Votre employeur peut espionner vos communications chiffrées, et la CNIL est d'accord

02/04/2015 à 18h04 Mis à jour le 02/04/2015 à 18h16

La Commission nationale informatique et libertés donne sa bénédiction au déchiffrement des flux HTTPS des salariés, à condition que cette pratique soit encadrée. Il reste néanmoins une zone de flou juridique côté pénal...

Saviez-vous que certains employeurs déchiffrent systématiquement les flux HTTPS de leurs salariés lorsqu’ils surfent sur Internet ? Ils disposent pour cela d’un équipement appelé « SSL Proxy » qui se place entre l’utilisateur et le serveur Web. Cette boîte magique déchiffre tous les échanges en usurpant l’identité du service interrogé (google.com, par exemple), par l’utilisation d’un certificat bidon. La pratique n’est pas du tout récente, mais se fait de manière un peu cachée en raison d'incertitudes juridiques et de l'impopularité de cette mesure auprès des salariés. Les directeurs informatiques n’ont, par conséquent, pas une folle envie d’en faire la publicité.

Mais l’employeur peut se rassurer : la CNIL vient de publier une note qui clarifie les choses. Ainsi, la Commission estime que le déchiffrement des flux HTTPS est parfaitement « légitime », car elle permet à l’employeur d’assurer « la sécurité de son système d’information », en bloquant les éventuels malwares qui s’y trouveraient. Evidemment, ce n’est pas la seule raison : ces équipements sont également utilisés pour prévenir les fuites d’informations. Un salarié qui enverrait des documents confidentiels à un concurrent pourrait, ainsi, être facilement repéré.

Infraction pénale ou pas ?

Toutefois, la CNIL met un (petit) bémol. L’utilisation de cette technique de surveillance doit être « encadrée ». Ainsi, les salariés doivent être informés en amont et de manière « précise » sur cette mesure : raisons invoquées, personnes impactées, nature de l’analyse effectuée, données conservées, modalités d’investigation, etc. L’employeur doit également mettre en place une « gestion stricte des droits d’accès des administrateurs aux courriers électroniques ». Autrement dit : éviter que tous les membres du service informatique puissent fouiller dans les messageries. Par ailleurs, les « traces conservées » doivent être réduites au minimum.

Il reste néanmoins une petite zone de flou juridique, nous explique la CNIL. En effet, le Code pénal interdit théoriquement « d’entraver ou de fausser le fonctionnement d’un système de traitements automatisés de données (STAD) ». Or, quand l’entreprise déchiffre les flux Gmail de ses salariés, on peut estimer que cela fausse le fonctionnement du STAD d’un tiers, à savoir Google. Cela pourrait donc constituer une infraction. Conclusion de la CNIL : il faudrait peut-être modifier le Code pénal pour que l’employeur puisse réellement surveiller ces flux chiffrés en toute tranquillité. Décidément, la situation n'est pas encore totalement claire...

A lire aussi :
Des milliers d’applis Android et iOS restent vulnérables à Freak, la faille HTTPS - 18/03/2015

Source :
CNIL

Gilbert Kallenborn

Votre opinion

10 opinions

LeCousinDeMaCousine 10/04/2015 à 22h18

C'est le temps moyen qu'un employé passe pour son usage privé. (voir clubic) Imaginez 50 mn par employé çà en fait des messages à vérifier; pauvre patron !
marsu0lami 06/04/2015 à 21h22

Et vous verrez que même un VPS ( réseau privé virtuel crypté ) se hacke.
marsu0lami 06/04/2015 à 21h20

Sur votre réseau et votre device uniquement.
marsu0lami 06/04/2015 à 21h19

Et si vous vous faites powned avec votre accés privé et que cela met toute l'entreprise en danger ?
LeCousinDeMaCousine 04/04/2015 à 15h04

Que diriez-vous si vous saviez que quelqu'un se connecte sur votre box pour surfer sur internet ??? Que vous n'êtes pas d'accord et que vous voulez savoir qui a fait quoi !
artemus24 03/04/2015 à 19h07

Salut. D'où l'intérêt d'avoir un VPN. Mais franchement je ne voie pas l'intérêt de ce flicage, juste pour dire à untel qu'il devrait passer un peu moins de temps sur les réseaux sociaux. Après tout, ce qui est important, c'est que le travail demandé se fasse en temps et en heure. Il reste le problème de l'usage de son ordinateur pour des activités non professionnelles. Par principe, je n'aime pas du tout être surveillé en permanence car j'ai l'impression d'être sur le fil du rasoir. Je n'ai rien à cacher mais à la base, il faut établir une relation de confiance avec son patron. Mais que cherche vraiment le patron par ce genre d'agissement ? Trouver des motifs de licenciement ? Ou augmenter la sécurité de son entreprise ?
En tout cas, ce n'est pas en soupçonnant tout le monde qu'il arrivera à créer un climat de confiance.
LeCousinDeMaCousine 03/04/2015 à 16h08

Si vous passez par le réseau du patron il a bien le droit de surveiller son réseau !
On reproche assez aux entreprises de ne pas assez se protéger.

Pendant votre pause, avec votre matériel et hors réseau de l'entreprise ok !
Narc0 03/04/2015 à 11h09

aucun inconvénient à ce que votre employeur vous filme dans les toilettes alors ?

Sans rire , avant de pensez au tire au flanc ,si votre employeur vous permet de vérifier vos mails perso pendant votre temps de pause ( oui , l'esclavage c'est terminé ) je ne pense pas que ce soit pour les lire.
LeCousinDeMaCousine 03/04/2015 à 09h07

On n'est pas payé pour faire au boulot ce qu'on peut faire ailleurs.
taupette 03/04/2015 à 08h20

Cela veut aussi dire que je n'ai pas intérêt à consulter mes informations bancaires, mes informations de santé , des sites politiques sur mon poste de travail .
Heureusement qu'on peux encore amener son ordinateur portable au boulot : d'ailleurs, je ne vais plus travailler que comme ça !