Le « dispositif spécifique » de l'ANSSI pour recueillir et traiter les signalements des lanceurs d’alerte concerne des informations « portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général, une violation ou une tentative de dissimulation d’une violation d’un engagement international ».
L'ANSSI, qui rappelle que « signaler une alerte à l’ANSSI n’est pas un acte anodin » et qu'elle se doit d'alerter le procureur de la République de tout crime ou délit, peut être contactée par mail, téléphone ou voie postale.
La CNIL, de son côté, vient de mettre à jour son référentiel « alertes professionnelles » initialement publié en 2019, en tenant compte de la transposition en France de la directive européenne sur la protection des lanceurs d’alerte par la loi dite « Waserman », ainsi que des contributions reçues lors de la consultation publique ouverte du 6 avril au 5 mai 2023.
Une FAQ accompagne la publication de ce référentiel, dont les principales modifications concernent :
- l’ajout de nouvelles finalités de traitement des données collectées dans le cadre du traitement d’une alerte ;
- l’introduction de l’obligation d’informer le lanceur d’alerte non seulement de la réception de celles-ci, mais également des suites réservées à sa démarche ;
- de nouveaux développements sur la possibilité d’externaliser la gestion des alertes internes vers des organismes tiers ;
- de nouvelles précisions relatives aux durées de conservation des données ;
- la mise à jour du tableau des mesures de sécurité à mettre en place suite à la publication d’une nouvelle version du guide de sécurité de la CNIL en avril de cette année.
Commentaires (6)
#1
Je me pose des questions depuis un moment, et, à la lecture de cette brève, je me demande si ça mérite un signalement.
Est-ce autorisé qu’un employeur mette en place les “triches” suivantes :
faux DNS Google : 8.8.8.8 qui pointe sur autre chose que le DNS de Google, en l’occurrence, un serveur de SFR/Completel, prestataire de l’employeur en question
falsification de certificats Google : une tentative d’accès à www.google.com déclenche un warning de Firefox “www.google.com is likely a safe site, but a secure connection could not be established. This issue is caused by -CA, which is either software on your computer or your network”. -CA indique clairement le nom du groupe de l’employeur. J’ai été en mesure de détecter ça parce que je bosse sous Linux, et non pas sur un PC standard Windows, contrôlé par les SI. D’autres cibles sont peut-être concernées. Les SI disent “ah, c’est une erreur de configuration d’un serveur”. Une erreur ? La fabrication d’un faux certificat Google serait une erreur ? Moi, j’appelle ça du Man In The Middle, et ça permet à l’employeur d’espionner le https, et, dans le cas Google, le mail, et donc potentiellement des correspondance privées (autorisée tant qu’elle respectent un certain cadre il me semble)
#1.1
C’est de l’interception TLS, très courant en entreprise, rien d’illégal là-dedans.
#2
Je ne serai pas si affirmatif :
https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_TLS_NoteTech.pdf
Page 28 :
Le déchiffrement d’un flux chiffré peut porter atteinte aux libertés individuelles et engager
la responsabilité de l’employeur qui n’aurait pas prévu les mesures destinées à préserver
celles-ci.
#2.1
Le procédé en lui-même n’est pas illégal et à la fois l’ANSSI et la CNIL ont émises des recommandations d’encadrement, la présomption d’innocence continue de s’appliquer.
Pour que l’implémentation soit jugée illégale, il faut une plainte/dénonciation/signalement et un jugement par la juridiction compétente.
#3
À condition que les salariés en aient été avertis.
#3.1
Personne n’a été informé.
Dans une boite qui perd 2 personnes par mois (démission, rupture conventionnelle, dépression/burn out, licenciement), ça ne m’étonnerait qu’à moitié que ce soit pour espionner les communication des personnes sur la liste “à faire partir d’une manière ou d’une autre”.