Quelles sont les règles à appliquer ?
Quels sont les risques encourus ?
Quelles formalités faut il faire ?

Tous ces points sont évoqués dans ce guide de la CNIL : télécharger ici

Petit bémol : le relevé des connexions des sites visités par le salarié sera inopposable à ce dernier si l’employeur n’a pas pris la précaution d’en informer préalablement la Cnil (Commission nationale de l’informatique et des libertés), cette obligation ne s’imposant à lui que dans le cas où il n’a pas désigné de correspondant Informatique et libertés. La raison est simple : « Les informations recueillies par l’employeur comprennent des données personnelles, notamment l’adresse IP de l’ordinateur, explique Pierre Fargeaud, avocat au barreau de Limoges. L’employeur doit donc déclarer à la Cnil l’existence du logiciel qui permet d’analyser les données de connexion ou de calculer le temps passé sur Internet par le salarié. » Sans oublier, bien sûr, d’en informer l’intéressé…
Autre preuve susceptible d’appuyer un licenciement : la production des journaux de connexion générés automatiquement par les serveurs. Il ne s’agit pas, dans ce cas, de mettre sous surveillance le poste d’un salarié mais de surveiller les flux, ce qui implique néanmoins la récupération de données telles que la date et l’heure des connexions, les adresses IP nominatives, les pages consultées, les actions réalisées par telle ou telle personne… L’employeur est donc invité à faire une déclaration simplifiée auprès de la Cnil (n°46), outre son obligation d’information des salariés concernés (loi du 6 janvier 1978).

La preuve par les relevés téléphoniques

Les salariés disposent néanmoins d’une arme efficace pour riposter face à une mesure de licenciement fondée sur ce système : ils mettent l’employeur au défi de démontrer que c’était bien eux qui se trouvaient devant tel ordinateur. En effet, le système permet d’identifier un ordinateur et non une personne, au même titre que la plaque d’immatriculation désigne un véhicule. « Les employeurs s’en sortent avec des faisceaux d’indices tels que l’utilisation de mots de passe personnels d’accès au réseau, l’absence d’utilisation partagée de l’ordinateur ou encore les heures d’envoi des e-mails proches des heures de connexion », précise Me Fargeaud.

Autre cas de figure, si l’entreprise met en place un logiciel destiné à réaliser des statistiques sur l’utilisation d’Internet au niveau de l’ensemble des salariés de l’entreprise ou au niveau d’un service déterminé, ce dispositif doit aussi passer par la case d’une déclaration à la Cnil. « Pour limiter les risques et anticiper les difficultés, l’employeur a tout intérêt à informer le CE (comité d’entreprise), le CHSCT (comité d’hygiène, de sécurité et des conditions de travail) et les salariés (par le biais d’une charte) de l’existence de ces procédures de contrôle », conseille Me Fargeaud. A fortiori lorsqu’il souhaite utiliser les données à titre de preuve.
Un fichier téléphonique peut, comme le listing de connexions internet, être utilisé pour démontrer qu’une personne a abusé du téléphone de l’entreprise. Des salariés ont déjà été licenciés sur ce fondement. Comme un journal de log, le standard téléphonique de type PABX enregistre des données personnelles. L’employeur doit donc effectuer la déclaration simplifiée n° 47 et respecter certaines préconisations de la Cnil. « Les quatre derniers chiffres des numéros doivent être occultés, recommande la Commission. L’employeur ne peut accéder aux numéros complets des relevés individuels que de façon exceptionnelle, par exemple en cas d’utilisation manifestement anormale du téléphone par un salarié. Par ailleurs, un salarié doit avoir accès aux numéros de téléphone complets composés depuis son poste téléphonique, notamment lorsqu’il lui est demandé de rembourser le coût des communications téléphoniques présumées personnelles. »

1. Le premier d’entre eux porte sur la compétitivité numérique, où la France ne maximalise pas suffisamment ses atouts. « Le numérique représente 3,2 % du PIB français et 25 % de la croissance de ce PIB. Le numérique est donc un axe de développement essentiel dans une période où l’on va chercher la croissance avec les dents », explique Gilles Babinet, qui par ailleurs, déplore qu’il y ait aujourd’hui « de 30 000 à 70 000 offres d’emploi non pourvues dans les industries du numérique ».
2. Deuxième chantier : l’open data, un domaine où là encore, la France affiche un retard par rapport à des pays comme le Royaume-Uni, la Nouvelle-Zélande ou la Suède. Selon la CNNum, la diffusion des données publiques à tous les échelons administratifs créera de nombreuses opportunités économiques, tout en améliorant la vie démocratique.
3. Enfin, le troisième sujet concerne l’e-education. Le CNNum se dit convaincu que l’usage des nouvelles technologies peut être un remède à l’échec scolaire en France, où 19 % des enfants sortent de l’école primaire sans maîtriser la lecture et l’écriture. « En Inde, par exemple, ils mettent en place des outils performants dans leurs écoles qui mériteraient d’être examinés de près », affirme Gilles Babinet.

Sur ces trois dossiers stratégiques, le CNNum publiera ses conclusions d’ici au début de l’année 2012.

Sources : 01net

Pilotés par les membres du Collège ou de la Commission de protection des droits de l’Hadopi, au nombre de cinq, ils seront conduits en coopération avec les « Labs ». Ces chantiers visent à consolider et élargir les résultats d’ores et déjà obtenus par l’institution dans les domaines de la transparence et de la compréhension des questions liées au téléchargement illégal et les offres légales d’œuvres sur internet.

Les cinq chantiers sont :

1. Etudes relatives aux pratiques de partage et au panier moyen des foyers.
2. Rapport sur l’exercice effectif des exceptions.
3. Agenda « Open Data ».
4. Ingéniérie et coopération institutionnelles.
5. Economie des dispositifs de lutte contre le téléchargement illégal.

La « Licence Ouverte / Open Licence » présente les caractéristiques suivantes :

Une grande liberté de réutilisation des informations :

Une licence ouverte, libre et gratuite, qui apporte la sécurité juridique nécessaire aux producteurs et aux réutilisateurs des données publiques ;
Une licence qui promeut la réutilisation la plus large en autorisant la reproduction, la redistribution, l’adaptation et l’exploitation commerciale des données ;
Une licence qui s’inscrit dans un contexte international en étant compatible avec les standards des licences Open Data développées à l’étranger et notamment celles du gouvernement britannique (Open Government Licence) ainsi que les autres standards internationaux (ODC-BY, CC-BY 2.0).

Une exigence forte de transparence de la donnée et de qualité des sources en rendant obligatoire la mention de la paternité.

Une opportunité de mutualisation pour les autres données publiques en mettant en place un standard réutilisable par les collectivités territoriales qui souhaiteraient se lancer dans l’ouverture des données publiques.

> Retrouvez plus d’informations sur la « Licence Ouverte / Open Licence

Le rapport évoque la campagne d’information de la Hadopi.

Dans ce document de 148 pages, l’organisme chargé de mener la riposte graduée contre le piratage sur Internet fait le bilan de 18 mois de travaux, depuis sa mise en place au début de 2010. « Les conditions dans lesquelles s’est conduit ce travail sont inédites : rarement nouvelle institution s’est trouvée confrontée au refus opposé par certains, qu’ils soient politiques, fonctionnaires, chercheurs ou encore membres de la société civile, de travailler avec elle. Et nombre de commentaires ont révélé une méconnaissance totale de l’institution et de son action », regrette en préambule du rapport Marie-Françoise Marais, la présidente de la Hadopi.

Ce long rapport ne contient pas de surprise. Parmi les nombreux sujets évoqués (voir l’encadré en bas de page), voici quelques éléments saillants.

71 000 saisines par jour

– En moyenne, depuis septembre 2010, 71 613 saisines sont transmises chaque jour par les ayants droit à la commission de protection des droits (CPD) de la Hadopi. D’octobre 2010 à juin 2011, la Hadopi a reçu 18,4 millions de constats. Ils ont donné lieu à 1 million de demandes d’authentification auprès des fournisseurs d’accès à Internet, avec un taux de retours de 89 %.

– Entre octobre 2010 et juin 2011, 491 533 recommandations ont été envoyées aux internautes, dont 470 935 pour la première fois et 20 598 rappels. La Hadopi indique avoir eu 35 000 échanges (par courrier ou par téléphone) avec les internautes, dont 76 % concernant des demandes de détails sur les œuvres en cause.

– En ce qui concerne la transmission de dossiers d’internautes à la justice, la Hadopi indique que, « courant juin 2011, la commission [de protection des droits] a examiné les premiers dossiers pour lesquels elle est saisie de réitérations après l’envoi d’une deuxième recommandation », et précise qu’elle « doit délibérer sur chaque dossier individuellement pour décider ou non de sa transmission au procureur de la République ». Les saisines seront peu nombreuses, selon elle. En juillet dernier, la Hadopi déclarait n’avoir encore transmis aucun dossier d’internaute au procureur.

42 300 visiteurs uniques sur hadopi.fr

– 19 offres légales avaient obtenu le label Hadopi, au 30 juin ; 14 d’entre elles ont subi des objections.

– Les fournisseurs d’accès à Internet et les sociétés de gestion de droits n’ont pas contribué aux deux consultations publiques sur les spécifications des moyens de sécurisation des accès à Internet.
– Le centre d’appel de la Hadopi a reçu depuis septembre 2010 26 400 appels, dont 80 % de la part d’internautes ayant reçu une recommandation (authentique dans 99 % des cas). Hadopi.fr accueille en moyenne 42 300 visiteurs uniques chaque mois. L’autorité rappelle qu’il a subi des attaques par déni de service à trois reprises, mais confirme ne pas souhaiter mettre en place de défense particulière. Pur.fr, le site consacré au label des offres légales, en comptabilise 15 000.
– Pour 2011, la Hadopi s’est vu accorder une subvention de 11 millions d’euros (1). Elle a perçu 10 millions en 2010. Elle a déboursé 1,4 million en charges de personnel et 1,6 million en charges de fonctionnement. Elle occupe 1 000 mètres carrés de locaux dans le 14e arrondissement de Paris, pour un loyer annuel de 463 000 euros.

Des difficultés pour recruter

Le rapport de la Hadopi révèle aussi que le prix de sa campagne d’information a été fortement négocié, et celle-ci a de fait « pu bénéficier d’une exposition nettement supérieure à ce qu’aurait traditionnellement permis le budget qui lui a été dédié ». Mais elle ne donne pas de chiffre sur le coût de l’opération. « Les réactions à la campagne ont montré et confirmé la nature très clivée des publics de la Hadopi. »

L’institution comptait cinq agents en mars 2010 et en emploie désormais 59 (en CDI, en CDD ; des fonctionnaires et des magistrats mis à disposition). Elle prévoit un effectif de 70 personnes fin 2011. Elle confie avoir connu « des difficultés pour recruter ses agents. Depuis sa création, la Haute Autorité ne bénéficie pas d’une image positive, et ses postes ont régulièrement fait l’objet de dénigrements ». Et de donner un exemple : « A l’été 2010, lors du recrutement du community manager des Labs, a été lancé un concours pour le “pire job du Web”. Une vidéo, probablement publiée par plaisanterie, a même circulé menaçant physiquement le futur agent de la Haute Autorité. Des candidats se sont désistés en cours de procédure. »
La Hadopi donne d’ores et déjà rendez-vous en juin 2012 pour un nouveau bilan de son activité.

Source : 01net

Dans un arrêt du 21 septembre 2011, la Cour de cassation a estimé que la consultation par un salarié, depuis son poste de travail, de nombreux sites « d’activité sexuelle et de rencontres » mais aussi d’un site destiné au téléchargement d’un logiciel permettant d’effacer les fichiers temporaires du disque dur constitue un manquement grave à ses obligations découlant de son contrat de travail.

L’employeur de cet agent d’exploitation avait déduit que ce dernier s’était rendu sur ces sites en établissant une correspondance entre le tableau de permanences de cet employé et la liste des sites internet vus depuis l’ordinateur de l’agence. Il était, en effet, seul présent sur le lieu de travail aux heures de consultation.
Si la Cour de cassation a déjà reconnu que le fait de passer trop de temps sur des sites de « charme » pendant les heures de travail pouvait constituer une faute grave, elle ne s’était pas prononcée sur le fait d’installer un logiciel permettant d’effacer les fichiers temporaires du disque dur. Il semble que les magistrats aient voulu condamné la volonté de dissimulation du salarié, qui ne s’est pas contenté de supprimer ses traces de connexion de l’historique de son navigateur.

Sources : Legalis

Des garanties sur la conservation des données

C’est une faille que ne possède pas le second procédé d’identification. Le salarié enregistre une image de son réseau veineux dans le système d’identification, qui créera un gabarit unique attaché à cette personne. Celle-ci n’aura plus qu’à présenter son doigt sur le capteur pour être identifiée. Un élément qu’il est impossible de reproduire pour berner le système de contrôle.

L’entreprise a opté pour le stockage des données dans le lecteur biométrique, et non sur un serveur, ainsi qu’un chiffrement dit « fort » avec une clé spécifique à chaque lecteur. Elle a aussi mis en place un système de protection physique des composants, et toute tentative d’accès au lecteur fait l’objet d’un signalement.
Ces mesures ont donc été jugées suffisantes par la Cnil. Laquelle veille à ce que les conditions de stockage des données des salariés offrent toutes les garanties nécessaires pour en assurer la confidentialité.

Source : 01net

« La CNIL, réunie (jeudi) en Assemblée Plénière, vient de donner son accord à la Société Civile des Producteurs de Phonogrammes (SPPF) pour procéder à des collectes automatisées d’adresses IP d’utilisateurs mettant à disposition illicitement sur les réseaux P2P des phonogrammes et/ou des vidéomusiques déclarés à son répertoire social », a expliqué la société dans un communiqué.

« La SPPF va être en mesure, dans les semaines à venir, de saisir la Hadopi, via ses agents assermentés, afin que cette autorité indépendante adresse, par l’intermédiaire des FAI concernés, des recommandations aux abonnés à Internet, dont l’accès a été utilisé pour mettre à disposition, sans autorisation des titulaires de droits, des fichiers musicaux protégés », poursuit-elle.

Contactée par ZDNet.fr, la CNIL confirme : elle a bien autorisé aux organisations d’ayants droit de mettre en place un dispositif de « surveillance » du web. La société Trident Media Guard sera chargée de repérer les actes de contrefaçons et de collecter les adresses IP des contrevenants.

Il ne reste plus qu’une étape avant que les premiers internautes « pirates » ne reçoivent un e-mail d’avertissement : le gouvernement doit publier les décrets au Journal Officiel. Pour rappel, le gouvernement se donne pour objectif une mise en application de la loi le 21 juin.

Le texte fait par exemple de l’adresse IP une donnée personnelle, soumise donc aux contraintes de la loi sur l’informatique et les libertés. Et oblige les organisations où plus de cent personnes accèdent à des fichiers renfermant des données personnelles à désigner un correspondant informatique et libertés. Qu’il s’agisse d’entreprises ou d’administrations. Une précédente version du texte avait même fixé ce seuil à 50 personnes.

Le texte stipule aussi que « en cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant informatique et libertés, ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés ». Bref l’obligation pour les entreprises d’avertir la CNIL des failles de sécurité ayant exposé des données personnelles. Aujourd’hui, tant que l’affaire n’est pas révélée au grand jour, les organisations ont plutôt tendance à faire l’autruche.

L’Assemblée nationale devrait toutefois revenir à une version du texte plus conforme aux vœux de gouvernement.

Lien vers la proposition de loi

Source : La Mag IT