Plan de deploiement d'une solution de filtrage
Accueil » Protéger votre entreprise » Maîtriser le cadre juridique » Mise en œuvre du filtrage

Mise en œuvre du filtrage

Aujourd'hui, mettre en place un outil de filtrage de contenus et loguer l'utilisation d'Internet des utilisateurs est un devoir pour chaque établissement afin de respecter la loi en vigueur.

La question n'est donc plus "peut-on filtrer et loguer?" mais bien comment déployer de telles solutions en conformité avec les exigences juridiques ?

Le filtrage de contenus n’est pas une simple solution technologique mais relève également de problématiques RH : droit du travail, discrimination, …

Depuis 2009, Olfeo travaille en étroite collaboration avec le cabinet d’avocats Alain Bensoussan afin de proposer une expertise juridique à ses clients et développer une solution offrant une protection juridique optimale.

Fort de ce partenariat, Olfeo co-écrit un livre blanc juridique avec le cabinet et aborde notamment le plan de déploiement d'une solution de filtrage.

Déclaration CNIL
Code du travail
Paramétrage et administration
Logs
Livre blanc

Un outil de filtrage permet d’identifier les comportements de personnes physiques et par conséquent permet l'accès à des données à caractère personnel au sens de la loi. Ces données peuvent être collectées, saisies, enregistrées, consultées, éditées. Elles font donc l’objet d’un traitement.

De fait, toute entité qui met en œuvre un outil de filtrage permettant un contrôle individuel, doit procéder aux formalités préalables imposées par la Cnil. 


Déclaration dite "normale" de la CNIL :
 

  • La finalité du traitement
  • Les données à caractère personnel traitées
  • La ou les catégories de personnes concernées
  • La durée de conservation des données établie, étant précisée que la Cnil considère qu’une durée de conservation de six mois est suffisante dans la plupart des cas.
  • L’indication de la date à laquelle les instances représentatives du personnel ont été consultées sur la mise en place des outils de filtrage.

La déclaration pourra alors être transmise par internet, par un dépôt direct auprès de la Cnil, ou par un envoi par lettre recommandée avec accusé de réception.

L’enregistrement de la déclaration auprès de la Cnil ne sera effectif qu’après réception du récépissé portant le numéro de déclaration. Dès réception de ce récépissé, le traitement peut être mis en œuvre.

télécharger la déclaration normale de la cnil

 

La mise en place d’une solution de filtrage constitue à la fois :

  • Une nouvelle technologie introduite au sein de l’entreprise, et doit en conséquence faire l’objet d’une consultation des institutions représentatives du personnel selon le principe de discussion collective
  • Un outil de contrôle de l’activité des employés, et doit à ce titre être porté à leur connaissance selon le principe de transparence

Le principe de discussion collective : l’implémentation collective


Préalablement à l’introduction d’une nouvelle technologie que constitue un logiciel de filtrage.

Les membres du comité d’entreprise ou du comité technique et le cas échéant, du comité d’hygiène, de sécurité et des conditions de travail dans les administrations doivent ainsi être informés et recevoir, un mois avant la réunion dudit comité, les éléments d'information sur le projet envisagé et ses conséquences sur les conditions de travail au sein de l’entreprise.

Il convient de préciser qu’un avis négatif du comité d’entreprise ou du comité technique ne lie pas l’employeur, et ne l’empêche pas de mettre en place une nouvelle technologie au sein de son entreprise ou de son administration.

En revanche, le défaut de consultation du comité d’entreprise correspond à un délit d’entrave sanctionné à ce titre par le Code du travail. Le défaut de consultation du comité technique pour les administrations entacherait également la charte d’illégalité.


Le principe de transparence : l’information des salariés


Dès lors que l’outil de filtrage engendre la collecte des données à caractère personnel, un document doit être rédigé pour informer les salariés individuellement et collectivement de la mise en place de cet outil.

Il n’existe pas de présentation obligatoire quant à la forme permettant d’assurer une telle information. Ce document peut être une charte communément appelée « charte d’usage des moyens informatiques et de communications électroniques » ou « charte utilisateur ». Cependant, implémenter au sein de l’entreprise ou de l’établissement une telle charte peut nécessiter plus de temps.

Ainsi, dans le but de simplifier ces démarches d’information, il est possible de rédiger un document présentant à minima la nouvelle technologie, les objectifs recherchés, les règles d’utilisation ainsi que la durée de conservation des données collectées.

L’implémentation de ce document simplifié consiste à respecter les démarches minimum suivantes :

  • Transmettre le document à chaque salarié individuellement à travers par exemple une note de service, un courrier accompagnant la fiche de paie, un lien inséré sur le site intranet de l’entreprise ou de l’établissement, un outil de diffusion de charte qui permet d’afficher celle-ci à la première connexion internet du collaborateur…
  • Afficher le document à une place accessible sur le lieu de travail ;
  • Soumettre la proposition d’installation de la solution à l'avis du comité d'entreprise ou, à défaut, des délégués du personnel et à l'avis du comité d'hygiène, de sécurité et des conditions de travail.

Il convient malgré tout de profiter des statistiques de l’outil de filtrage pour rédiger une « charte d’usage des moyens informatiques et de communications électroniques » correspondant aux usages Internet propre à l’entreprise.

Pour rendre cette charte adaptée aux usages de l’entreprise opposable juridiquement aux salariés, il convient de respecter les démarches minimums énumérées ci-dessus et également :

  • La déposer au greffe du conseil des prud’hommes
  • La transmettre à l’inspection du travail en 2 exemplaires
Télécharger le guide de charte Olfeo

 

Une fois l’implémentation juridique de la mise en œuvre des outils de filtrage traitée, il est nécessaire de veiller à ce que les modalités d’utilisation même de la solution soient respectueuses des dispositions réglementaires.


La solution et les politiques de filtrage doivent être non discriminatoires
 

La constitution de listes d’exclusions n’est pas un acte aussi anodin qu’il y paraît.
S’il est normal, voire obligatoire d’interdire l’accès à un certain nombre de contenus (pédopornographie, racisme, révisionnisme, contrefaçon …) certaines restrictions portent l’essence même d’une discrimination.

Ainsi, créer des listes d’exclusion autour de thématiques telles que l’homosexualité ou que l’outil de filtrage dispose d’une catégorie de ce type pourrait être considéré comme attentatoire aux libertés les plus fondamentales des individus voire discriminatoire ou encore homophobe.
 

Les politiques de filtrage doivent être les mêmes d’un salarié à un autre occupant le même poste


Il est essentiel d’assurer le même niveau de paramétrage de la solution pour tous les utilisateurs occupant un même poste, afin de ne pas discriminer les utilisateurs.

Cependant, si de par l’utilisation qu’il fait d’Internet, un utilisateur mettait en péril la sécurité du système d’information de l’entreprise ou de l’établissement, ce motif pourrait justifier une éventuelle intervention de l’administrateur visant à limiter les accès Internet de cet utilisateur. Sur ce point, il conviendra d’avoir préalablement informé l’employé de cette possibilité, par exemple en prévoyant un paragraphe spécifique dans la charte « utilisateur ».
 

En matière de logs, il existe une combinaison de plusieurs dispositions qui stipulent des durées de conservation variables :

  • La directive européenne prévoit une durée minimale de 6 mois et maximal de 2 ans.
  • L’article 6 de la loi pour la confiance dans l’économie numérique prévoit une durée de 1 an.
  • La Loi relative à la lutte contre le terrorisme préconise 1 an.
  • La CNIL recommande 6 mois à des fins de contrôle des utilisateurs.

Dans le respect des lois françaises et au vu du cas de jurisprudence BNP, condamnée pour ne pas avoir pu fournir les logs nominatifs lors d’une réquisition judiciaire, il est recommandé de conserver 365 jours de logs de connexion.

Comment maîtriser légalement les accès Internet de votre entreprise face au nouveau contexte juridique ?

La deuxième édition du livre blanc juridique aborde l’ensemble de ces enjeux, le plan de déploiement légal d’une solution de filtrage ainsi que les étapes de mise en œuvre d’une charte pour que celle-ci soit opposable aux salariés.

Le nouveau livre blanc juridique Olfeo aborde également les aspects légaux des nouveaux usages tels que le web 2.0, les flux sécurisés ou encore les accès publics et comment les encadrer en entreprise.

télécharger le livre blanc juridique

 

 

 

 

Les autres guides et études

 

Il existe de nombreux guides, rapports, études sur le marché traitant des thèmes juridique et informatique.

Certains de ces guides sont des références sur le marché en matière de bonnes pratiques. Parmi ces guides, on retrouve notamment les guides de la Commission Nationale Informatique et Liberté ou encore le rapport du CIGREF sur la déontologie des usages des Systèmes d’information.

CNIL

  Le guide de la sécurité des données personnelles- 2010

  10 conseils de la CNIL pour la sécurité de votre système d’information  - 2009

  Guide pratique pour les employeurs et salariés - 2008

  Cybersurveillance sur le lieu de Travail - 2002

Quizz de la CNIL sur la sécurité des données

 

 

CIGREF

Déontologie des usages des Systèmes d’Information - 2006