Plan de deploiement d'une solution de filtrage

Mise en œuvre du filtrage

Connaitre les enjeux juridiques liés au filtrageAujourd'hui, mettre en place un outil de filtrage de contenus et loguer l'utilisation d'Internet des utilisateurs est un devoir pour chaque établissement afin de respecter la loi en vigueur.

La question n'est donc plus "peut-on filtrer et loguer ?" mais bien comment déployer de telles solutions en conformité avec la loi française ?

Depuis 2009, Olfeo travaille en étroite collaboration avec le Cabinet d’avocats Alain Bensoussan afin de proposer une expertise juridique à ses clients et développer une solution offrant une protection juridique optimale.

Fort de ce partenariat, Olfeo co-écrit un livre blanc juridique avec le Cabinet qui aborde notamment le plan de déploiement d'une solution de filtrage.

 
Déclaration CNIL
Code du travail
Paramétrage et administration
Logs
Documentation

Un outil de filtrage permet l'accès à des "données à caractère personnel". Ces données peuvent être collectées, saisies, enregistrées, consultées, éditées. Elles font donc l’objet d’un traitement. De fait, toute entité qui met en œuvre un outil de filtrage permettant un contrôle individuel, doit obligatoirement déclarer cet outil à la CNIL (sauf si l'entreprise dispose d'un CIL). 
 

Déclaration dite "normale" de la CNIL :
 

Déclaration normale de la CNIL

  • La finalité du traitement
  • Les données à caractère personnel traitées
  • Les catégories de personnes concernées
  • La durée de conservation des données établie
  • L’indication de la date à laquelle les instances représentatives du personnel ont été
    consultées
    sur la mise en place des outils de filtrage.

 

L’enregistrement de la déclaration auprès de la CNIL ne sera effectif qu’après réception du récépissé portant le numéro de déclaration. Dès réception de ce récépissé, le traitement peut être mis en œuvre.

 

Principe de discussion collectiveLe principe de discussion collective : l’implémentation collective

 

  • Le comité d'entreprise (ou comité technique) doit être consulté avant l'introduction de nouvelles technologies comme un outil de filtrage

1 mois avant la consultation, les membres du comité doivent avoir reçu les éléments d’information sur le projet et les conséquences sur les conditions de travail.

Il convient de préciser qu’un avis négatif du comité n’empêche pas la mise en place de l'outil de filtrage au sein de son organisme. En revanche, le défaut de consultation du comité d’entreprise constitue un délit d’entrave sanctionné par le Code du travail. Pour les administrations, le défaut de consultation du comité technique entache la charte d’illégalité.


Le principe de transparence : l’information des salariés

 

  • Les salariés doivent être informés de la mise en place d’une nouvelle technologie, de ses objectifs, des règles d’utilisation et de la durée de conservation des données.

En général ce document d'information prend la forme d'une charte informatique, précisant les règles d’usage des moyens informatiques et de communications électroniques au sein de l'organisation.

Pour rendre cette charte juridiquement opposable aux salariés, les démarches suivant doivent être impérativement respectées :

  • Diffuser individuellement la charte à chaque salarié (note de service, courrier accompagnant la fiche de paie, lien intranet, ou outil de diffusion de charte qui permet d’afficher celle-ci à la première connexion Internet du collaborateur…)
  • Afficher la charte à une place accessible sur le lieu de travail
  • La soumettre à l'avis du comité d'entreprise (comité technique et/ou CHSTC)
  • La déposer au greffe du conseil des prud’hommes (sauf administrations)
  • La transmettre à l’inspection du travail en 2 exemplaires (sauf administrations)
 
 

Paramétrage et administration de la solutionL'employeur doit veiller à ce que les modalités d’utilisation de la solution respectent les dispositions réglementaires.


Les catégories de filtrage doivent être non discriminatoires
 

S’il est normal, voire obligatoire d’interdire l’accès à certains contenus (pédopornographie, racisme, téléchargement illégal…) certaines restrictions constituent une discrimination.

Ainsi, créer une politique de filtrage autour de thématiques telles que l’homosexualité peut être considéré comme une atteinte aux libertés fondamentales des individus. De même, l'outil de filtrage ne doit  pas disposer de catégorie de ce type, permettant aux administrateurs d'avoir accès à des informations, telles que l'orientation sexuelle, qui relèvent de la vie privée.
 

Le blocage doit être non discriminatoire


Prenons l'exemple de la politique, les administrateurs de la solution ne peuvent pas autoriser les sites d'un certain bord politique et bloquer les autres en fonction de leurs convictions personnelles (même chose avec les religions).
 

Les politiques de filtrage doivent être les mêmes d’un salarié à un autre occupant le même poste


Il est essentiel d’assurer le même niveau de paramétrage de la solution pour tous les utilisateurs occupant un même poste, afin de ne pas discriminer les utilisateurs.

Cependant, si un utilisateur met en péril la sécurité du système d’information, il peut être justifié de limiter ses accès Internet. Il convient d’avoir préalablement informé l’employé de cette possibilité (par exemple en prévoyant un paragraphe spécifique sur ce type de sanction dans la charte Internet), et de l'informer individuellement par mail ou par courrier que son accès va être limité.
 

En matière de logs, il existe une combinaison de plusieurs dispositions qui stipulent des durées de conservation variables :

  • La directive européenne prévoit une durée minimale de 6 mois et maximal de 2 ans.
  • L’article 6 de la loi pour la confiance dans l’économie numérique prévoit une durée de 1 an.
  • La Loi relative à la lutte contre le terrorisme préconise 1 an.
  • La CNIL recommande 6 mois à des fins de contrôle des utilisateurs.

Dans le respect des lois françaises et au vu du cas de jurisprudence BNP, condamnée pour ne pas avoir pu fournir les logs nominatifs lors d’une réquisition judiciaire, il est recommandé de conserver 365 jours de logs de connexion.

Livre blanc juridique co-écrit avec le cabinet d'avocat Alain Bensoussan

Le livre blanc juridique Olfeo co-écrit avec le cabinet d'avocats Alain Bensoussan


Comment maîtriser légalement les accès Internet de votre entreprise face au nouveau contexte juridique ?

La deuxième édition du livre blanc juridique aborde l’ensemble de ces enjeux, le plan de déploiement légal d’une solution de filtrage ainsi que les étapes de mise en œuvre d’une charte pour que celle-ci soit opposable aux salariés.

Le nouveau livre blanc juridique Olfeo aborde également les aspects légaux des nouveaux usages tels que le web 2.0, les flux sécurisés ou encore les accès publics et comment les encadrer en entreprise.

 

 

Guide de la charte informatique Le guide de la charte informatique co-écrit avec le cabinet d'avocats Alain Bensoussan


Olfeo édite un guide de la Charte Informatique qui apporte des réponses claires et pédagogiques et accompagne les DSI dans leur démarche  : 

Pourquoi et comment mettre en œuvre une charte informatique ?

Comment rédiger le contenu de la charte ?

Quelles sont les démarches de mise en œuvre de la charte informatique pour qu’elle soit juridiquement opposable aux salariés ?
 

 

 
 



Les autres guides et études

Il existe de nombreux guides, rapports, études sur le marché traitant des thèmes juridique et informatique.

Certains de ces guides sont des références sur le marché en matière de bonnes pratiques. Parmi ces guides, on retrouve notamment les guides de la Commission Nationale Informatique et Liberté ou encore le rapport du CIGREF sur la déontologie des usages des Systèmes d’information.

CNIL

  Le guide de la sécurité des données personnelles- 2010

  10 conseils de la CNIL pour la sécurité de votre système d’information  - 2009

  Guide pratique pour les employeurs et salariés - 2008

  Cybersurveillance sur le lieu de Travail - 2002

Quizz de la CNIL sur la sécurité des données


CIGREF

Déontologie des usages des Systèmes d’Information - 2006

Demande de téléchargement du livre blanc juridique Olfeo Vol. 2

Demande de téléchargement du livre blanc juridique Olfeo Vol. 1

Demande de téléchargement du livre blanc juridique Olfeo Vol. 3

Demande de téléchargement du livre blanc juridique Olfeo Vol. 4