La Commission nationale pour l’informatique et les libertés (CNIL) a annoncé ce matin qu’elle avait adressé une (simple) mise en demeure à une entreprise ayant surveillé ses salariés à l’appui d’un logiciel permettant d’enregistrer les frappes au clavier. L’autorité administrative indépendante en a profité pour indiquer que l'installation et l'utilisation de ce type de dispositif intrusif n’étaient pas justifiées, hormis en présence d’un « fort impératif de sécurité ».

Si l’on évoque régulièrement - y compris dans ces colonnes - des situations dans lesquelles des salariés abusent du matériel informatique mis à leur disposition par leur employeur, il est plus rare d’entendre parler de ces patrons qui surveillent par ce biais leurs employés. Pourtant, il est aujourd’hui possible d’espionner les « faits et gestes informatiques » des utilisateurs d’un ordinateur grâce à un « keylogger », c'est-à-dire un logiciel permettant d’enregistrer toutes les actions effectuées depuis un périphérique tel qu’un clavier.

Une fois ce programme installé sur l’ordinateur d’un salarié (souvent à l’insu de ce dernier), il est possible de sauvegarder tout ce que frappe l’utilisateur, et d’horodater ces données. À la clé : possibilité de repérer certains mots-clés, d’envoyer des rapports à celui qui a installé le logiciel espion... Autrement dit, un véritable mouchard permettant non seulement de scruter les faits et gestes du salariés mais aussi d’alerter votre supérieur dès que vous tapez des mots prédéfinis, comme par exemple « sieste » ou « le chef est vilain et sent mauvais des pieds »...

Mais aujourd’hui, la CNIL a annoncé qu’elle avait mis en demeure une société dans laquelle un dispositif de ce style avait été installé. L’autorité administrative se fait avare de précisions quant à l’entreprise épinglée, puisqu’elle se borne à préciser que suite à un contrôle exercé par ses soins, elle a sommé celle-ci « de cesser le traitement des données avec le logiciel en cause ». Motif de cet avertissement ? « La CNIL a estimé que ce dispositif portait une atteinte excessive à la vie privée des salariés concernés et qu'il était, dès lors, illicite au regard de la loi "informatique et libertés" ». Force est néanmoins de constater que si l’atteinte est bien jugée « excessive », la réponse de la CNIL ne l’est pas puisqu'elle n'a adressé qu'une simple mise en demeurre, en taisant au surplus le nom de l'entreprise.

La surveillance ne doit pas porter une atteinte disproportionnée aux droits des salariés

L’institution rappelle au passage qu’un employeur est libre de fixer des conditions et limites à l'utilisation des outils informatiques qu'il met à disposition de ses salariés. Certaines entreprises font ainsi signer des chartes à leurs employés pour l’utilisation d’Internet et de la messagerie électronique; d’autres mettent en place un filtrage de quelques sites non autorisés, etc. Cependant, « la surveillance exercée sur les salariés ne doit pas porter une atteinte disproportionnée à leurs droits » explique la CNIL.

L’autorité administrative fait valoir que ce type de logiciel « conduit celui qui l'utilise à pouvoir exercer une surveillance constante et permanente sur l'activité professionnelle des salariés concernés mais aussi sur leur activité personnelle résiduelle effectuée à partir du poste informatique ». En clair, le patron peut espionner à la fois ce que font ses salariés dans un cadre professionnel, mais aussi dans un cadre personnel, même s'ils sont toujours sur leur lieu de travail. La CNIL fait plus précisément référence aux « courriels émis ou reçus, les conversations de messageries instantanées ou des informations personnelles sensibles telles qu'un numéro de carte bancaire ou les mots de passe des salariés lorsqu'ils accèdent, pendant leur temps de pause, à leur compte d'adresse électronique personnelle ».

Dès lors, l’institution estime que l’installation et l'utilisation d'un tel logiciel n’est pas justifiée, hormis en présence d’un « fort impératif de sécurité ». Ce peut par exemple être le cas lorsqu’il s’agit de lutter contre la divulgation de secrets industriels. La CNIL précise avoir reçu depuis l’année dernière « plusieurs plaintes de salariés qui dénoncent l'installation, réelle ou supposée, sur leur poste informatique de dispositifs, du type "keylogger" ».