Espionnage via le clavier du salarié : la Cnil rappelle à l’ordre une société

photo_1363799465791-1-1.jpg
à Paris, le 29 janvier 2013 (Photo : Lionel Bonaventure)

[20/03/2013 17:18:08] PARIS (AFP) La Commission nationale de l’informatique et des libertés (Cnil) a annoncé mercredi avoir “mis en demeure” une société française -qu’elle refuse de nommer- pour qu’elle cesse d’utiliser des logiciels permettant d’espionner ses salariés via les frappes effectuées sur le clavier.

Appelés “keyloggers”, ces logiciels peuvent être téléchargés gratuitement sur internet et démarrent automatiquement à chaque ouverture d’une session d’ordinateur, à l’insu de son utilisateur.

“Ils permettent, selon les versions, d’enregistrer toutes les actions effectuées par les salariés sur leur poste informatique sans que ceux-ci s’en aperçoivent. Toute frappe saisie sur le clavier ou tout écran consulté est enregistré avec un horodatage”, indique la Cnil dans son communiqué.

“Des alertes peuvent être automatiquement envoyées à la personne ayant installé le dispositif lorsque le salarié ainsi surveillé saisit sur son clavier un mot prédéterminé”, précise-t-elle.

En fonction de son paramétrage, “le dispositif permet également de générer des rapports, récapitulant l’ensemble des actions faites à partir d’un poste informatique, qui sont directement envoyés sur le poste informatique de celui qui aura installé le logiciel espion”, poursuit la Cnil.

“Ce type d’outil ne peut pas être utilisé dans un contexte professionnel, à l’exception de forts impératifs de sécurité”, rappelle la Commission, qui cite à titre d’exemple la lutte contre la divulgation de secrets industriels.

Elle indique avoir reçu en 2012 “plusieurs plaintes de salariés” – qui travaillent dans deux sociétés françaises – “qui dénonçaient l’installation, réelle ou supposée, sur leur poste informatique de dispositifs du type +keylogger+”.

Ces plaintes ont conduit la Cnil “à effectuer des contrôles auprès des sociétés mises en cause afin de vérifier dans quelles conditions ces dispositifs très particuliers de cybersurveillance étaient utilisés”.

“Le contrôle de l’une de ces sociétés a permis de constater la mise en place effective d’un dispositif de ce type, à l’insu des salariés”, indique la Cnil, qui ne souhaite pas nommer la société ni préciser son secteur d’activité mais a seulement indiqué à l’AFP qu’il s’agissait d’une entreprise française.

La Cnil a ainsi “mis en demeure la société de cesser le traitement des données avec le logiciel en cause”, estimant que le dispositif utilisé “portait une atteinte excessive à la vie privée des salariés concernés et qu’il était, dès lors, illicite au regard de la Loi informatique et libertés”.

Un tel logiciel “conduit celui qui l’utilise à pouvoir exercer une surveillance constante et permanente sur l’activité professionnelle des salariés concernés mais aussi sur leur activité personnelle résiduelle effectuée à partir du poste informatique”, souligne la Commission.

Les données enregistrées par un tel outil peuvent ainsi concerner aussi bien des mails émis ou reçus, des conversations de messagerie instantanée, un numéro de carte bancaire ou le mot de passe d’une boîte mail personnelle.