Prpos fdral la protection des donnes et la transparence

PFPDT

Guide relatif la surveillance

de lutilisation dinternet
et du courrier lectronique
au lieu de travail
A lintention des administrations publiques
et de lindustrie prive

Dcembre 2007

Feldeggweg 1, 3003 Berne

Tl. 031 323 74 84, Fax 031 325 99 96
www.edoeb.admin.ch

Table des matires

Guide relatif la surveillance de lutilisation dinternet et du courrier lectronique au lieu
de travail ................................................................................................................................................ 1
Table des matires: ............................................................................................................................... 2
Introduction: la surveillance du surf et du courrier lectronique .................................................... 4
1.
Les applications en rseau les plus importantes.............................................................. 5
1.1
Applications sans enregistrement de contenu .................................................................. 5
1.2
Applications avec enregistrement de contenu .................................................................. 5
2.
Intrts concerns de lemployeur...................................................................................... 6
4
3.
Mesures techniques et organisationnelles de protection ............................................... 8
4.
Traces laisses par le surf sur Internet ............................................................................ 11
5.
Le rglement dutilisation dInternet et du courrier lectronique titre priv.............. 14
6.
Bases lgales de la surveillance ....................................................................................... 16
7.
Principales conditions juridiques pour la surveillance du surf et du courrier
lectronique......................................................................................................................... 18
7.1
Linformation pralable ...................................................................................................... 18
7.2
La constatation dun abus.................................................................................................. 18
8.
Surveillance du surf et du courrier lectronique au lieu de travail ............................... 20
8.1
Surveillance exerce pour garantir la scurit et le bon fonctionnement du
systme informatique de lentreprise ............................................................................... 20
8.2
Surveillance exerce pour dautres motifs ...................................................................... 20
8.3
Surveillance base sur lanalyse des fichiers journaux ................................................. 21
8.4
Surveillance base sur lanalyse des fichiers journaux du surf .................................... 21
8.4.1
Premire phase: surveillance non nominative ...................................................................... 22
8.4.2
Deuxime phase: surveillance nominative............................................................................ 22
8.5
Surveillance du courrier lectronique .............................................................................. 23
8.5.1
Surveillance du courrier lectronique de nature prive ........................................................ 23
8.5.1.1 Procdure suivre ................................................................................................................ 24
8.5.2
Surveillance du courrier lectronique de nature professionnelle............................................... 24
8.5.2.1 Gestion du courrier lectronique dun collaborateur absent ................................................. 25
8.5.2.2 Gestion du courrier lectronique dun collaborateur quittant lentreprise ............................. 25
8.5.3
Surveillance du courrier lectronique: cas particuliers ......................................................... 25
8.6
Cas du tltravail ................................................................................................................ 26
9.
Surveillance en cas de dlit ............................................................................................... 27
10.
Sanctions en cas dabus .................................................................................................... 28
11.
Prtentions de lemploy en cas de surveillance illicite................................................. 30
Annexe A:
Diagramme ................................................................................................................. 31
Annexe B:
Surveillance: conditions et droulement................................................................ 32
B.1
Conditions de la surveillance ............................................................................................ 32
B.2
Droulement de la surveillance ......................................................................................... 33
B.3
Droulement de lanalyse................................................................................................... 34
Annexe C:
Rglement type de surveillance du surf et du courrier lectronique au lieu
de travail..................................................................................................................... 35
C.1
But et champ dapplication ................................................................................................ 35
C.1.1
But ......................................................................................................................................... 35
C.1.2
Champ dapplication.............................................................................................................. 35
C.2
Intrts et risques de lemployeur et de lemploy................................................................ 35
2/42

C.2.1
C.2.2
C.3
C.3.1
C.3.2
C.4
C.5
C.5.1
C.5.2
C.5.3
C.5.4
C.5.5
C.5.6
C.5.7
C.5.8
C.5.9
C.5.10
Notes

Intrts et risques de lemployeur ......................................................................................... 35

Intrts et risques de lemploy ............................................................................................ 35
Mesures de protection techniques et journalisations..................................................... 36
Mesures de protection techniques ........................................................................................ 36
Journalisations ...................................................................................................................... 36
Rglement dutilisation....................................................................................................... 36
Rglement de surveillance................................................................................................. 37
Priorit aux mesures de protection techniques..................................................................... 37
Analyse des fichiers journaux ............................................................................................... 37
Surveillance exerce pour garantir la scurit et le bon fonctionnement du systme
informatique ou sur la base dautres indices......................................................................... 38
Distinction entre messages privs et messages professionnels .......................................... 38
Surveillance du courrier lectronique de nature professionnelle .......................................... 38
Gestion du courrier lectronique dun collaborateur absent ................................................. 39
Gestion du courrier lectronique dun collaborateur ayant quitt lentreprise....................... 39
Sanctions en cas dabus ....................................................................................................... 39
Prtentions de lemploy en cas de surveillance illicite ........................................................ 40
Autres dispositions ................................................................................................................ 40
.............................................................................................................................................. 41

3/42

Introduction: la surveillance du surf et du courrier

lectronique
Lapparition des nouvelles technologies dans le monde du travail a permis aux entreprises daugmenter
leur productivit et la qualit, mais elle saccompagne pour elles deffets moins rjouissants: une utilisation indue ou excessive dInternet et du courrier lectronique pendant les heures de travail peut non seulement coter cher; mais aussi paralyser les transmissions de donnes, surcharger la capacit de
stockage, voire mme conduire un blocage de stations de travail. De plus, la visite de sites Web illgaux peut entacher la rputation de lentreprise et entraner des consquences juridiques. Les mesures
prises par lemployeur pour prvenir ce genre dabus ne sont souvent pas moins contestables. Le recours aux programmes espions (espiogiciels) et lanalyse nominative permanente des fichiers journaux
sont des intrusions interdites dans la personnalit de lemploy.
Le moment est venu pour lemployeur de changer dattitude: il lui faut dsormais concentrer ses efforts
sur la prvention technique. Plutt que surveiller ses employs, il mettra en uvre les mesures dordre
technique permettant de contenir les abus et de protger lentreprise. Il ne sera autoris analyser nominativement les fichiers journaux que si les mesures prises savrent inefficaces et encore faudra-t-il
quil en ait inform au pralable le personnel dans le cadre du rglement de surveillance. En labsence
dabus et dinformation pralable, il ne pourra analyser les fichiers journaux du surf et du courrier lectronique que sous forme anonyme ou pseudonyme. Il devra encore se poser la question de savoir lesquels de ses employs doivent avoir accs Internet et dans quelles limites. Le cas chant, il ne leur
mettra disposition que le courrier lectronique. Il ne perdra jamais de vue que laccs de lentreprise
Internet et au courrier lectronique la rend vulnrable aux attaques de lextrieur.
Le lgislateur nayant gure lgifr jusquici sur les droits et sur les devoirs des parties en prsence,
nous esprons ly inciter ici, mais aussi sensibiliser toutes les personnes concernes par le problme.
Ce guide traite en premier lieu des principales applications en rseau, des traces quelles laissent, des
intrts qui sont en jeu pour lemployeur et des mesures de protection techniques quil peut prendre. Il
prsente ensuite les bases lgales actuelles et nonce quelles conditions le surf et le courrier lectronique peuvent tre surveills par lemployeur. Il rend encore le lecteur attentif aux consquences de
lusage abusif dInternet et de la surveillance illicite. Divers diagrammes et un rglement type figurant en
annexe rsument lessentiel.

4/42

1.

Les applications en rseau les plus importantes

Internet offre une multitude dapplications que lon appelle communment les services Web, parmi
lesquels on compte galement des services du rseau interne de lentreprise (Intranet). Ces applications en rseau peuvent tre subdivises en deux grandes catgories: celles qui provoquent
lenregistrement dun contenu sur un support de donnes et celles qui ne le provoquent pas.

1.1

Applications sans enregistrement de contenu

Parmi les applications de ce type, on recense en premier lieu lactivit bien connue qui consiste surfer
(naviguer) sur Internet, c.--d. visiter des sites qui sont hbergs sur des serveurs Web et auxquels
1
on accde directement grce leur adresse URL . Le surf permet aussi de relever le courrier lectronique (web-based email) hberg chez des fournisseurs daccs Internet (ISP: Internet Service Providers).
Des moteurs de recherche spcialiss tels quAltavista ou Google permettent de procder une sorte
de recherche en plein texte dans une base de donnes globale, daprs des critres choisis par
lutilisateur. On parle de surf multimdia lorsque les sources audio et vido ainsi que la tlphonie
(VoIP: Voice over IP) passent par le rseau.
Les groupes de discussion (newsgroups) sont des forums de discussion publics. Ils fonctionnent selon
le principe du tableau daffichage; on les dsigne galement par le terme de babillards lectroniques: tous les abonns un groupe de discussion peuvent apporter des contributions (questions ou
rponses) sous la forme de messages pouvant tre lus par les autres participants.
Le cyberbavardage ou la causette (IRC: Internet Relay Chat), de mme que la messagerie instantane
(Instant Messaging), permet plusieurs personnes de dialoguer en direct et en temps rel au moyen du
clavier, pour autant quelles se soient dotes dun pseudonyme qui les identifie.

1.2

Applications avec enregistrement de contenu

Parmi les applications de ce deuxime type, on compte principalement le tlchargement de fichiers

(download) laide de protocoles tels que HTTP ou FTP. Les exemples classiques de tlchargement
concernent des gratuiciels et partagiciels (freewares/sharewares) tels que des jeux ou des objets multimdiaux (image, son ou vido).
La rception et lenvoi de messages lectroniques (courriels) font galement partie de cette catgorie. Le courrier lectronique permet denvoyer des messages rdigs en clair, parfois avec des fichiers
joints, dautres personnes connectes au rseau. Sans chiffrement, la confidentialit des messages
est comparable celle dune carte postale, cest pourquoi les contenus sensibles doivent tre chiffrs
par lutilisateur.
Lemploy qui sinscrira sur une liste de distribution (mailing list) en utilisant son adresse courrielle professionnelle sollicitera la capacit de stockage de lentreprise et la bande passante du rseau (throughput) pendant son temps de travail.

5/42

2.

Intrts concerns de lemployeur

Lutilisation dun ordinateur en rseau peut porter atteinte certains intrts et quipements techniques
de lemployeur. Ceci peut affecter:

la capacit de stockage et la bande passante du rseau, suite une utilisation excessive dInternet
et du courrier lectronique;

la scurit des donnes et des applications (disponibilit, intgrit, confidentialit) en raison de

limportation de virus, de vers, de chevaux de Troie ou de linstallation de logiciels trangers
lentreprise;

le temps de travail et dautres intrts financiers (pertes de productivit, augmentation des cots
pour des moyens et/ou prestations supplmentaires, frais de rseau, etc.);

dautres intrts de lemployeur protgs par la loi tels que sa rputation, ses secrets de fabrication
ou daffaires, ou encore la protection des donnes.

La capacit de stockage est principalement sollicite par les fichiers tlchargs ou par les messages
du courrier lectronique (cf. chapitre 1).
Les messages reus/envoys par courrier lectronique restent en gnral dans la bote lettres du serveur de lentreprise et lemploy est libre de les sauvegarder ou de les supprimer aprs les avoir
lus/envoys. Sont stocks dune part les donnes accessoires telles que le nom de lexpditeur, celui du
destinataire, lobjet du message ou sa date, dautre part son contenu. Les documents joints sollicitent tout
particulirement la capacit de stockage de lentreprise. Leffacement (logique) de messages revient en
fait leur dplacement dans le dossier des lments supprims (deleted items), duquel ils doivent tre
effacs une seconde fois pour disparatre dfinitivement.
Quant la bande passante, elle est sollicite aussi bien par les applications avec que par celles sans
enregistrement de contenu.
Linstallation de logiciels tiers tels que des conomiseurs dcran ou des jeux peuvent entraver laccs
aux applications professionnelles (disponibilit) ou les fausser (intgrit/confidentialit). Les contaminations informatiques peuvent tre classes en trois grandes catgories: les virus, les vers (worm) et les
chevaux de Troie.
Un virus est un logiciel qui se reproduit lui-mme, se recopie dans dautres logiciels et qui est en mme
2
temps en mesure dexcuter des actions malveillantes dans un systme informatique . Un virus est introduit partir dune source extrieure (courrier lectronique, disquette, jeu ou gratuiciel). Certains types
de virus atteignent lintgrit dun fichier en en changeant les caractres, tandis que dautres dtruisent
carrment le fichier complet. Il en rsulte un risque fonctionnel pour lordinateur, qui peut par exemple ne
plus redmarrer.
Un ver est un logiciel autonome qui se propage dun systme un autre en se recopiant lui-mme, en
gnral travers un rseau. Comme un virus, il peut directement dtruire des donnes ou diminuer les
performances dun systme informatique. Un autre aspect nuisible des vers est quils peuvent vhiculer
des chevaux de Troie.

6/42

Un tel cheval de Troie est par exemple en mesure de soutirer des mots de passe qui permettront par la
suite daccder illicitement des donnes, de les transfrer, de les modifier voire de les supprimer. Un
cheval de Troie est un logiciel autonome qui premire vue accomplit une tche prvue, mais qui en
3
plus contient une ou plusieurs fonctions caches . Cela signifie que lorsque lutilisateur lance le programme, le cheval de Troie excute en plus une action non voulue et critique pour la scurit. La plupart
des espiogiciels (cf. chapitre 4) sont des chevaux de Troie.
Lutilisation du rseau informatique entrane des cots plusieurs niveaux, ceux-ci peuvent tre forfaitaires ou calculs en fonction du temps et/ou du volume. Dans le cas du tarif forfaitaire (ligne loue), le
temps pass surfer na pas dincidence sur les cots, mais il en a une sur le temps de travail consacr. Un largissement de la bande passante du rseau peut de surcrot tre ncessaire.
Il en rsultera encore dautres cots pour lemployeur si un employ utilise le nom ou la carte de crdit
de lentreprise lorsquil accde une offre payante sur le Web. Un collaborateur peut galement dlibrment ou inconsciemment conclure un contrat sur le Web au nom de la socit et engager ainsi la
responsabilit de lemployeur.
Il est encore possible que des secrets de fabrication ou daffaires ainsi que la protection des donnes soient compromis, par exemple lorsque des informations confidentielles sont expdies par courrier lectronique des personnes non autorises. Ce risque augmente avec lusage accru dinstruments
de travail tels que les ordinateurs portables, les assistants numriques personnels (PDA) ou les tlphones mobiles. Les mesures techniques de protection prsentes ci-aprs ne peuvent tre mises en uvre que de manire limite sur ce genre dappareils. Le danger de voir des secrets daffaires tomber en
mains non autorises est dautant plus grand que ces appareils peuvent tre facilement perdus ou vols.

7/42

3.

Mesures techniques et organisationnelles de

protection4

Il est bien connu que la scurit technique absolue nexiste pas. Des mesures techniques de protection
(cf. annexe A) peuvent cependant rduire les risques lis au surf sur Internet et au courrier lectronique.
La mise en uvre de telles mesures de protection permet lemployeur dviter temps ce qui menace
la scurit et le bon fonctionnement du systme lectronique. Leffet prventif devrait donc remplacer
dans une large mesure la mise en uvre de moyens de rpression tels que la surveillance des personnes (cf. chapitre 8). Parmi les mesures de protection techniques les plus importantes figurent les mots
de passe et les droits daccs, les logiciels antivirus, les gestionnaires de quotas disque, la sauvegarde
des fichiers (backups) et les systmes pare-feu (firewalls). Dautre part, les logiciels de surf et de cour5
rier lectronique doivent tre installs dans le respect des avances technologiques les plus rcentes ,
6
configurs de manire sre et rgulirement mis jour .
Le mot de passe sert lauthentification de lutilisateur et ne doit donc jamais communiqu des tiers. Il
doit tre suffisamment compliqu et modifi intervalles rguliers. Aprs une courte priode (ex: 5 minutes) dinactivit, la protection par mot de passe doit tre active par lconomiseur dcran, obligeant
ainsi lutilisateur sauthentifier nouveau ds son retour. Chacun dentre nous tant amen retenir
une multitude de mots de passe, il est conseill de les conserver dans une base de donnes chiffres
plutt que sur une liste papier. Des applications idoines sont disponibles sur le march. Le mot de passe
daccs une telle application doit tre soigneusement mmoris par lutilisateur.
La protection contre des accs non autoriss (droits daccs) consiste attribuer des autorisations (lire,
crire/modifier, excuter, effacer) pour laccs aux donnes ou objets dignes de protection. Dans la pratique, on recourt une matrice dfinissant pour chaque utilisateur (ou rle) et pour chaque objet les
droits daccs accords. Ces droits individuels de lemploy sont attribus par le responsable (suprieur
hirarchique ou chef dquipe) et implments par ladministrateur du systme.
Il est en outre recommand de chiffrer les donnes sensibles (cf. lart. 3, let. c, de la loi fdrale sur la
protection des donnes, LPD, RS 235.1). Le chiffrement assure lintgrit et la confidentialit des donnes. La cryptographie symtrique utilise la mme cl pour chiffrer et dchiffrer. Un canal sr doit tre
utilis pour changer cette cl secrte, dont la taille doit tre aujourdhui dau moins 128 bits pour tre
reconnue sre. A loppos, la cryptographie asymtrique utilise une cl publique pour chiffrer les donnes et une cl prive (protge par un mot de passe) pour les dchiffrer. A linverse, la cl prive est
utilise pour la signature numrique et la cl publique pour vrifier lintgrit et la provenance des donnes. La cryptographie asymtrique ncessite une infrastructure cls publiques (PKI) pour certifier
les cls publiques. Elle est rpute sre aujourdhui lorsque la taille de la paire de cls est dau moins
1024 bits.
Le scurit dun procd cryptographique repose entirement sur les cls, qui doivent donc tre protges et conserves de manire approprie.
Le chiffrement des donnes est recommand pour le transfert (SSL, WEP, etc.) des donnes mais aussi
pour leur stockage. Lchange de donnes enregistres sous forme chiffre peut se faire dans un canal
non chiffr, mais on risque alors de ne pas pouvoir les dchiffrer en tout temps (par suite de la perte du
mot de passe ou de la cl ou encore en labsence du dtenteur de cette dernire).

8/42

Voil pourquoi une cl supplmentaire de dchiffrement (additional decryption key [ADK] ou corporate
message recovery key [CMRK]) peut savrer ncessaire. Les intresss doivent alors en tre informs.
Le chiffrement simposant toujours plus comme complment aux habituels droits daccs aux donnes,
les administrateurs systme ne dtiennent plus forcment la totalit des autorisations.
Faute dtre chiffr, un message lectronique aura une confidentialit comparable celle dune carte
postale.
Les logiciels antivirus permettent de dceler les virus et en rgle gnrale aussi de les dtruire. Ils doivent pour ce faire utiliser la dernire version disponible du fichier de signatures et tre activs sur chaque ordinateur. Pour les services Web de courrier lectronique, le logiciel antivirus doit tre install sur
lordinateur de chaque employ, afin de pouvoir effectuer le contrle antiviral du contenu rceptionn. Le
danger dinfection par un virus nest gure plus grand avec un service Web de courrier lectronique
quavec le service interne de courrier lectronique de lemployeur.
Les logiciels antivirus de la dernire gnration qui sont installs de manire licite (existence dune licence) et correcte sur un ordinateur peuvent tre rgulirement et souvent automatiquement mis jour
via Internet. Au cas o il nest techniquement pas possible de supprimer un virus, la sauvegarde rgulire des donnes permettra de rcuprer des fichiers antrieurs non infects. On notera que les logiciels antivirus noffrent pas de protection totale contre les attaques. Do la ncessit de se doter de
programmes de protection supplmentaires (Spyware Blaster, Detector).
Les gestionnaires de quotas disque sont des utilitaires intervenant au niveau du systme
dexploitation et permettant de limiter lespace disque quun utilisateur peut occuper pour ses fichiers ou
messages. Un tel programme force lutilisateur restreindre lui-mme lespace disque quil utilise, tant
donn quil doit dment justifier toute demande dextension. Lutilisation de quotas disque permet donc
dviter des surcharges inutiles de la capacit du disque et rend ainsi superflue toute intervention de
lemployeur dans ce domaine personnel. A linstar des quotas disque, la mesure technique analogue qui
consiste limiter la taille des pices jointes dun courrier lectronique est relativement inefficace, car
elle peut facilement tre contourne par une rpartition de pices jointes sur plusieurs messages. Les
quotas disque individuels sont attribus par un responsable (suprieur hirarchique ou chef dquipe) et
implments par ladministrateur du systme.
La sauvegarde des donnes permet de les rcuprer rapidement et totalement en cas de perte. Les
supports de donnes correspondants doivent tre conservs pendant une certaine dure (fixe
lavance) labri du feu, de leau, des voleurs et des rayonnements. Les sauvegardes successives sont
autant de protocoles exploiter avec prudence.
La sauvegarde des donnes du serveur de courrier lectronique nest pas recommande car elle pourrait concerner le courriel priv des employs. Raison de plus pour sauvegarder ces courriels part et
ainsi permettre la sauvegarde du reste.
7

Un systme pare-feu (firewall) protge les donnes contre les attaques extrieures et vite que la
bande passante et le temps de travail ne soient par trop sollicits. Les pare-feu sont gnralement placs entre Internet, Intranet et ventuellement une zone dmilitarise (DMZ, o se trouvent les serveurs Web de lentreprise). Ils filtrent le trafic de donnes dans les deux sens en fonction de
8
lidentification utilisateur (USERID), de ladresse IP ou des protocoles dapplication . La configuration
dun pare-feu est complexe; elle exige des connaissances prcises et devrait tre opre uniquement
par un spcialiste. La configuration du pare-feu peut tre complte par une liste de sites interdits. Cette
liste dite ngative contient les URL indsirables, dfinies soit par le constructeur, soit par lemployeur.

9/42

Une autre possibilit consiste tablir une liste dite positive qui ne contient que les sites Web ncessaires pour excuter les tches de lentreprise.
De nos jours on complte souvent les pare-feu matriels du rseau par linstallation de pare-feu logiciels
(personal firewalls) sur chaque place de travail. Etant donn que ces mesures techniques de protection
ne peuvent assurer une scurit absolue, on utilise encore des systmes de dtection dintrusion
(IDS), aussi bien sur le rseau, sur les serveurs quau niveau du client. Lutilisation de tels systmes
permet de dceler les attaques ou les abus. Elle confirme en quelque sorte linefficacit des mesures de
scurit prises jusqualors.
Le tlchargement de fichiers par FTP, HTTP ou SMTP peut tre limit aux fichiers dun format particulier (EXE, MP3, BAT, etc.). Un blocage similaire peut tre mis en place pour les fichiers joints aux messages lectroniques. Lefficacit de tels blocages doit nanmoins tre relativise puisque certains formats, tels que les formats darchive (fichiers compresss) comme.ZIP, ne sont en rgle gnrale pas
bloqus, bien quils puissent contenir des fichiers ayant eux un format bloqu.
Un modem install sur un poste de travail local permet de contourner la scurit assure par le pare-feu.
Un utilisateur externe non autoris peut alors sintroduire dans le rseau dune entreprise sans quelle
sen rende compte. Il peut aussi contourner le pare-feu en utilisant des points daccs sans fil (wireless
access points) en labsence de mesure de protection adquates. Aussi est-il recommand de chiffrer le
transfert de donnes au moyen du protocole WEP (wired equivalent privacy) ou du nouveau WPA (Wi-Fi
Protected Access).
La mise en uvre de mesures techniques de protection appropries devrait permettre de minimiser le
nombre des vraies pannes techniques.

10/42

4.

Traces laisses par le surf sur Internet

Presque toutes les machines modernes sur lesquelles tournent des applications communes (serveurs,
banques de donnes, imprimantes) tiennent un journal de leurs activits (cf. annexe A). Les traces laisses par lutilisation dapplications en rseau se limitent en rgle gnrale des donnes accessoires
du genre qui a fait quoi et quand?. Par journalisation, on entend lenregistrement en continu de ces
donnes accessoires. La dcision dautoriser la journalisation et daccorder le droit diverses personnes
daccder aux fichiers journaux (qui et pendant combien de temps?) doit tre dicte par les principes de
la finalit et de la proportionnalit. Le rglement de surveillance devrait, par souci de transparence, rendre les employs attentifs aux journalisations, les informer du but recherch, du contenu des oprations
effectues et de la dure de conservation des fichiers journaux. Une journalisation peut savrer ncessaire lorsque des mesures prventives ne suffisent plus protger des donnes personnelles sensibles
(art. 10 de lordonnance relative la loi fdrale sur la protection des donnes, OLPD, RS 235.11).
Les journalisations peuvent tre configures selon les besoins de lentreprise. Ladministrateur
systme opre en gnral une configuration minimale de manire recueillir un nombre limit
dinformations. Il laugmente pour une certaine dure seulement quand des informations plus dtailles sont ncessaires (en cas de panne du systme par exemple). Les fichiers journaux ayant en gnral une taille considrable, il est quasiment impossible de les exploiter sans procdure automatise (cf.
chapitre 8.1). Cest pour cette raison aussi quil faut prvoir les outils adquats, livrant des rsultats
anonymiss ou pseudonymiss. La journalisation des activits dune personne donne est en outre
considrer comme un fichier et doit partant tre dclare au Prpos fdral la protection des donnes
et la transparence en vertu de lart. 11 LPD. Particuliers et entreprises doivent dclarer leurs fichiers si
le traitement de ces donnes nest soumis aucune obligation lgale et si les personnes concernes
nen ont pas connaissance. La dure de conservation des fichiers journaux est directement fonction du
but recherch, qui doit tre clairement indiqu dans le rglement de surveillance et dutilisation.
Lentreprise na aucune obligation lgale de conserver ces fichiers journaux. Elle peut en revanche les
conserver jusqu la fin dune procdure de sanction ou dune procdure pnale. Dans les autres cas,
elle les dtruira, en gnral aprs un dlai de quatre semaines.
La journalisation des activits de lemploy peut avoir lieu quatre endroits: sur son poste de travail, sur
un serveur Intranet, sur les quipements de connexion interrseaux ou sur les serveurs de la zone dmilitarise (cf. annexe A). En cas dinfraction pnale, les fichiers journaux du fournisseur daccs Internet
peuvent tre examins sur requte du juge, lequel peut encore ordonner un enregistrement des donnes de contenu.
9

Sur lordinateur de lemploy: un espiogiciel (cf. chapitre 6) permet denregistrer toutes les oprations
effectues par lemploy. Ce type de programme, install le plus souvent linsu de lintress, est illicite car il permet de le surveiller en permanence et en dtail son lieu de travail. Il permet notamment
de lire les messages lectroniques envoys ou er4us (il les enregistre et les transmet au tiers espion),
de photographier ou de copier son cran intervalles rguliers (recurrent screenshots) et la totalit
de son contenu (des pages Web consultes par exemple). Il peut encore enregistrer toutes les touches
du clavier qui ont t actives (hardware keylogger), capturer des mots de passe, voir toutes les applications actives, accder au disque dur local, couter les fichiers audio couts par lemploy, etc. Il permet
enfin denregistrer toutes les informations espionnes, mais aussi de les transmettre des tiers qui
pourront les traiter.
Les informations recueillies en surfant ou charges sur lordinateur sont le plus souvent stockes titre
temporaire (cache) sur le disque dur local. Ce nest pas lutilisateur qui veut quil en soit ainsi, mais
lapplication, pour amliorer ses temps de rponse. Lutilisateur peut bloquer ou effacer ces fichiers tem11/42

poraires et les donnes accessoires telles que les cookies, mais aussi lhistorique et la saisie semiautomatique des donnes (autocomplete), dans le but de mnager la capacit de stockage et de protger partiellement sa sphre prive. Lidal est que les fichiers temporaires soient effacs automatiquement ds que le surfeur quitte le navigateur ou ds quil teint son ordinateur.
Sur le serveur Intranet: le journal y enregistre le qui (nom de lutilisateur), le quand (la date) et le
quoi (lobjet de la consultation, la connexion au systme, la dconnexion, les fichiers imprims,
lattribution dynamique dadresses IP et la rsolution des noms de domaine, le lancement dune application). Les adresses IP des ordinateurs des utilisateurs peuvent tre attribues de manire statique et
dfinitive par un administrateur de rseau ou de manire dynamique et provisoire par un serveur de rseau. Dans ce dernier cas, la liste chronologique des correspondances entre les adresses IP attribues
et les noms des utilisateurs entrs dans le systme figure uniquement dans le protocole du serveur
DHCP (Dynamic Host Configuration Protocol). Un collgue mal intentionn peut galement oprer une
activit rprhensible sous couvert du compte dun employ parfaitement innocent. Ce dernier est responsable au premier chef de son compte dans un tel cas (non-transmission du mot de passe, activation
rapide de lconomiseur dcran).
Les pages Web consultes et les fichiers tlchargs peuvent en outre faire lobjet dun enregistrement
intermdiaire sur un serveur proxy de lIntranet de lentreprise, donc livrer une photo instantane des
dernires activits de surf accomplies. Toute utilisation ultrieure dun de ces fichiers par un autre employ se fera directement partir du serveur proxy, ce qui rendra inutile toute nouvelle connexion Internet et dchargera ainsi la bande passante. On pourrait ainsi perdre la trace de certaines activits opres sur le Web mme si le serveur proxy est tout fait capable de journaliser intgralement ses propres
activits (fonction cache et fonction filtre). A noter quune URL est une donne accessoire dont le contenu peut tre gnralement rappel lcran et sy afficher.
Les quipements de connexion interrseaux tels que les pare-feu et les routeurs tiennent en principe
le journal de la date et de lheure, des adresses IP (adresses source et adresses cible), du protocole
dapplication utilis quand ce nest pas celui des pages appeles et du nom de lutilisateur. A propos des
adresses source, il faut savoir quil est possible de recourir une fonction optionnelle de traduction
dadresses de rseau (Network Address Translation). Les adresses IP utilises en interne sont alors
transformes de manire dynamique en adresses externes connues mais inviolables, qui protgent des
attaques externes. De ce fait, lanalyse des fichiers journaux peut tre rendue plus difficile.
A ce niveau, un renifleur (sniffer/scanner) peut tre install par un administrateur en vue doprer une
coute plus dtaille des paquets de donnes qui sont transmis, autant au niveau des donnes accessoires que de leur contenu. Une coute de ce type nest problmatique que si elle est effectue par un
bidouilleur (hacker). Les donnes sensibles du genre des mots de passe devraient toujours tre transmises sous forme chiffre. On peut encore installer un systme de dtection dintrusion (IDS) sur le serveur ou sur le rseau qui rvlera aprs-coup les attaques extrieures que le pare-feu naurait pas dceles.
Une zone dmilitarise (DMZ) situe entre Intranet et Internet est souvent gre par les pare-feu.
Elle hberge les serveurs joignables des deux mondes, notamment les serveurs de courrier lectronique, de fichiers publics et les serveurs Web (protocoles SMTP, FTP et HTTP).
Sont journaliss sur les serveurs de courrier lectronique, lheure denvoi ou de rception du message,
ladresse de lexpditeur, ladresse du destinataire, le champ Objet, le degr de priorit et la confidentialit dudit message. Il nest pas exclu que dautres informations (nombre de documents annexs, taille
du message, signature numrique, mme ladresse IP) soient galement journalises. Le contenu du
message ne lest en principe pas.

12/42

Les enregistrements du journal sont en gnral attribuables directement ou indirectement une personne donne (en utilisant la liste de correspondance). Un journal devant tre rendu public devra vraisemblablement tre pseudonymis voire repseudonymis (si la pseudonymisation originelle nest pas
assez robuste).

13/42

5.

Le rglement dutilisation dInternet et du courrier

lectronique titre priv

Quun employ soit autoris surfer sur Internet et utiliser le courrier lectronique des fins prives dpend en premier lieu de lemployeur. Comme dans dautres domaines des rapports de travail, ce dernier
dispose en effet du droit dtablir des directives (art. 321 du Code des obligations, CO, RS 220). Il est
donc important quil examine de manire diffrencie les exigences professionnelles relles des collaborateurs avant de leur accorder un accs Internet. Les employs doivent tre sensibiliss, par divers
cours, aux risques que lutilisation dapplications en rseau fait courir.
Nous conseillons lemployeur dlaborer des directives par crit sur lutilisation dapplications en rseau, bien que cela ne soit pas obligatoire. Un tel rglement (cf. annexe C) est en effet de nature assurer la transparence et la scurit juridique dans les relations qui lient lemployeur aux employs. Le
mieux serait que ce rglement soit remis tout employ sous la forme crite, car si le rglement oral
possde bel et bien un caractre obligatoire, il peut savrer problmatique en cas de litige. Lemploy
en accusera rception par crit. Lemployeur rexaminera le rglement intervalles rguliers et
ladaptera si ncessaire, par exemple en cas de nouveaut technologique ou sil constate des abus.
Le rglement peut autoriser lusage priv des applications en rseau, le restreindre ou encore linterdire
compltement.
Une restriction peut intervenir de plusieurs manires. Une restriction qui concerne la dure de surf par
exemple 15 minutes par jour nest pas efficace pour deux raisons. Dune part, il est difficile de contrler
quelle est respecte, tant donn que lheure laquelle un utilisateur quitte un site Web nest en rgle
10
gnrale pas enregistre . Dautre part, un enregistrement de la dure dutilisation ne permettrait pas
de tirer des conclusions sur le temps effectivement pass surfer, puisque la fentre du navigateur peut
rester ouverte derrire une autre application (telle quun traitement de texte) sans quelle soit effectivement sollicite. Seul lenregistrement dune srie daccs au Web conscutifs depuis un mme poste de
travail pendant une priode donne permettrait de connatre la dure effective dutilisation, pour autant
que les accs se suivent intervalles rapprochs. Mais, mme dans ce cas, il ne serait pas possible
davoir une indication prcise de la dure dutilisation car certaines pages Web sont rgulirement mises
jour automatiquement (les newstickers de journaux ou dannonces boursires notamment).
Une autre manire de restreindre laccs Internet consiste bloquer des offres indsirables (bourse,
march de lemploi, sites commerciaux, textes et images pornographiques ou caractre raciste, etc.)
en limitant la capacit utilisable du serveur (cf. chapitre 3) ou en dfinissant une plage horaire pendant
laquelle il est permis dutiliser Internet des fins prives (par ex. aprs 18 heures). Il est encore possible
dattribuer une bande passante diffrente en fonction du caractre professionnel ou non des sites
consults.
On peut galement restreindre ou interdire la consultation des fins prives en dfinissant une liste positive qui indique les sites Web que lutilisateur est autoris visiter (par exemple ceux dadministrations
officielles pour la recherche dinformations, cf. chapitre 3). En rgle gnrale, laccs Internet sera autoris dans tous les cas o il a lieu des fins professionnelles.
Dans les cas o lutilisation dInternet est restreinte, il est envisageable que lemployeur mette la disposition des employs (comme pour le tlphone) des bornes Internet en libre accs. Le journal des oprations ne doit pas tre consult par lemployeur, mais il est tabli des fins de conservation de preuves
14/42

(par exemple pour enqute officielle). Il est recommand, pour plus de scurit, de brancher ces bornes
indpendamment du rseau interne dentreprise (cf. chapitre 2). Lemploy qui les utilise sengage le
faire de manire conforme la loi et il est entirement responsable de la scurit.
En labsence de rglement dict par lemployeur, lemploy ne peut savoir sil est autoris surfer sur
Internet ou utiliser le courrier lectronique des fins personnelles. Certains milieux estiment que
linterdiction de lancer ou de recevoir des appels tlphoniques de nature prive au lieu de travail
sapplique par analogie Internet. Les intrts et les moyens de lemployeur doivent tre prservs quoi
quil arrive en raison du devoir de diligence et de loyaut (art. 321a CO) qui oblige tout employ sauvegarder les intrts de son employeur. Lincidence de cet article sur lutilisation dInternet doit tre tablie au cas par cas, en fonction de la situation concrte. Il existe donc un risque que lemployeur fasse
une mauvaise apprciation du caractre admissible ou non dune session de surf.
Cest la raison pour laquelle nous vous conseillons dtablir un rglement crit sur lutilisation
dInternet. Plus ce rglement sera concret et prcis, moins il y aura dquivoques sur ce qui est permis
ou non en matire de lutilisation prive dInternet au travail.

15/42

6.

Bases lgales de la surveillance

Le danger que reprsente la surveillance durable du comportement dun employ son travail a fait
11
lobjet, en 1984, dune motion parlementaire . Cest la suite de cette motion que le Conseil fdral a
dict une ordonnance qui interdit la surveillance cible du comportement sur le lieu de travail (art. 26,
al. 1, de lordonnance 3 relative la loi sur le travail, OLT 3, RS 822.113). Lorsque des systmes de surveillance ou de contrle sont ncessaires pour dautres raisons, ils doivent tre conus et installs de
faon ne pas porter atteinte la sant ni la libert de mouvement des travailleurs (art. 26, al. 2, OLT
3). Lordonnance en question vise en premier lieu protger la sant et la personnalit des employs en
12
les soustrayant une surveillance permanente cible, opre au moyen dun systme de surveillance .
Une surveillance effectue sans systme de surveillance ne tombe pas sous le coup de lart. 26 OLT 3.
Dans le cadre du surf et du courrier lectronique au travail, ceci signifie que la surveillance permanente
dun employ en particulier opre au moyen de lanalyse de fichiers journaux nest pas admissible. La
mme raison interdit dailleurs linstallation de programmes espions (cf. chapitre 4). Ces espiogiciels
permettent, on le sait, de surveiller, son insu, un employ au travail. Leur installation viole linterdiction
de surveiller le comportement mais aussi le principe de la bonne foi.
Vu leurs multiples fonctions et le fait quon peut les programmer, les programmes de surveillance constituent mme une violation plus grave de la personnalit de lemploy que lutilisation dune camra vido.
Les content scanners sont une variante de programmes espions. Ce sont des progiciels qui examinent les courriers lectroniques reus ou envoys en fonction de termes prdfinis et qui ragissent en
consquence (en les bloquant, les effaant, en en envoyant une copie ladministrateur systme voire
au suprieur hirarchique de lemploy). Le risque de violation de la personnalit dun individu est patent
ds lors quon surveille systmatiquement son comportement. Lefficacit des filtres bass sur des termes est en outre contestable, tant donn quils filtrent en pratique trop ou trop peu. Il est du reste illusoire de croire quils offrent une scurit absolue du contenu car ils ne peuvent pas analyser les messages chiffrs, dont lutilisation est toujours plus frquente. Sy ajoute le fait quil est interdit de passer au
crible le contenu des messages privs annoncs comme tels. Le Tribunal fdral ne sest pas encore
prononc sur les logiciels de surveillance lectronique.
Sont par contre autorises lanalyse anonymise en continu des fichiers de journalisation et lanalyse
pseudonymise par sondages des fichiers de journalisation, toutes analyses qui permettent de contrler
que le rglement dutilisation est bien respect (cf. chapitre 8.4.1.1). Ces contrles donnent les preuves
qui permettent de rprimer les abus que des mesures techniques nont pas permis dempcher (par
exemple la lecture de pages Web ne figurant pas sur la liste des pages bloques du pare-feu).
Sil constate un abus, lemployeur sera en droit deffectuer une analyse nominative de fichiers journaux,
condition toutefois quil en ait inform au pralable le personnel dans le rglement de surveillance (cf.
chapitre 7.1).
Linterdiction de procder une surveillance du comportement, vise lart. 26 OLT 3, nest donc pas
applicable de manire absolue. Il sagit bien plus de dterminer ce qui prvaut dans chaque cas: la protection de la personnalit de lemploy ou les intrts de lemployeur (cf. chapitre 2). Dans certains cas,
lorsquun abus a t constat et quune information pralable a eu lieu (par le rglement), la surveillance
du comportement dune personne est admissible. Cependant, si aucun abus na t constat, la garantie
de la scurit, de mme que les contrles du respect du rglement dutilisation, doivent rester anonymes
13
ou pseudonymes .
16/42

En plus de lart. 26 OLT 3, la loi sur la protection des donnes ainsi que les articles 328 et 328b du Code
des obligations protgent la personnalit de lemploy. Ces dispositions prvoient galement que
lemployeur nest en droit de traiter des donnes personnelles quen conformit avec les principes de la
finalit et de la proportionnalit.
De nombreux employeurs mettent la disposition de leurs collaborateurs des instruments de travail portables (ordinateurs portables notamment) qui sont galement concerns par la surveillance, ce qui pose
un problme particulier puisque ces appareils sont aussi souvent utiliss des fins personnelles.
Lemploy peut exiger tout moment de son employeur quil lui communique sil traite des donnes le
concernant (art. 8, al. 1, LPD; cf. chapitre 8.1.2), ce qui peut mme avoir un effet dissuasif quant la
surveillance de la part de lemployeur.
Des donnes personnelles ne peuvent tre communiques des tiers non autoriss sans motif valable
ou sans laccord de la personne concerne (art. 12 et 13 LPD). Les collgues de travail de la personne
concerne sont des tiers non autoriss pour la protection des donnes.
Les services informatiques, le prpos la scurit, les suprieurs hirarchiques et le service du personnel doivent prendre toutes les mesures techniques et organisationnelles ncessaires pour empcher
que les donnes personnelles (notamment les fichiers journaux quils traitent dans le cadre de la surveillance dun employ et ce qui dcoule de leur exploitation) ne tombent entre les mains de personnes non
14
autorises (art. 7, al. 1, LPD) . Tous doivent assurer la confidentialit, la disponibilit et lintgrit de ces
donnes (art. 8, al. 1, de lordonnance relative la loi sur la protection des donnes ou OLPD, RS
235.11).

17/42

7.

Principales conditions juridiques pour la surveillance

du surf et du courrier lectronique

Pour pouvoir effectuer une analyse nominative, lemployeur doit avoir au pralable inform le personnel,
constat un abus ou souponner quun abus a t commis. Sont applicables les rgles qui suivent.

7.1

Linformation pralable

Sil na pas lobligation ddicter un rglement dutilisation dInternet et du courrier lectronique dans
lentreprise, lemployeur est tenu par contre ddicter un rglement de la surveillance de ces deux activits sil se livre cette surveillance, car elle constitue une ingrence dans la sphre prive des employs
(principe de la bonne foi, art. 4, al. 2, LPD). Une ingrence de ce type existe quand il y a analyse nominative des fichiers journaux. Pour assurer la transparence et la scurit du droit, lemployeur rdigera
ledit rglement de surveillance par crit et si possible en mme temps que le rglement dutilisation
dInternet et du courrier lectronique dans lentreprise, lidal tant que ces deux rglements figurent sur
un seul et mme document (cf. le rglement type lannexe C).
Lemployeur mentionnera dans le rglement de surveillance quil peut analyser nominativement les fichiers journaux (cf. chapitres 8.2 et 8.3), mais aussi en livrer les rsultats au suprieur hirarchique de
lemploy et au service du personnel en cas dabus manifeste. Si cette clause fait dfaut, lemployeur
lajoutera avant de procder lanalyse nominative des fichiers journaux concerns. Autrement dit, il
informera ses employs avant quils ne puissent commettre dabus ou avant quun soupon ne naisse et
non pas juste avant lanalyse nominative. Le cas contraire ne pourra tre quexceptionnel, en cas dabus
grave. Dans ce cas, cest lintrt de lemployeur identifier lemploy fautif qui lemportera.
Lemployeur mentionnera aussi le nom de la ou des personnes charges danalyser nominativement les
fichiers journaux, les sanctions concrtes prvues et la procdure quil suivra en cas de soupon
dinfraction. Enfin nous lui conseillons de dcrire aux employs le type de journalisation utilis, son
contenu et son but, mais aussi de les informer sur la dure de conservation des fichiers journaux et sur
leur droit daccs.
Lemployeur avertira encore les expditeurs et les destinataires externes de courriers lectroniques que
les messages font lobjet dune surveillance et peuvent tre lus par des dlgus (par exemple au
moyen dune note qui pourrait figurer au pied de tout message sortant, ct de la clause de confidentialit).
Le fait de savoir quune surveillance est possible peut dissuader les employs de surfer.

7.2

La constatation dun abus

Il y a abus lorsque le rglement dutilisation dInternet et du courrier lectronique a t viol. Selon ce

rglement, un abus peut par exemple consister consulter des sites Web qui nont rien voir avec les
tches professionnelles ou surfer tout court des fins prives si cela est expressment interdit. Tenter
daccder des sites Web qui ont t bloqus par des mesures techniques de protection nest toutefois
pas considr comme un abus.

18/42

Mme sans rglement, lemploy peut violer le devoir de loyaut et le principe de la proportionnalit.
Dans ce cas-l aussi, on parlera dabus.
Un abus pourra tre constat lors du contrle, anonymis ou pseudonymis, du respect du rglement
par les employs (cf. chapitres 8.2 et 8.3), lors dun examen de scurit (pour chercher la source dun
virus ou dune tentative interne de hacking) ou encore grce dautres indications (dcouverte de documents imprims privs sur limprimante de lentreprise, envoi par erreur de messages privs des
suprieurs, surcharge de la bote de rception du courrier lectronique, etc.).

19/42

8.

Surveillance du surf et du courrier lectronique au

lieu de travail

Rappelons tout dabord que lemployeur doit accorder la priorit aux mesures prventives de nature
technique, la sensibilisation des employs et aux mesures les incitant collaborer. Il na le droit de
surveiller une personne dtermine que sil ny a pas dautre moyen de prvenir un abus.
La surveillance du surf sur Internet et du courrier lectronique des fins prives seront traites sparment.
Il y a lieu de prciser en outre que les rgles prsentes ci-aprs sont difficilement applicables dans les
petites entreprises car lanonymat ne peut y tre vritablement garanti.
Dans les chapitres qui suivent, il sera question notamment de la surveillance du surf et du courrier lectronique par le biais de lanalyse des fichiers journaux. Du fait de son caractre prventif, permanent et
intentionnel, cette forme de surveillance est particulirement prjudiciable mais nanmoins trs rpandue.
Une autre forme de surveillance consiste effectuer des surveillances ponctuelles pour garantir la scurit et le bon fonctionnement des ressources techniques ou pour dautres motifs.

8.1

Surveillance exerce pour garantir la scurit et le bon fonctionnement du

systme informatique de lentreprise

Les services informatiques ou les responsables de la scurit dune entreprise ont pour tche de garantir la scurit et le bon fonctionnement des ressources techniques. Dans les petites entreprises, cette
tche est gnralement assume par le chef lui-mme. Garantir la scurit est une tche permanente,
qui est mise en uvre le plus souvent par des mesures de protection techniques (systme de dtection
dintrusion par exemple); elle se fait de manire anonyme. Ce sont les mesures les plus importantes
pour parer aux attaques internes ou externes. Lemployeur doit veiller ce quelles soient rgulirement
adaptes aux volutions technologiques.
Si un problme technique survient malgr les mesures prises, lemployeur a le droit danalyser les fichiers journaux pour dterminer lorigine du problme. Cet examen peut rvler lexistence dun abus
cause de la panne ou faire natre un soupon dabus. Lorsquil est possible dtablir avec certitude
quun abus a t commis, le collaborateur fautif peut faire lobjet de sanctions (cf. chap. 10).

8.2

Surveillance exerce pour dautres motifs

Il peut arriver que lemployeur constate un abus ou pense quil y a eu abus parce que dautres indices le
lui font supposer (cf. chap. 7.2). Afin de pouvoir identifier le collaborateur fautif, lemployeur peut alors
dpouiller les fichiers journaux (par exemple ceux de limprimante) ou leurs analyses. Sil parvient
prouver quun abus a t commis, il peut prendre une des sanctions prvues au chapitre 10.

20/42

8.3

Surveillance base sur lanalyse des fichiers journaux

Lanalyse des fichiers journaux consiste dpouiller de manire dtaille, sur la base de critres prdfinis, les activits enregistres. Cette analyse est effectue laide dun programme idoine. Une analyse
ou plusieurs analyses combines, portant par exemple sur lutilisation dInternet, du courrier lectronique
ou du tlphone, peuvent donner lieu la constitution de profils de la personnalit. Il existe principalement trois types danalyse: lanalyse anonyme, lanalyse pseudonyme et lanalyse nominative.
Lanalyse anonyme est une analyse statistique des fichiers journaux effectue selon le critre par
exemple des pages Web les plus consultes ou du nombre de messages envoys. Lanalyse peut porter
sur lensemble de lentreprise ou sur une partie seulement de cette dernire (un service, par exemple).
Pour que lanonymat soit garanti, lanalyse doit porter sur un chantillon de personnes suffisamment
grand.
Lanalyse pseudonyme est une analyse des fichiers journaux qui porte sur plusieurs personnes dterminables, soit dont lidentit a t pseudonymise; elle peut seffectuer selon le critre par exemple
des pages les plus consultes par chaque pseudonyme. Le pseudonyme doit tre choisi de sorte quil
soit impossible didentifier la personne concerne dans la phase de la surveillance non nominative (cf.
chap. 8.4.1). Lidentification de lutilisateur (USERID) ou une adresse IP statique ne constitue pas un
pseudonyme robuste, car il est facile de retrouver lidentit des personnes concernes.
Lanalyse nominative est une analyse des fichiers journaux qui porte sur une personne en particulier.
Une liste des correspondances entre les noms dutilisateur et les pseudonymes permet de dterminer
lidentit des personnes concernes (ridentification/analyse nominative). Il est conseill de stocker sparment les analyses des fichiers journaux et la liste de correspondance (noms dutilisateurs et pseudonymes), en les remettant deux personnes aux fonctions diffrentes.
Il est noter toutefois que le stockage spar des listes ou la pseudonymisation des noms ne garantis15
sent en rien une surveillance anonyme si les listes de correspondance sont accessibles tous .
Il y a lieu de prciser en outre que lanalyse nominative des fichiers journaux relatifs aux messages privs signals comme tels (cf. chap. 8.5) ne doit contenir que les lments suivants: la date et lheure de
lenvoi ou de la rception du message, ladresse de lexpditeur (masque dans les messages entrants),
celle du destinataire (masque dans les messages sortants), et la mention Priv. Autrement dit, seule
ladresse de lemploy doit apparatre dans les analyses nominatives du courrier lectronique.

8.4

Surveillance base sur lanalyse des fichiers journaux du surf

La surveillance base sur lanalyse des fichiers journaux du surf a pour but de protger les intrts de
lemployeur dans ce domaine (cf. chap. 2 du prsent guide).

Ce type de surveillance se subdivise en deux phases:

surveillance non nominative

surveillance nominative

21/42

8.4.1

Premire phase: surveillance non nominative

La premire phase de la surveillance a pour buts principaux dtablir des statistiques et de vrifier si le
rglement dutilisation est respect.

Etablissement de statistiques: les statistiques sont tablies sur la base de lanalyse anonyme des
fichiers journaux; elles ont pour but de donner un aperu anonyme et structur de lutilisation
moyenne dInternet.

Contrle du respect du rglement dutilisation: lemployeur a le droit de vrifier si le rglement

dutilisation est respect condition den avoir inform pralablement ses employs par une clause
idoine dans le rglement de surveillance (cf. chap. 7.1 et annexe C). Suivant ce que prvoit le rglement de surveillance, ce contrle prend la forme dune analyse anonyme et/ou pseudonyme des
fichiers journaux. Lanalyse anonyme ne permet pas didentifier une personne en particulier et peut
donc tre faite de manire permanente. Lanalyse pseudonyme permet par contre de surveiller le
comportement dune personne dterminable par rapport au comportement anonyme moyen; elle ne
peut tre effectue que de manire ponctuelle, une date ou une heure dtermine (par exemple
un jour par mois avec annonce obligatoire de la semaine concerne aux employs, afin dviter
quils ne se sentent surveills en permanence et titre individuel). Surveiller les employs pendant
toute la priode prdtermine ( laide par exemple dun espiogiciel, cf. chap. 6) serait par contre
synonyme de surveillance permanente de lensemble du personnel, une pratique illicite selon lart.
26 OLT 3. La surveillance non nominative effectue pour vrifier le respect du rglement
dutilisation devrait tre confie au prpos la protection des donnes de lentreprise, un collaborateur ayant t form cet effet ou une personne de confiance extrieure lentreprise. La personne comptente devra tre clairement informe de ses responsabilits et en particulier de
linterdiction de faire des analyses nominatives cette premire phase de la surveillance.

8.4.2

Deuxime phase: surveillance nominative

La deuxime phase de la surveillance, qui porte dsormais sur une personne en particulier, consiste
identifier ou ridentifier le collaborateur fautif si la premire phase de la surveillance a rvl
lexistence dun abus ou fait natre un soupon dabus.
16

En cas de soupon dabus , lemployeur procde une analyse nominative des fichiers journaux (ou
analyses) pseudonymiss, en utilisant la liste de correspondance, afin de dterminer sil y a abus ou
non. Sil savre que le soupon est infond, lanalyse nominative doit tre immdiatement interrompue. Lemployeur reste toutefois tenu dadapter rgulirement les mesures de protection techniques
et/ou le rglement dutilisation en fonction des volutions de la technologie par exemple en mettant
jour les logiciels antivirus ou encore la liste des sites interdits du pare-feu.
Si lemployeur constate un abus (cf. chap. 7.2), il commence par adapter les mesures techniques de protection et, si ncessaire, le rglement dutilisation. Les employs sont informs de la modification du rglement dutilisation.
Le collaborateur fautif est identifi ou ridentifi selon la procdure dcrite au chap. 8.3. Lemployeur
peut alors prendre des sanctions disciplinaires (cf. chap. 10).
Comme le traitement des fichiers journaux peut mettre en vidence des donnes personnelles nayant
aucun rapport avec labus prsum, la personne charge de lanalyse est lie par le secret de fonction.
Elle na pas le droit dutiliser de telles donnes des fins abusives. Lorsque lemployeur confie des
tiers le traitement de donnes personnelles, il doit attirer leur attention sur ce fait (art. 14 LPD).
22/42

8.5

Surveillance du courrier lectronique

8.5.1

Surveillance du courrier lectronique de nature prive

La surveillance du courrier lectronique est soumise pratiquement aux mmes rgles que la surveillance
du courrier postal, raison pour laquelle nous examinerons en premier lieu les rgles applicables la sur17
veillance du courrier postal au lieu de travail .
Le courrier priv au lieu de travail jouit dune protection illimite. Par consquent, il doit tre remis la
personne laquelle il est adress sans tre ouvert. Louverture de courrier priv par un tiers constitue
une violation de la personnalit qui peut tre poursuivie par le biais dune procdure civile (art. 15 LPD)
ou administrative (art. 25 LPD). Dans les deux cas, les consquences pnales sont rserves (art. 179
CP). Est considr comme courrier priv tout envoi dont on voit clairement quil a t adress
lemploy non pas titre professionnel mais titre priv. Certains lments ne trompent pas sur la nature prive dun envoi, notamment la mention Priv ou En main propre, le genre denvoi (avis mortuaire, journal adress au collaborateur, magazine), ou encore dautres caractristiques (format, papier
couleur, cartes postales, courrier militaire adress un employ).
Ladressage de type Monsieur X, Service Y ne suffit pas pour considrer quil sagit dun pli de nature
prive, encore faut-il que le pli comporte une mention telle que Priv. Le fait que le nom dun employ
figure avant le nom de lentreprise ne suffit pas pour affirmer que lenvoi lui a t adress titre priv
(ATF 114 IV 16).
De mme que pour le courrier postal et les conversations tlphoniques, lemployeur na, pour des motifs de protection de la personnalit, pas le droit de consulter les messages lectroniques privs de ses
collaborateurs. Il nest gure possible de sparer automatiquement les messages privs des messages
professionnels sur la base des seuls lments dadressage. Il faut donc que lexpditeur dun message
dordre priv prcise sa nature, en activant loption de confidentialit correspondante. Si cette option
nest pas active et quil ne ressort pas des lments dadressage quil sagit ou pourrait sagir dun
message de nature prive, lemployeur peut partir de lide comme pour le courrier postal quil sagit
dun message dordre professionnel. En cas de doute, lemploy est consult.
Lemployeur na donc le droit ni douvrir ni de traiter (cest--dire sauvegarder, transmettre, scanner, etc.)
un message lectronique priv lorsque celui-ci est signal ou reconnaissable comme tel. Partie constitutive de la personnalit, la sphre prive est aussi protge par lart. 13, al. 1, de la Constitution, qui garantit le respect des relations quune personne tablit par les tlcommunications et qui sapplique galement au courrier lectronique (cf. galement ATF 126 I 50, consid. 6a en particulier). La consultation
des messages privs auprs du fournisseur de service de courrier lectronique de lemployeur ne peut
avoir lieu que par un juge dans le cadre dune poursuite pour certains crimes ou dlits (art. 3 de la loi
fdrale sur la surveillance de la correspondance par poste et tlcommunication, LSCPT, RS 780.1).
Lemployeur mme na pas le droit dobtenir du fournisseur du service de courrier lectronique des informations relatives au contenu des courriels de ses employs (art. 43 de la loi sur les tlcommunications, LTC, RS 784.10). Pour protger les messages privs, on pourra par exemple utiliser un service
Web de courrier lectronique, si possible chiffr, qui soit indpendant du service professionnel mis
18
disposition .
Lutilisation dun service Web de courrier lectronique chiffr dpend ce que prvoit le rglement
dutilisation. Si le rglement interdit lutilisation dInternet au lieu de travail, lemploy prend le risque
dtre sanctionn sil surfe quand mme des fins prives. La rgle applicable lusage priv du courrier lectronique au lieu de travail est donc la suivante: si le rglement dutilisation autorise lusage priv
du courrier lectronique, lemploy a tout intrt utiliser un service Web de courrier lectronique si
23/42

possible chiffr pour se protger; si lusage priv du courrier lectronique est interdit, il est conseill dy
renoncer compltement. Il nest toutefois pas possible dviter compltement de recevoir des messages
privs. Lemployeur doit tre conscient du fait quil ne peut rendre entirement responsable lemploy
pour la rception de tous les courriers privs quil reoit.
A lheure actuelle, les messages sont en gnral archivs sur le serveur de courrier lectronique.
Lemployeur a le droit dutiliser les copies de sauvegarde pour rcuprer des donnes perdues, mais
aussi pour identifier un collaborateur fautif ou dterminer si un soupon est fond, condition toutefois
quil ait prvu une telle possibilit dans le rglement de surveillance et que les fichiers journaux naient
pas permis didentifier le fautif.
Afin doprer une sparation claire entre les messages dordre priv et les messages dordre professionnel, mais aussi dans le but de faciliter la gestion du courrier professionnel, il est dconseill dutiliser la
bote lettres comme moyen darchivage. On aura plutt avantage archiver le courrier priv sur un
support priv et transfrer les messages de nature professionnelle sur un support idoine de gestion
des documents. Cette manire de procder permet de renforcer sensiblement la protection de la sphre
prive, car les messages privs ne figurent plus dans les sauvegardes effectues par lentreprise.
8.5.1.1

Procdure suivre

La surveillance exerce pour vrifier si les rgles applicables au courrier lectronique sont respectes
est soumise aux mmes principes que la surveillance du surf (cf. chap. 8.1 ss).

8.5.2

Surveillance du courrier lectronique de nature professionnelle

La gestion des documents de lentreprise suppose que tout document de nature professionnelle (y
compris les messages lectroniques entrants et sortants) soit systmatiquement enregistr et localisable
en tout temps. Lentreprise est en droit de crer des fichiers journaux complets pour les courriers lectroniques de nature professionnelle et de sauvegarder ces messages. Il est conseill toutefois de limiter
la journalisation aux lments suivants: le champ Objet, la date et lheure denvoi ou de rception du
message, ladresse de lexpditeur et celle du destinataire. Pour le courrier lectronique, comme du
reste pour le courrier postal, deux types dadressage sont possibles: ladressage nominatif (par exemple
jean.dupont@entreprise.ch ou jean.dupont@vente.entreprise.ch) et ladressage fonctionnel non nominatif (par exemple information@entreprise.ch, vente@entreprise.ch ou directeur.ventes@entreprise.ch).
Ladressage nominatif est la formule la plus rpandue aujourdhui.
Il prsente toutefois de nombreux inconvnients du point de vue de la gestion des documents, notamment en ce qui concerne la gestion des messages lorsquun collaborateur est absent ou a quitt
lentreprise et la difficult distinguer messages professionnels et messages privs dans ces cas-l.
Lorsquil nest pas indiqu explicitement quun message est dordre priv ou professionnel et que les
lments dadressage ne permettent pas non plus de dterminer quil sagit ou peut sagir dun message
priv, lemployeur peut comme pour le courrier postal partir de lide que le message est dordre professionnel.
Ladressage fonctionnel non nominatif est particulirement appropri pour le courrier lectronique professionnel qui ne concerne pas une personne en particulier, car elle ne prsente pas les inconvnients
prcits. Ladressage nominatif devrait tre rserv aux cas o lchange dinformations, bien que de
nature professionnelle, ne concerne que la personne en question (par exemple pour les questions de
personnel ou les messages la concernant elle seule).

24/42

8.5.2.1

Gestion du courrier lectronique dun collaborateur absent

Lors des absences prvisibles (telles que vacances, congs ou service militaire), les messages entrants
peuvent tre grs de trois manires principales:

dfinition dune rponse automatique dabsence du bureau envoye lexpditeur avec indication des
personnes contacter en cas durgence;

dfinition dune rgle qui transfre au supplant tous les messages entrants; cette solution a pour
inconvnient toutefois que les messages de nature prive non marqus comme tels sont eux aussi
transmis au supplant;

dsignation dun supplant et dfinition dun droit daccs personnalis (droit de lire et, si ncessaire, de traiter les messages entrants dordre professionnel); le supplant na pas daccs aux messages privs signals comme tels; ce type de mesures permet de protger la sphre prive du collaborateur absent; les expditeurs de messages privs doivent tre conscients du fait que leurs
messages sont lus par le supplant si rien ne permet de dterminer quil sagit de messages privs.

Pour les absences non prvisibles (maladie ou accident), chaque collaborateur devrait avoir un supplant prdfini ayant entre autres accs son courrier lectronique (cf. annexe C).
8.5.2.2

Gestion du courrier lectronique dun collaborateur quittant lentreprise

Un employ qui va quitter lentreprise doit avant son dpart transfrer qui de droit les dossiers en
19
cours (y compris les messages lectroniques). Il certifie en outre par une dclaration quil a remis
lentreprise tous les documents de nature professionnelle. On doit lui offrir la possibilit de copier les
messages lectroniques et autres documents de nature prive sur un support priv, puis de les effacer
des serveurs de lentreprise.
A la fin du dernier jour de travail au plus tard, son compte de courrier lectronique (comme dailleurs ses
autres comptes informatiques) doit tre bloqu et sa bote lettres (comme du reste ses autres supports
de donnes personnels) efface; cette rgle sapplique galement en cas de dcs. Il serait bon que
lemployeur sengage par crit le faire. Les personnes qui enverront un message ladresse bloque
seront automatiquement informes du fait que cette adresse nexiste plus. La rponse automatique
pourra en outre indiquer une adresse alternative.

8.5.3

Surveillance du courrier lectronique: cas particuliers

Lemployeur a-t-il le droit de chercher identifier lauteur de messages lectroniques anonymes qui
constituent des atteintes la personnalit ou une forme de harclement psychologique?
Lventuelle atteinte la personnalit dun employ par un autre employ est laffaire de la personne
vise et de la justice civile. Lemployeur a toutefois le droit de rechercher lui-mme lidentit de la personne fautive lorsque le devoir de loyaut nest pas respect ou que les intrts de lemployeur peuvent
tre touchs (par exemple baisse de rendement de la part de lemploy victime). Il peut aussi le faire
lorsque le rglement dutilisation interdit lusage du courrier lectronique des fins prives. Dans un tel
cas, lidentification du fautif se justifie du fait que le rglement dutilisation na pas t respect ou que le
devoir de loyaut na pas t observ, et non du fait quun collaborateur a t atteint dans sa personnalit.

25/42

8.6

Cas du tltravail

Par tltravailleur, on entend tout employ dont le lieu de travail se situe en dehors de lentreprise (par
exemple employ travaillant chez lui par Internet). Comme les tltravailleurs ne peuvent tre directement surveills par leur suprieur, lutilisation prive des installations mises disposition par lemployeur
est en rgle gnrale plus tendue. Bien que lon ne puisse parler directement dabus cet gard, le
risque dune atteinte la personnalit lie la consultation des fichiers journaux ou des donnes prives
par lemployeur est plus important pour les tltravailleurs que pour les autres employs de lentreprise.
Il est donc conseill, pour parer ce risque, dutiliser un support de donnes distinct (tel que disque dur
externe, disquette ou CD) pour les documents et messages privs. Si le tltravailleur procde de la
sorte, il lui sera plus facile de rendre linstrument de travail dans un tat irrprochable lorsquil quittera
lentreprise.

26/42

9.

Surveillance en cas de dlit

Si un employeur, suite un contrle ou sur la base dautres indices, a des soupons concrets quun acte
dlictueux a t commis par surf ou laide du courrier lectronique, il peut sauvegarder les moyens de
preuve (fichiers journaux et sauvegardes ventuelles). Comme la conservation des moyens de preuve
est une affaire techniquement complexe, elle devrait tre confie un spcialiste (forensic computing
20
scientist ).
Les fichiers journaux ou des plaintes manant demploys ou de tiers peuvent faire natre des soupons
ou rvler lexistence dagissements qui non seulement violent le contrat de travail ou le rglement
dutilisation mais constituent un acte dlictueux tel que:

diffamation (art. 173 ss CP)

harclement sexuel au lieu de travail (art. 198 CP)

diffusion de matriel caractre raciste ou pornographique (art. 261

actes de sabotage par Internet ou espionnage industriel (cf. en particulier art. 143, 143 , 144
et 147 CP)

bis

et 197 CP)
bis

bis

Ce sont les suprieurs hirarchiques et, ventuellement, le service du personnel et non les services
informatiques qui dcident si une plainte est dpose ou non. Bien quil nexiste aucune obligation en
la matire, il est recommand de le faire, du moins pour les dlits poursuivis doffice, ceci afin dcarter
le risque que lentreprise ne soit dclare complice. Lorsquil y a eu abus, lemployeur a le droit de rechercher lidentit de la personne souponne et de porter plainte contre cette dernire. La suite de la
procdure relve des autorits pnales. Ainsi, seules les autorits pnales ont le droit, par exemple,
dordonner quune personne dtermine soit nouveau mise sous surveillance quand elle utilise Internet
dans le but de dterminer si le soupon est fond, tant donn quune telle surveillance constitue une
atteinte grave la personnalit. Si lemployeur dcide de son propre chef de surveiller une nouvelle fois
certaines personnes, ces surveillances peuvent ne pas tre retenues comme moyen de preuve recevable dans le cadre dune procdure pnale. Elles pourront en outre avoir des consquences juridiques
pour lemployeur (cf. chap. 11).
Lemployeur est tenu de traiter les rsultats de lenqute de manire confidentielle, notamment lgard
des tiers non autoriss (tels que les autres collaborateurs de lentreprise).
Relevons enfin que la prise de sanctions disciplinaires pour violation du rglement dutilisation est rserve, mme lorsquun dlit a t commis (cf. chap. 10).

27/42

10. Sanctions en cas dabus

Si les conditions requises pour la surveillance et les rgles qui la grent ont t respectes, lemployeur
(idalement le suprieur hirarchique et, ventuellement, le service du personnel) a le droit, lorsquil
constate un abus, de prendre des sanctions disciplinaires contre lemploy fautif. Lemploy rpond du
dommage quil a caus lemployeur intentionnellement ou par ngligence (art. 321e CO).
Les sanctions possibles sont: lavertissement, le blocage de laccs Internet, la demande de dommages-intrts, la rduction de salaire et le changement daffectation. Dans les cas extrmes, par exemple
si labus est nouveau commis malgr un avertissement et quil provoque une panne technique ou si un
dlit est prouv, lemployeur peut congdier lemploy (art. 335 CO). Le contrat de travail peut mme
tre rsili avec effet immdiat lorsquen toute bonne foi on ne peut exiger de lemployeur quil maintienne les rapports de travail (art. 337 CO).
Ce sont les suprieurs hirarchiques de lemploy fautif qui sont comptents pour prendre des sanctions
contre ce dernier. Les services informatiques ou les responsables de la scurit ont le droit, pour leur
part, de donner des avertissements, de limiter laccs Internet ou de supprimer des donnes, mais
condition que le rglement de surveillance le prvoie expressment et que labus ait pu tre prouv avec
certitude. Avant deffacer des fichiers de ce type, lemployeur informera lemploy concern et lui permettra de copier les fichiers en question (messages lectroniques privs, etc.) sur un support de donnes priv.
Les sanctions doivent tre adaptes la gravit de labus et avoir t dfinies pralablement dans le
rglement de surveillance ou pouvoir tre drives de ce dernier.
Les abus ne sont pas toujours des actes de malveillance. Dans de nombreux cas, ils sont motivs par la
curiosit de lemploy ou dus un manque dinformation de la part de lemployeur sur les risques pour la
scurit. Dans de tels cas, lemployeur porte une part de responsabilit.
Il porte galement une part importante de responsabilit si un ordinateur est contamin par un virus et
quil na pas prvu de logiciel antivirus ou na pas install un logiciel appropri. Il doit veiller ce que le
logiciel antivirus soit automatiquement et rgulirement mis jour (notamment les fichiers de dfinition)
et quil ne puisse tre dsactiv par les employs. Enfin, lemployeur porte aussi une part de responsabilit si les autres mesures de scurit sont insuffisantes.
Si le rglement dutilisation ne contient pas de critres prcis permettant de distinguer clairement
lutilisation professionnelle admise dInternet de lutilisation prive non admise, il sera trs difficile, en
pratique, de dcider si lutilisation dInternet est autorise ou non. En labsence dun rglement clair ce
sujet, on ne prendra des sanctions lencontre dun employ que si un abus manifeste a t constat.
Sil nexiste pas de rglement du tout, lemploy ne devrait tre rendu responsable que des dommages
quil a causs intentionnellement ou par ngligence grave.
Ladresse IP et donc en principe aussi lidentit du collaborateur fautif peuvent tre consciemment falsifies. Lemployeur devrait sengager ne prendre des mesures disciplinaires que si lidentit du collaborateur fautif a pu tre tablie avec certitude. Lactivation automatique dun conomiseur dcran assorti
dun mot de passe permet de rduire sensiblement le risque dusurpation didentit.
Est rserve la poursuite pnale par les organes comptents en cas de dlit.
28/42

Le fardeau de la preuve est rgi par la rgle suivante: cest lemployeur de prouver que lemploy a
manqu ses devoirs et quil en a rsult un dommage. Lemploy a alors la possibilit de prouver quil
21
est innocent ou quil na commis quune faute lgre (art. 97 CO) .

29/42

11. Prtentions de lemploy en cas de surveillance illicite

Si lemployeur ne respecte pas les conditions requises pour la surveillance ni les rgles qui la rgissent,
les employs peuvent intenter une action en justice pour atteinte la personnalit (art. 15 et 25 LPD). Le
fardeau de la preuve est rgi par lart. 97 CO. Le collaborateur concern peut, dans un premier temps,
faire valoir ses prtentions auprs de lemployeur directement (constatation du caractre illicite de la
surveillance, dommages-intrts, etc.). Si ce dernier nentre pas en matire, lemploy peut alors saisir
le tribunal des prudhommes, qui ouvrira en principe une procdure rapide et gratuite. Lemploy peut
galement contester les sanctions disciplinaires prises par lemployeur suite une surveillance illicite
(telles que cong abusif selon lart. 336 CO).
Une surveillance abusive peut en outre avoir des consquences pnales pour lem-ployeur, par exemple
lorsquil y a eu violation de linterdiction de surveiller le comportement des employs (cf. art. 59, al 1, lit.
novies
CP).
a de la loi sur le travail, LTr, RS 822.11), ou soustraction de donnes personnelles (art. 179
Lutilisation despiogiciels et lanalyse nominative des fichiers journaux sans information pralable des
employs et/ou sans quun abus ait t constat sont aussi considres comme surveillance abusive.

30/42

Diagramme

Mo dem Ban k

Annexe A:

Tableau 1
31/42

Annexe B:
B.1

Surveillance: conditions et droulement

Conditions de la surveillance

Tableau 2
32/42

B.2

Droulement de la surveillance

Tableau 3
33/42

B.3

Droulement de lanalyse

DATE
TIME
USER-ID
SENDER
RECEIVER
PRIVATE
-----------------------------------------------------------------------------010103 23:59 PIERRE MONNIER PM@ENTREPRISE.COM
XY@PRIVE.COM
YES
020103 00:02 JEAN DUPONT
JD@ENTREPRISE.COM
PB@ENTREPRISE.COM
NO
020103 00:02 PIERRE MONNIER PM@ENTREPRISE.COM
HM@ENTREPRISE.COM
NO
020103 00:02 JEAN DUPONT
ZZ@PRIVE.COM
HM@ENTREPRISE.COM
NO
020103 00:10 JEAN DUPONT
JD@ENTREPRISE.COM
ZZ@PRIVE.COM
YES
020103 00:11 JEAN DUPONT
ZZ@PRIVE.COM
HM@ENTREPRISE.COM
NO
020103 00:12 JEAN DUPONT
JD@ENTREPRISE.COM
ZZ@PRIVE.COM
YES
020103 00:13 JEAN DUPONT
ZZ@PRIVE.COM
HM@ENTREPRISE.COM
NO
020103 00:14 JEAN DUPONT
JD@ENTREPRISE.COM
ZZ@PRIVE.COM
YES
020103 00:15 PIERRE MONNIER PM@ENTREPRISE.COM
HM@ENTREPRISE.COM
NO
020103 00:16 JEAN DUPONT
JD@ENTREPRISE.COM
PB@ENTREPRISE.COM
NO
020103 00:17 JEAN DUPONT
ZZ@PRIVE.COM
HM@ENTREPRISE.COM
NO
020103 00:21 JEAN DUPONT
JD@ENTREPRISE.COM
ZZ@PRIVE.COM
YES
020103 00:22 JEAN DUPONT
ZZ@PRIVE.COM
HM@ENTREPRISE.COM
NO
...

DATE
TIME
USER-ID
URL
-----------------------------------------------------010103 23:59 PIERRE MONNIER WWW.ENTREPRISE.COM
020103 00:02 JEAN DUPONT
WWW.ENTREPRISE.COM
020103 00:02 PIERRE MONNIER WWW.TEST.COM
020103 00:02 JEAN DUPONT
WWW.SEXE.COM
020103 00:10 JEAN DUPONT
WWW.ENTREPRISE.COM
020103 00:11 JEAN DUPONT
WWW.TEST.COM
020103 00:12 JEAN DUPONT
WWW.SEXE.COM
020103 00:13 JEAN DUPONT
WWW.ENTREPRISE.COM
020103 00:14 JEAN DUPONT
WWW.TRADING.COM
020103 00:15 PIERRE MONNIER WWW.ENTREPRISE.COM
020103 00:16 JEAN DUPONT
WWW.SEXE.COM
020103 00:17 JEAN DUPONT
WWW.ENTREPRISE.COM
020103 00:21 JEAN DUPONT
WWW.ENTREPRISE.COM
020103 00:22 JEAN DUPONT
WWW.ENTREPRISE.COM
...

Fichier journal
Internet

Les services informatiques chargs

d'assurer la scurit et le bon fonctionnement
des installations ont un accs
direct aux fichiers journaux.

Fichier journal
imprimante

Fichier journal
messagerie

LISTE DE CORRESPONDANCE
-----------------xy123 =>PIERRE MONNIER
zz321 =>JEAN DUPONT

La personne charge de vrifier si le rglement

d'utilisation est respect (en rgle gnrale le
responsable de la protection des donnes de
l'entreprise) a accs aux analyses mais pas
aux fichiers journaux .

Outil d'analyse

Fichier journal
outil d'analyse

Analyse anonyme, 020203

----------------------Internet
-------1. www.entreprise.com
2. www.test.com
3. www.sexe.com
Courriels
--------Envoys:
Reus:

65%
25%
6%

70 (37 privs)
70 (2 privs)

Analyse pseudonyme, 020203

-------------------------Pseudo: zz321

Analyse nominative, 020203

-------------------------USER: JEAN DUPONT

Internet
-------1. www.sexe.com
2. www.entreprise.com
3. www.trading.com

Internet
-------1. www.sexe.com
2. www.entreprise.com
3. www.trading.com

Courriels
--------Envoys:
Reus:

55%
40%
5%

38 (35 privs)
37 (2 privs)

Courriels
--------Envoys:
Reus:

55%
40%
5%

38 (35 privs)
37 (2 privs)

Tableau 4: cf. chap. 8.3

34/42

Annexe C:

Rglement type de surveillance du surf et du

courrier lectronique au lieu de travail

Le texte du rglement est en caractres standard, les notes et commentaires sont en italique.

C.1

But et champ dapplication

C.1.1

But

Le prsent rglement a pour but de protger les intrts de lemployeur et de lemploy en matire de surveillance du surf et du courrier lectronique au lieu de travail.

C.1.2

Champ dapplication

Le prsent rglement sapplique tout employ, interne ou externe, de lentreprise.

C.2

Intrts et risques de lemployeur et de lemploy

C.2.1

Intrts et risques de lemployeur

Lutilisation, au lieu de travail, dun ordinateur en rseau peut porter atteinte certains intrts et quipements techniques de lentreprise. Peuvent tre affects:

la capacit de stockage et la bande passante du rseau, suite une utilisation excessive dInternet
et du courrier lectronique;

la scurit des donnes et des applications (disponibilit, intgrit, confidentialit), en raison de

limportation de virus, vers, chevaux de Troie ou de linstallation de logiciels trangers lentreprise;

le temps de travail et dautres intrts financiers (pertes de productivit, augmentation des cots
pour des moyens et/ou prestations supplmentaires, frais de rseau, etc.);

dautres intrts de lentreprise protgs par la loi, tels que sa rputation, ses secrets de fabrication
ou daffaires, ou encore la protection des donnes.

C.2.2

Intrts et risques de lemploy

Les intrts de lemploy lis au surf et au courrier lectronique au lieu de travail (information et communication) peuvent tre menacs sur le plan notamment du droit du travail, de la protection des donnes ou de la sant, ou encore sur le plan conomique.

35/42

C.3

Mesures de protection techniques et journalisations

C.3.1

Mesures de protection techniques

Lentreprise met en uvre les mesures de protection techniques suivantes:

- ...
- ...
- ...
Le chap. 3 du prsent guide dresse la liste des principales mesures de protection techniques.

C.3.2

Journalisations

La plupart des activits effectues laide de moyens informatiques sont consignes dans des fichiers
journaux. La journalisation est lenregistrement continu des donnes dutilisation de type qui, quoi,
quand. Dans notre entreprise, elle est effectue aux endroits suivants:
- ...
- ...
- ...
On indiquera ici les types de journalisation effectus, le but vis et la dure de conservation des donnes. Lentreprise remplira ainsi le devoir dinformation qui lui incombe selon lart. 4, al. 2, LPD en matire de traitement de donnes et de constitution de fichiers. Si elle ne fournit pas ces informations aux
employs, elle devra dclarer les fichiers journaux au Prpos fdral la protection des donnes et
la transparence en vertu de lart. 11 LPD. Les principaux types de journalisation sont recenss au chap.
4 et lannexe A du guide.
Les fichiers journaux relatifs aux messages privs ne comprennent que ladresse de lemploy, la mention Priv, la date et lheure denvoi ou de rception du message.

C.4

Rglement dutilisation

Cest lemployeur de dcider si les employs peuvent utiliser Internet et le courrier lectronique des
fins prives au lieu de travail. Comme dans les autres domaines du rapport de travail, il dispose en effet
du droit dtablir des directives. La porte des droits dutilisation pourront varier selon les catgories
demploys et selon les besoins de chacun sur le plan professionnel.
Le chap. 5 du guide indique un certain nombre de rgles applicables pour le surf et le courrier lectronique au lieu de travail. Dans tous les cas, il est indispensable que lemployeur fixe des rgles concrtes
et dnues de toute ambigut dans ce domaine. Le rglement dutilisation doit tre mis jour si ncessaire.

36/42

C.5

Rglement de surveillance

C.5.1

Priorit aux mesures de protection techniques

Lentreprise sengage privilgier les mesures de protection techniques pour prvenir les abus et les
dommages de nature technique.
Elle actualise rgulirement les mesures de protection techniques en fonction des volutions de la technologie. Elle adapte galement ces mesures aprs un drangement technique.
Elle na le droit de procder une analyse nominative des fichiers journaux du surf et du courrier lectronique que dans les cas o les mesures de protection techniques ne suffisent pas empcher un
abus.
Elle nutilise pas despiogiciels.

C.5.2

Analyse des fichiers journaux

Lentreprise effectue des analyses anonymes et pseudonymes des fichiers journaux dans le but de vrifier si le rglement dutilisation est respect.
Lanalyse anonyme est une analyse statistique des fichiers journaux qui seffectue sur la base des critres suivants: (Lentreprise ou lunit administrative concerne indiquera ici les critres quelle a retenus,
cf. chap. 8.3 du guide).
Lanalyse pseudonyme se fait par sondages uniquement. On indiquera ici le calendrier et la priode
pendant laquelle le sondage aura lieu (cf. chap. 8.4.1 du guide).
Les analyses pseudonymes (ou anonymes) portent sur des chantillons suffisamment grands de personnes pour garantir le caractre pseudonyme (ou anonyme) des analyses. Les fichiers journaux et leslistes de correspondance sont conservs sparment, par des personnes ayant des fonctions diffrentes. (Cf. chap. 8.3 du guide.)
Si lentreprise constate un abus lors dune analyse anonyme ou pseudonyme (ou quune analyse fait
natre un soupon dabus), elle procde une analyse nominative des fichiers journaux en utilisant la
liste de correspondance. Est considr comme abus toute violation du rglement dutilisation. Lorsquil y
a abus, lentreprise peut prononcer une des sanctions vises au point 5.8 du prsent rglement.
Sil savre quun soupon est infond, lentreprise interrompt immdiatement lanalyse nominative.
On indiquera ici la personne responsable de lanalyse nominative. En rgle gnrale, cette tche sera
assume par le conseiller la protection des donnes de lentreprise (cf. annexe B.3).
Si lanalyse des fichiers journaux ou dautres lments rvlent lexistence dun dlit ou font natre des
soupons dabus, lentreprise sauvegarde les fichiers journaux concerns. Elle se rserve le droit de dposer plainte contre la personne concerne. La suite de la procdure relve des autorits pnales.
Lentreprise sengage traiter les rsultats de lenqute de manire confidentielle, notamment lgard
des tiers non autoriss (tels que les autres collaborateurs de lentreprise).

37/42

Cest le suprieur hirarchique et non le service informatique qui dcidera si une plainte est dpose
ou non. Bien quil nexiste aucune obligation en la matire, il est recommand de le faire, du moins pour
les dlits poursuivis doffice, afin dcarter le risque que lentreprise ne soit dclare complice.

C.5.3

Surveillance exerce pour garantir la scurit et le bon fonctionnement du systme informatique ou sur la base dautres indices

Si lentreprise constate un dysfonctionnement du systme informatique en dpit des mesures de protection techniques prises, elle peut analyser les fichiers journaux pour en dterminer la cause.
Si le dysfonctionnement est d un abus, le collaborateur fautif peut faire lobjet dune des sanctions
vises au point 5.8.
Si lemployeur constate un abus ou quil pense quil y a eu abus parce que dautres indications le lui font
supposer, il peut consulter les fichiers journaux concerns et leurs analyses. En cas dabus, il peut prononcer lune des sanctions vises au point 5.8.

C.5.4

Distinction entre messages privs et messages professionnels

Les messages privs doivent tre signals en tant que tels (option Priv) par lexpditeur, que ce
dernier fasse partie de lentreprise ou non.
Lentreprise na le droit ni de consulter ni de traiter dune quelconque manire les messages privs signals comme tels.
Lorsque rien nindique la nature (professionnelle ou prive) du message et que les lments
dadressage ne permettent pas non plus de dterminer quil sagit dun message priv, lentreprise part
de lide quil sagit dun message de nature professionnelle. En cas de doute, lemployeur clarifie la
question avec lemploy. Les expditeurs, internes ou externes, doivent tre expressment informs sur
ce point.
Lentreprise vous recommande dutiliser un service Web de courrier lectronique si possible chiffr, afin
de mieux protger vos messages privs.
Le droit dutilisation dun service Web de courrier lectronique chiffr dpend de ce que prvoit le rglement dutilisation.
En vue de mieux distinguer le courrier professionnel du courrier priv, lentreprise pourra aussi dcider
que le courrier lectronique de nature professionnelle soit effectue avec des adresses fonctionnelles
plutt que nominatives (cf. chap. 8.5.2 du guide).

C.5.5

Surveillance du courrier lectronique de nature professionnelle

Lentreprise a le droit dtablir des fichiers journaux pour les messages dordre professionnel et, si ncessaire, de sauvegarder ces messages.
Ces fichiers journaux englobent notamment le champ Objet, la date et lheure denvoi ou de rception
du message, ladresse de lexpditeur et celle du destinataire.
38/42

C.5.6

Gestion du courrier lectronique dun collaborateur absent

Pour les absences prvisibles (telles que vacances, congs ou service militaire) comme dailleurs imprvisibles (maladie ou accident), lemploy dsigne un supplant qui aura le droit de lire et, si ncessaire,
de traiter les messages professionnels entrants. Le supplant naura pas accs aux messages signals
comme privs.
Les expditeurs externes de messages privs doivent tre informs du fait que les messages privs non
signals comme tels sont susceptibles dtre lus par un supplant.

C.5.7

Gestion du courrier lectronique dun collaborateur ayant quitt lentreprise

Lemploy qui va quitter lentreprise doit avant son dpart transfrer qui de droit les affaires pendantes
comme les messages lectroniques.
Il certifie par une dclaration quil a remis lentreprise tous les documents de nature professionnelle.
On doit lui offrir la possibilit de copier ses messages lectroniques et autres documents privs sur un
support priv, puis de les effacer des serveurs de lentreprise.
A la fin du dernier jour de travail au plus tard, son compte de courrier lectronique (comme du reste ses
autres comptes informatiques) sera bloqu et sa bote lettres (comme tous les autres supports de
donnes personnels) efface; cette rgle sapplique galement en cas de dcs.
Les personnes qui enverront un message ladresse bloque seront automatiquement informes du fait
que cette adresse nexiste plus. La rponse automatique pourra en outre leur indiquer une adresse alternative.

C.5.8

Sanctions en cas dabus

Si les conditions requises pour la surveillance et les rgles qui la rgissent ont t respectes,
lentreprise est en droit, lorsquelle constate un abus, de prendre des sanctions disciplinaires contre
lemploy fautif.
On numrera ici les sanctions possibles: avertissement, blocage de laccs Internet, demande de
dommages-intrts, suppression de primes, etc. (cf. chap. 10 du guide). Dans les cas extrmes, par
exemple si labus se reproduit malgr un avertissement et provoque une panne technique ou si un dlit
est prouv, lemployeur peut congdier lemploy. Le contrat de travail peut mme tre rsili avec effet
immdiat lorsquen toute bonne foi on ne peut plus exiger de lemployeur quil maintienne les rapports de
travail. Les sanctions doivent tre adaptes la gravit de labus et avoir t dfinies pralablement
dans le rglement de surveillance.
Avant deffacer des fichiers obtenus de manire abusive, nous informerons lemploy concern et lui
permettrons de copier les fichiers en question (messages lectroniques privs, etc.) sur un support de
donnes priv.

39/42

C.5.9

Prtentions de lemploy en cas de surveillance illicite

Si les conditions requises pour la surveillance et les rgles qui la rgissent ne sont pas respectes,
lemploy peut faire valoir les prtentions prvues par le code civil en cas datteinte la personnalit (cf.
art. 28 ss CC).
En cas de surveillance abusive par lentreprise, lemploy peut aussi engager une poursuite pnale
contre elle, par exemple pour violation du domaine secret ou du domaine priv au moyen dun appareil
quater
novies
de prises de vues (art. 179
CP) ou pour soustraction de donnes personnelles (art. 179
CP).

C.5.10 Autres dispositions

Les employs de notre entreprise sont rgulirement sensibiliss, par divers cours, aux risques en rapport avec le surf et le courrier lectronique.
Les services informatiques et les responsables hirarchiques de lentreprise prennent toutes les mesures techniques ncessaires pour empcher que les donnes personnelles quils traitent dans le cadre
dune surveillance ne tombent entre les mains de personnes non autorises.
Ils veillent en particulier assurer la confidentialit, la disponibilit et lintgrit de ces donnes.
Lemploy peut en tout temps demander lentreprise si des donnes le concernant sont traites et, le
cas chant, lesquelles.
Des donnes personnelles ne peuvent tre communiques des tiers non autoriss sans motif valable
ou sans laccord de la personne concerne. Les collgues de travail de la personne concerne sont
considrs comme des tiers.
Lentreprise na aucune obligation lgale de conserver les fichiers journaux. Elle peut toutefois le faire
pendant une dure limite (ne dpassant en gnral pas quatre semaines) sils sont susceptibles de
servir de moyens de preuve.
La dure de conservation dpendra du but de la journalisation. Dans le cadre dune procdure de sanction ou dune procdure pnale, les fichiers journaux pourront tre conservs jusqu lexpiration du dlai
de recours correspondant.

40/42

Notes
1

URL (Uniform Resource Locator): adresse unique dune ressource sur Internet, comme par ex.
http://www.indesirable.ch ou ftp://ftp.firme.ch/fichier.zip
2

Duden Informatik, 2 edition, Mannheim, Leipzig, Zurich, Vienne, 1993.

Par ex. le programme Stripes.exe de MS-DOS.

Consulter ce sujet le Guide relatif aux mesures techniques et organisationnelles de la protection

des donnes dit par le Prpos fdral la protection des donnes et la transparence.

Service Pack, Service Release, Hotfix, Patch, etc.)

Par ex. refuser les cookies ou dsactiver Javascript, pour empcher les coutes (Wiretap) du courrier lectronique
7

Un pare-feu est en mesure, grce au procd appel Network Address Translation (NAT), de remplacer une adresse IP personnelle par une adresse IP publique dentreprise, rendant ainsi une attaque
pirate depuis lextrieur pratiquement impossible.
8

HTTP, FTP, TELNET, NNTP, SMTP, etc.

Ghost Keylogger, WinWhatWhere Investigator, PC Activity Monitor, etc.

10

Les programmes de journalisation se sont pas avertis de la fermeture du navigateur.

11

Motion Fritz Reimann du 12 dcembre 1984 concernant la protection de la personnalit des employs.
12

Voir galement la rponse crite du Conseil fdral du 20 aot 1985 la motion Reimann ainsi que
les remarques du projet de directive au sujet de lart. 26 OLT 3.

13

Lors des travaux dlaboration de lart. 26 OLT 3 on avait dj fait remarquer, dans le contexte des
coutes tlphoniques, que les donnes accessoires compltes des communications tlphoniques ne
pouvaient tre analyses nominativement que si un abus concret avait t constat.

14

Consulter ce sujet le Guide relatif aux mesures techniques et organisationnelles de la protection

des donnes dit par le Prpos fdral la protection des donnes et la transparence.

15

Cf. le 9 rapport dactivits du Prpos fdral la protection des donnes et la transparence,

2001/2002, chap. 2.2.1, p. 19 ss, en particulier p. 21.

16

Si lanalyse rvle par exemple que le site Internet dun quotidien est rgulirement consult par un
pseudonyme en particulier, lemployeur a le droit de procder une analyse nominative pour dterminer
si la personne concerne est autorise consulter le site en question. La consultation du site peut se
justifier suivant la fonction de la personne (en loccurrence sil sagit du charg de presse).
17

Cf. 5e rapport dactivits du Prpos fdral la protection des donnes et la transparence,

1997/98, p. 42/178.
41/42

18

Un chiffrement peut tre obtenu en utilisant p. ex. le logiciel PGP (Pretty Good Privacy) ou un service Web de courrier lectronique tel que Hushmail.com. Il convient de prciser toutefois quune protection absolue nexiste que si les deux correspondants (expditeur et destinataire) utilisent un tel logiciel
ou un tel service de chiffrement.
19

Exemple de dclaration: Je confirme par la prsente dclaration que jai rendu lentreprise tous les
biens physiques et lectroniques qui lui appartiennent, y compris les biens intellectuels.

20

Ces experts conseillent les autorits dinstruction dans les domaines de la criminalit informatique et
de la criminalit utilisant des moyens informatiques. Ils sont associs aux enqutes prliminaires et aux
mesures de surveillance techniques au titre dexperts, aprs stre engags devant le juge respecter le
secret de fonction. Ils ont pour tche de sauvegarder les donnes numriques pouvant servir de preuves
au tribunal. Ils remettent lautorit dinstruction un rapport dexpertise comprenant leurs analyses et
leurs recommandations. Ils ont une grande responsabilit et peuvent tre appels prsenter leurs
conclusions devant le tribunal.
21

Cf. Brunner, Bhler, Waeber in Commentaire du contrat de travail, Union syndicale suisse, Lausanne, 1996, p. 42 ss.

42/42