Fil d'actualité Protection des données personnelles

Protection des données personnelles

Centre national de la recherche scientifique

Accueil du siteGuides, rapports et documentsJuridiqueFiltrage et internet au bureau : Enjeux et cadre juridique en France

Filtrage et internet au bureau : Enjeux et cadre juridique en France

Page publiée le 7 décembre 2015

Filtrage et internet au bureau : Enjeux et cadre juridique en France

Source Olfeo et Cabinet Bensoussan


 Présentation

Aujourd’hui, mettre en place un outil de filtrage de contenus et loguer l’utilisation d’Internet des utilisateurs est un devoir pour chaque établissement afin de respecter la loi en vigueur.

La question n’est donc plus "peut-on filtrer et loguer ?" mais bien comment déployer de telles solutions en conformité avec la loi française ?

Depuis 2009, Olfeo travaille en étroite collaboration avec le Cabinet d’avocats Alain Bensoussan afin de proposer une expertise juridique à ses clients et développer une solution offrant une protection juridique optimale.

Fort de ce partenariat, Olfeo co-écrit un livre blanc juridique avec le Cabinet qui aborde notamment le plan de déploiement d’une solution de filtrage.

 Sommaire

SOMMAIRE

  • I. LES ASPECTS JURIDIQUES DU FILTRAGE
    • I.1 LE DROIT DE FILTRER – ASPECT LÉGAL
    • I.2 LE DROIT DE FILTRER - ASPECT JURISPRUDENTIEL
    • I.3 LE DROIT DE FILTRER - BONNES PRATIQUES ET NORMES
    • I.4 LE FILTRAGE ET LES USAGES
    • I.5 LE DROIT DE LOGUER
    • I.6 LE DROIT DES CHARTES D’UTILISATION DES SYSTÈMES D’INFORMATION
  • II. LES USAGES PARTICULIERS DU FILTRAGE
    • II.1 LES RÉSEAUX SOCIAUX ET L’ENTREPRISE
    • II.2 LES ACCÈS INVITÉS AU RÉSEAU INTERNET DE L’ENTREPRISE
    • II.3 LES FLUX SÉCURISÉS : HTTPS, FTPS…
    • II.4 LE FILTRAGE ÉTENDU
    • II.5 BYOD (BRING YOUR OWN DEVICE)
  • III. NE PAS FILTRER, NE PAS LOGUER : QUELLES CONSÉQUENCES ?
    • III.1 QUEL DROIT APPLIQUER ?
    • III.2 QUELS RISQUES ?
    • III.3 QUI EST RESPONSABLE ?
  • IV. PLAN DE DÉPLOIEMENT
    • IV.1 ÉTAPE 1 : LE CHOIX DE LA SOLUTION
    • IV.2 ÉTAPE 2 : LE RESPECT DU DROIT INFORMATIQUE ET LIBERTÉS
    • IV.3 ETAPE 3 : LE RESPECT DU DROIT DU TRAVAIL
    • IV.4 ETAPE 4 : L’ADMINISTRATION ET PARAMÉTRAGE DE LA SOLUTION
    • IV.5 ETAPE 5 : LA GESTION DES LOGS
    • IV.6 ÉTAPE 6 : LE MAINTIEN EN CONDITIONS OPÉRATIONNELLES
  • V. DIMENSION INTERNATIONALE DU FILTRAGE
    • V.1 LA NÉCESSITÉ DE RESPECTER LA RÉGLEMENTATION LOCALE
    • V.2 LA NÉCESSITÉ DE FILTRER : UNE PRISE DE CONSCIENCE INTERNATIONALE
  • VI. LES RÈGLES D’OR DU FILTRAGE : COMMENT PROTÉGER SON ORGANISATION DE L’ USAGE D’ INTERNET CONFORMÉMENT AU DROIT ?
  • VII. EN SAVOIR PLUS
    • VII.1 POUR ALLER PLUS LOIN
    • VII.2 A PROPOS DU CABINET D’AVOCATS ALAIN BENSOUSSAN
    • VII.3 A PROPOS D’OLFEO

 Télécharger le livre blanc

PDF - 1.3 Mo
Filtrage et internet au bureau

Enjeux et cadre juridique en France


cliquer l’image pour télécharger le document

 Déclaration CNIL

Un outil de filtrage permet l’accès à des "données à caractère personnel". Ces données peuvent être collectées, saisies, enregistrées, consultées, éditées. Elles font donc l’objet d’un traitement. De fait, toute entité qui met en œuvre un outil de filtrage permettant un contrôle individuel, doit obligatoirement déclarer cet outil à la CNIL (sauf si l’entreprise dispose d’un CIL).

DÉCLARATION DITE "NORMALE" DE LA CNIL :

  • Déclaration normale de la CNIL
  • La finalité du traitement
  • Les données à caractère personnel traitées
  • Les catégories de personnes concernées
  • La durée de conservation des données établie
  • L’indication de la date à laquelle les instances représentatives du personnel ont été consultées sur la mise en place des outils de filtrage.

 Code du travail

  • LE PRINCIPE DE DISCUSSION COLLECTIVE : L’IMPLÉMENTATION COLLECTIVE
  • LE PRINCIPE DE TRANSPARENCE : L’INFORMATION DES SALARIÉS

Voir ICI la suite de cet article

 Paramétrage et administration

L’employeur doit veiller à ce que les modalités d’utilisation de la solution respectent les dispositions réglementaires.

LES CATÉGORIES DE FILTRAGE DOIVENT ÊTRE NON DISCRIMINATOIRES
S’il est normal, voire obligatoire d’interdire l’accès à certains contenus (pédopornographie, racisme, téléchargement illégal…) certaines restrictions constituent une discrimination.

Ainsi, créer une politique de filtrage autour de thématiques telles que l’homosexualité peut être considéré comme une atteinte aux libertés fondamentales des individus. De même, l’outil de filtrage ne doit pas disposer de catégorie de ce type, permettant aux administrateurs d’avoir accès à des informations, telles que l’orientation sexuelle, qui relèvent de la vie privée.

LE BLOCAGE DOIT ÊTRE NON DISCRIMINATOIRE
Prenons l’exemple de la politique, les administrateurs de la solution ne peuvent pas autoriser les sites d’un certain bord politique et bloquer les autres en fonction de leurs convictions personnelles (même chose avec les religions).

LES POLITIQUES DE FILTRAGE DOIVENT ÊTRE LES MÊMES D’UN SALARIÉ À UN AUTRE OCCUPANT LE MÊME POSTE
Il est essentiel d’assurer le même niveau de paramétrage de la solution pour tous les utilisateurs occupant un même poste, afin de ne pas discriminer les utilisateurs. Cependant, si un utilisateur met en péril la sécurité du système d’information, il peut être justifié de limiter ses accès Internet. Il convient d’avoir préalablement informé l’employé de cette possibilité (par exemple en prévoyant un paragraphe spécifique sur ce type de sanction dans la charte Internet), et de l’informer individuellement par mail ou par courrier que son accès va être limité.

 Logs

En matière de logs, il existe une combinaison de plusieurs dispositions qui stipulent des durées de conservation variables :

  • La directive européenne prévoit une durée minimale de 6 mois et maximal de 2 ans.
  • L’article 6 de la loi pour la confiance dans l’économie numérique prévoit une durée de 1 an.
  • La Loi relative à la lutte contre le terrorisme préconise 1 an.
  • La CNIL recommande 6 mois à des fins de contrôle des utilisateurs.

Dans le respect des lois françaises et au vu du cas de jurisprudence BNP, condamnée pour ne pas avoir pu fournir les logs nominatifs lors d’une réquisition judiciaire, il est recommandé de conserver 365 jours de logs de connexion.

 Liens

http://www.olfeo.com/proteger-votre...
http://www.alain-bensoussan.com/
http://www.olfeo.com/sites/olfeo/fi...

Article publié avec l’aimable autorisation d’Olfeo et du Cabinet Bensoussan