet en entreprise
C'est du ressort de l'entreprise d'autoriser le salarier à aller
sur internet pour ses besoins personnels.
Le contrôle de la navigation sur internet est interdit au niveau
d'une personne, mais ne peut se faire qu'au niveau d'un service, et
il faut que ce soit connu des utilisateurs. En cas d'absolue nécessité,
le traçage d'une personne peut se faire à condition d'en
faire la déclaration à la CNIL, et ce pendant au plus
6 mois.
L'usage de la messagerie d'entreprise :
Le poste de travail est par essence professionnel.
Mais l'entreprise n'a pas le droit d'aller regarder les messages personnels
si ceux-ci ont un titre affichant clairement qu'il s'agit d'un message
personnel, ou s'il est classé dans un répertoire qui est
manifestement personnel.
L'employeur est par définition responsable de la protection de
la vie privée. Et les règles de contrôle individuel
sont identiques pour internet, avec obligation d'en informer les représentants
du personnel.
Les nouveaux moyens de surveillance :
Vidéosurveillance :
Un lieu de travail est par définition un lieu privé. L'entreprise
zest responsable de respecter votre vie privée, er la loi la
rend passible d'une amende de 45000 € en cas d'infraction. Les
7 principes précédents sont applicables. Les informations
recueillies doivent avoir une durée de conservation limitée
et n'être accessibles qu'au personnel habilitées au traitement
des informations.
Téléphone :
Interdiction de surveillance des appels syndicaux (L'entreprise doit
mettre à la disposition des sections syndicales des téléphones
non connectés à l'autocommutateur de l'entreprise).
L'usage pour des besoins personnels est concevable mais " dans
une limite raisonnable, et non préjudiciable pour l'employeur
".
Il est interdit de mettre sur écoute et d'enregistrer des appels,
sauf cas exceptionnel.
Si votre entreprise vous offre un mobile, il est conseillé d'en
conserver le financement et de se faire rembourser un forfait mensuel
par l'entreprise, pour conserver la maitrise des N° de téléphone
utilisés.
Badges- GPS - vidéosurveillance etc
Ces systèmes permettent de vous tracer de manière identique
à un quelconque produit de consommation.
L'usage de badges et de vidéosurveillance ne nécessite
qu'une déclaration à la CNIL.
Biométrie :
Toutes les données biométriques n'ont pas le même
impact.
Il est important de connaître le type de donnée utilisée,
où sont stockées les données et pour quel usage.
L'usage de données biométriques
nécessite une autorisation de la CNIL.
Autres :
On peut aussi parler des données recueillies au niveau des CE
lorsqu'on vous demande des informations sur la famille, les feuilles
d'impôt etc, divers renseignements qui pourraient être utilisés
à votre insu.
Le danger est la possibilité de croiser
les informations
C I L :
Depuis octobre 2005 sont mis en place des CIL (Correspondants Informatique
et Liberté).
L'objectif pour la CNIL est de leur déléguer les déclarations
et de pouvoir se pencher sur des points d'expertise plus importants.
Le CIL est désigné par l'employeur, qui doit informer
la CNIL du profil de son poste et des compétences qui justifient
son choix. La CNIL a la possibilité de ne pas l'accepter.
Le rôle du CIL est de veiller au respect de la loi Informatique
et Libertés dans toute l'entreprise.
Il doit être consulté sur tous les traitements.
Il est le médiateur entre la direction informatique et les personnes
concernées.
Il doit faire en sorte que l'information arrive jusqu'aux personnes
concernées.
Il a accès a toutes les infos et les fichiers de l'entreprise.
Il doit enfin faire un bilan annuel auprès de la CNIL.
Les déclarations préalables sont dans ce cas remplacées
par la déclaration annuelle du CIL.
Le CIL est le médiateur entre le service informatique qui sait
tout sur tous et les salariés.
Il est tenu à un secret professionnel, (qui
n'est hélas pas encore légiféré),
et à une déontologie qui est de garantir la sécurité
des données et le bon fonctionnement du système.
__________________________________
DANS L'ENTREPRISE
:
(Michel ARNAUD)
La CNIL avait été créé suite
à la réaction citoyenne contre le système "
SAFARI " qui consistait à croiser les données informatiques
des diverses administrations sur les citoyens.
On se retrouve aujourd'hui dans une situation similaire avec le projet
de carte INES qui rassemblerait
en une seule carte les données du passeport, de la carte bleue
et de la carte vitale. (Voir pour plus de détails : http://www.zdnet.fr/actualites/telecoms/0,39040748,39168171,00.htm
)
C'est l'apparition officielle du " double numérique ".
Dans l'entreprise, l'expansion de l'usage d'internet est désormais
une réalité et en parallèle la multiplication des
problèmes juridiques, avec un droit en pleine évolution
et une jurisprudence qui se met progressivement en place.
Ces problèmes ont été amplifiés récemment
avec les mesures de lutte contre le terrorisme, mais aussi avec le développement
du télétravail (Accord professionnel de Juillet 2005).
Par exemple, l'employeur est désormais considéré
comme " fournisseur d'accès " et de ce fait a les mêmes
obligations et responsabilités
On peut retrouver un tableau très complet des problèmes
juridiques liés à l'utilisation d'internet, des contentieux
et jurisprudences sur le site du forum du droit : http://www.foruminternet.org/
qui est régulièrement mis à jour.
Si par exemple l'utilisation de la messagerie de l'entreprise est devenue
d'un usage commun, il est recommandé que le règlement
intérieur l'encadre.
De même, la saisie d'un matériel par un huissier ou par
la police ne peut se faire sans un minimum de règles.
On peut noter cependant que le problème le plus souvent rencontré
dans les contentieux est l'identification de l'auteur du délit.
En ce qui concerne les sections syndicales, la loi leur permet d'exiger
une ligne téléphonique ne passant pas par l'autocommutateur
de l'entreprise.