Gwendal Le Grand est secrétaire général adjoint de la Commission nationale de l’informatique et des libertés (Cnil). Entretien.
Pendant le télétravail, les employés sont surveillés. Jusqu’où ont le droit d’aller les entreprises ?
Il n'est pas interdit à un employeur de contrôler et de limiter l'utilisation d'Internet par ses employés, par exemple en utilisant le filtrage de sites ou la détection de virus. Mais il y a des limites à respecter. Les systèmes de keyloggers - qui permettent d'enregistrer à distance toutes les actions faites sur un ordinateur - sont en général hors limites. L'employeur ne peut pas non plus recevoir de copie automatique de tous les messages écrits ou reçus, ou conserver indéfiniment les journaux de connexion.
à lire aussi Cnil : «Nous ferons plusieurs séries de contrôles»
Avec la généralisation du télétravail, de nouvelles inquiétudes pour la protection des données ont-elles émergé ?
On observe une amplification de l’usage d’un certain nombre d’outils numériques et un recours massif à tous les outils de travail à distance, de visioconférence, de partage de documents, d’utilisation de VPN. De nombreuses entreprises n’étaient pas prêtes. Sur le moyen terme, il y aura probablement une évolution des méthodes de travail et de management. La crise sanitaire a mis en évidence la dépendance des entreprises aux outils informatiques. Et certains soulèvent des interrogations sur la protection des données personnelles.
Un employeur peut-il contrôler le matériel personnel d’un employé qui se connecte au réseau de l’entreprise ?
Le Bring Your Own Device (BYOD) désigne l’usage d’équipements informatiques personnels dans un contexte professionnel. L’employeur peut l’interdire ou l’autoriser sous conditions. Il faut tenir compte des intérêts et des inconvénients car cet usage brouille la frontière entre vie personnelle et vie professionnelle. S’il autorise le BYOD, l’employeur doit veiller au respect de la vie privée de ses employés. Il n’est ainsi pas possible de prévoir des mesures de sécurité - comme interdire la navigation sur Internet ou le téléchargement d’applications mobiles - qui peuvent entraver l’utilisation d’un smartphone dans un cadre privé. De la même manière, l’employeur ne peut pas accéder à des éléments relevant de la vie privée stockés dans l’espace personnel de l’équipement (liste des sites internet consultés, photos, films, agenda, annuaire). Mais il doit pouvoir accéder au contenu professionnel stocké dans ce terminal.
Des logiciels de télésurveillance des examens font également leur entrée dans les établissements d’enseignement supérieur. Comment fonctionnent-ils ?
Différentes technologies sont utilisées par ces systèmes : vidéo continue ou prise de photographies aléatoires ; télésurveillance en temps réel ou a posteriori, avec ou sans recours à des algorithmes de détection de la fraude ; utilisation d’un outil permettant à un superviseur de prendre la main à distance sur l’ordinateur de l’étudiant afin de surveiller l’activité de celui-ci pendant la réalisation de l’examen, notamment en vérifiant l’accès aux boîtes mail et réseaux sociaux, etc.
Quel est le cadre légal à respecter ?
Ces systèmes de surveillance d'examens à distance traitent des données personnelles, quelles que soient les technologies utilisées. Ils sont donc soumis au règlement général sur la protection des données (RGPD) et à la loi informatique et libertés. Conformément au RGPD, il faut d'abord déterminer une base légale à leur utilisation, comme l'exécution d'une mission d'intérêt public, qui peut être utilisée par les universités ou les établissements privés d'enseignement supérieur. A cet égard, le choix de dématérialiser la validation des enseignements doit en principe être arrêté en début d'année par chaque établissement. Néanmoins, au regard de l'état d'urgence sanitaire, il est possible de modifier cette modalité jusqu'à deux semaines avant le début des épreuves.
Ce sont les seules contraintes ?
Non, il faut ensuite définir une finalité : les informations des étudiants ne peuvent être traitées et utilisées que dans un but précis, légal, légitime et défini à l’avance. Ensuite, en accord avec le principe de proportionnalité, s’il existe des moyens de surveillance moins intrusifs, il faut les privilégier. Il peut aussi y avoir une obligation de réaliser une analyse d’impact pour montrer que l’établissement a compris et traité les risques, notamment en cas de recours à une technologie innovante. La conservation des données doit être limitée dans le temps et celles-ci doivent être sécurisées. Enfin, les étudiants doivent être informés de manière claire et complète au moment du recueil des données.
La Cnil a déterminé que certains logiciels de télésurveillance ne semblaient pas suivre le principe de proportionnalité…
Les dispositifs qui permettent de prendre le contrôle, à distance, de l’ordinateur pour vérifier les mails et les réseaux sociaux, ainsi que ceux qui reposent sur le traitement de données biométriques semblent, par principe, disproportionnés. Les clichés sont suffisants et moins intrusifs que la reconnaissance faciale. D’autres, comme la surveillance en temps réel, n’apparaissent pas disproportionnés, car dans une salle d’examenles étudiants sont aussi observés par un surveillant. S’il est nécessaire de se prononcer sur le respect des règles, la Cnil examinera ces outils au cas par cas.
à lire aussi Télétravaillez, vous êtes fliqués
Quels sont les recours disponibles si un établissement ou une entreprise ne respecte pas les réglementations ?
Il y a la possibilité pour un citoyen de déposer une plainte auprès de la Cnil, qui peut donner lieu à des contrôles et, dans certains cas, à des mises en demeure ou à des sanctions.