forum Abc de la sécurité informatique

rahmani · 04-03-2008 11:25:02

Récemment recruté, je suis chargé de la sécurité des SI d’une société de transport et d’infrastructure.

Ma première mission étant d’élaborer une charte de bon usage des moyens informatiques et Internet, j’ai quelques interrogations concernant le droit des utilisateurs.

Le dossier Mes documents, constitue-t-il, aux yeux de la loi, un dossier privé et personnel ?

Si ce n’est pas le cas, comment un dossier privé doit-il être étiqueté (privé, personnel, ou autre) ???

Un administrateur a-t-il le droit de consulter des données privées véhiculées sur le réseau si celles-ci perturbent le bon fonctionnement du système? par exemple (si des utilisateurs stockent des vidéos, musiques, photos animations, et que le système émet une alerte : utilisation de 90% de l’espace de stockage), l’administrateur a-t-il le droit de consulter ces informations dans le cadre de l’entretien, l’optimisation, la maintenance, la détection d’abus, la surveillance du bon fonctionnement du système, etc… ?
Quelles seraient ses prérogatives ?
A-t-il le droit de les effacer, pour alléger les ressources ?
Dans quels cas peut-il agir et comment ?
Quelles sont les dispositions légales sur lesquelles, un administrateur peut-il s'appuyer pour agir ?

Merci.

habana · 06-03-2008 16:26:43

D'après ce que j'en comprends, tout dossier ne comportant pas la mention "personnel" ou "perso" est accessible par l'employeur. Je ne pense pas que "Mes documents", installé par défaut lors de l'installation d'un système

Mieux vaux t'en assurer en contactant la commission nationale informatique et libertés, qui t'apportera aussi les réponses légales sûres en la matière.

http://www.cnil.fr

grigori · 27-08-2008 22:00:54

Bonjour,

Les collaborateurs d'une entreprise ont droit à un espace personnel identifié sur leur poste ou la messagerie. Par exemple, un répertoire doit s'appeler personnel et un message doit avoir la mention personnelle dans le sujet.

Les administrateurs ont le droit de voir les données personnelles (parce qu’on ne peut pas faire autrement) mais ils ne peuvent pas s'en servir contre quelqu'un. A la question, peuvent-ils supprimer des fichiers perso, normalement c'est non (surtout s’ils sont tagués perso). Maintenant, tout est question de proportion et d'information envers l'utilisateur.

Pour plus d'infos, consulte le site www.cnil.fr et www.legalis.net, ce dernier est très instructif sur les cas qui ont fait jurisprudence.

Dernière modification par grigori (27-08-2008 22:01:18)

grenouille · 05-11-2008 23:33:33

"Un administrateur a-t-il le droit de consulter des données privées véhiculées sur le réseau si celles-ci perturbent le bon fonctionnement du système? par exemple (si des utilisateurs stockent des vidéos, musiques, photos animations, et que le système émet une alerte : utilisation de 90% de l’espace de stockage), l’administrateur a-t-il le droit de consulter ces informations dans le cadre de l’entretien, l’optimisation, la maintenance, la détection d’abus, la surveillance du bon fonctionnement du système, etc… ?"

A vérifier, mais je crois que sauf disposition contraire, l'ordinateur (et la connexion) sur le lieu de travail ne doit servir qu'à effectuer des opérations liées au travail. Si la mise à jour d'un ordinateur personnel ou l'échange d'email personnel peut-être toléré, il est évident que cette tolérance a pour limite le bon fonctionnement de l'outil de travail. Si celui-ci vient à être perturbé, il convient d'en prendre note et d'en référer aux instances supérieures pour d'éventuelles actions. Si ma mémoire est bonne, cela a pu aller jusqu'au licenciement pour faute grave (Cas d'employés utilisant le réseau Internet de leur entreprise pour faire fonctionner un site Internet, ou cas d'employés utilisant leur adresse email d'entreprise pour des sites pornographique (atteinte à l'image de l'entreprise)). En revanche, je crois que l'effacement des données personnelles par un administrateur système serait une faute.

Je crois que la règle généralement appliqué est: tant que ça ne fait pas de mal à l'entreprise, c'est toléré (= le patron décide si oui ou non). Mais vérifier sur les sites mentionnés par Grigori, de peur de faire une erreur. Deux risques me viennent à l'esprit: autoriser quelque chose qui ne puisse être révoqué par la suite, et agir (ex: en effaçant des données personnelles) d'une manière qui puisse être reprochée (légalement) à l'entreprise.