SÉNAT DE BELGIQUE
________
Session 2012-2013
________
22 avril 2013
________
SÉNAT Question écrite n° 5-8830

de Nele Lijnen (Open Vld)

à la ministre de la Justice
________
Personnel - Administration fédérale - Surveillance - Contrôle du courriel et de l'utilisation du web - Écoutes de conversations téléphoniques - Vie privée - Plaintes - Évaluation
________
protection des communications
protection de la vie privée
fonction publique
devoirs du fonctionnaire
courrier électronique
Internet
ministère
fonctionnaire
________
22/4/2013Envoi question
3/6/2013Réponse
________
Aussi posée à : question écrite 5-8822
Aussi posée à : question écrite 5-8823
Aussi posée à : question écrite 5-8824
Aussi posée à : question écrite 5-8825
Aussi posée à : question écrite 5-8826
Aussi posée à : question écrite 5-8827
Aussi posée à : question écrite 5-8828
Aussi posée à : question écrite 5-8829
Aussi posée à : question écrite 5-8831
Aussi posée à : question écrite 5-8832
Aussi posée à : question écrite 5-8833
Aussi posée à : question écrite 5-8834
Aussi posée à : question écrite 5-8835
Aussi posée à : question écrite 5-8836
Aussi posée à : question écrite 5-8837
Aussi posée à : question écrite 5-8838
Aussi posée à : question écrite 5-8839
Aussi posée à : question écrite 5-8840
________
SÉNAT Question écrite n° 5-8830 du 22 avril 2013 : (Question posée en néerlandais)

On a appris récemment que les dirigeants d'entreprise contrôlaient de plus en plus souvent les activités sur ordinateur de leur personnel. Ainsi, dans un échantillon de 413 personnes, un patron sur trois contrôlerait les courriels des membres de son personnel, la moitié contrôlerait l'usage du web et cinq pour cent écouteraient même les conversations téléphoniques. Dans certains secteurs, le compte de courrier électronique d'un membre du personnel est lié à un alias, de sorte qu'un supérieur peut lire tous ses messages.

J'aimerais vous poser les questions suivantes :

1) Comment évaluez-vous cette information ? Estimez-vous souhaitable qu'un supérieur puisse contrôler, par exemple, les courriels ou l'utilisation du web d'un membre du personnel ? Considérez-vous que ce soit une violation de la vie privée ou trouvez-vous cela acceptable puisque ce contrôle se produit dans un cadre professionnel ? Trouvez-vous cela acceptable si le travailleur est clairement au courant qu'il peut être contrôlé ?

2) Y a-t-il déjà eu des plaintes de membres du personnels à propos de pareilles pratiques ? Des personnes se sont-elles donc déjà plaintes d'une violation de leur vie privé à cause de ces pratiques ? Pouvez-vous étayer votre réponse de données chiffrées pour autant que vous en dispossiez ?

3) Même si vous n'êtes au courant d'aucune pratique de contrôle de ce genre, savez-vous si le matériel ou le système informatique de votre Service public fédéral pourrait permettre de contrôler l'utilisation du web ? Les boîtes de courriels ou le trafic de courriels sont-ils surveillés ou activement contrôlés ? Pouvez-vous expliquer ce qu'il en est dans votre SPF ?

4) Est-il possible d'écouter les conversations téléphoniques ? Si c'est possible, pouvez-vous vous en expliquer ?

5) Vos travailleurs sont-ils informés sur les contrôles possibles et sur le respect de leur vie privée ? Savent-ils donc ce qui peut ou ne peut pas être contrôlé ? Pouvez-vous expliquer la situation ?

6) Un travailleur peut-il visiter tous les sites sur le web, ou certains sites sont-ils bloqués ? S'il y a blocage, pourquoi ? Pouvez-vous expliquer la situation  ?

7) Le résultat de pareils contrôles (courriels, internet, téléphone, etc.) peut-il être utilisés lors d'une évaluation des prestations d'un travailleur ? Pouvez-vous expliquer la situation ?

Réponse reçue le 3 juin 2013 :

1. Il convient d’abord de signaler que l’accès aux données de communication électroniques ou aux données d'Internet ne relève pas uniquement d’une question de surveillance – vérifier si le personnel n'exagère pas dans son utilisation de l'Internet et de la messagerie électronique de l'employeur à des fins privées – mais également de la gestion des informations et de l’organisation de l’activité de l’employeur : il s’agit notamment de s’assurer de la conservation de la correspondance électronique, de prendre des mesures afin de garantir la sécurisation des données informatiques et la performance du réseau informatique ainsi que de permettre une continuité du service en cas d’absence ou de départ du travailleur.

Au niveau du Service public fédéral (SPF) Justice, un contrôle de l’utilisation de l’e-mail, de l’Intranet et d’Internet d’un collaborateur ne peut être effectué que dans le respect des trois principes de base suivants :

« Le principe de finalité » : Le contrôle n’est autorisé que si au moins un des objectifs suivants est poursuivi :

  1. Prévenir les faits illicites ou diffamatoires, les faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’une personne, (par exemple piratage/hacking, prise de connaissance de certaines données non autorisées, consultation de sites pédophiles, pornographiques, xénophobes ou incitant à la violence,…).

  2. Protéger les intérêts économiques, commerciaux et financiers du SPF Justice et lutter contre les pratiques contraires (p.ex. publicité dénigrante pour le SPF, divulgation de fichiers confidentiels, ..).

  3. Assurer la sécurité et/ou le bon fonctionnement technique des systèmes de réseau IT du SPF, y compris en contrôlant les coûts que cela engendre et en veillant à la protection physique des installations de l’entreprise ;p.ex. téléchargement de fichiers très volumineux, téléchargement de fichiers susceptibles de contenir des virus.

  4. Respecter les principes et règles en vigueur au sein du SPF pour l’utilisation des technologies on-line, c à d le code de déontologie.

« Le principe de proportionnalité ».

Le Principe de proportionnalité signifie que ne sont collectées et traitées en vue du contrôle que les données de communication électronique en réseau (PC, PC portable,…) qui sont nécessaires au contrôle.

Le principe de contrôle doit se faire dans le respect de la vie privée du travailleur.

« Le principe de transparence ».

Le principe de transparence signifie que l’information est réalisée de manière collective et individuelle, et de manière claire et compréhensible, sur toutes les règles en la matière, sur l’obligation du respect de ces règles et sur les aspects du contrôle.

Comme stipulé dans le cadre de la recommandation n°08/2012 du 2 mai 2012, la commission estime que l’employeur dispose d’une autorisation légale d’accès aux informations au sens de l’article 125, §1, 1° de la loi relative aux communications électroniques, pour autant que l’employeur respecte les trois principes de base évoqués ci-dessus dont le respect est jugé essentiel pour la protection de la vie privée des travailleurs lors d’un traitement de leurs données à caractère personnel.

Au niveau du SPF Justice, seul le contrôle des données relatif aux e-mails, à l’utilisation d’Internet ou à l’utilisation des banques de données d’un collaborateur réalisé dans ce cadre strict est autorisé. Le collaborateur a connaissance de ces règles d’utilisation des moyens informatiques et de contrôle qui sont détaillées dans le code de conduite du SPF Justice. Ce code de conduite sera adapté en fonction des avis émis par la Commission de protection de la vie privée.

2. Nous n’avons pas reçu de plaintes de membres du personnel pour violation de la vie privée dans le cadre du contrôle de l’utilisation des moyens informatiques. Il faut cependant rappeler que le contrôle des données individualisées peut uniquement être demandé au service d’encadrement ICT s’il existe, sur la base de faits déterminés, une suspicion d’utilisation illicite par un membre du personnel déterminé.

3. Dans le respect des principes de contrôle évoqués à la question 1, le service ICT peut prendre toutes les mesures nécessaires afin de garantir la performance du réseau et de protéger l’information du SPF Justice.

A cette fin, les techniques suivantes peuvent notamment être appliquées :

  • contrôle des logsfiles sur les machines qui donnent accès à l’internet ;

  • contrôle des rapports de mails entrés via l’internet en fonction des mesures antispam, antivirus,etc. ;

  • contrôles des rapports de diffusion des updates antivirus sur tous les clients du réseau interne et des rapports de la présence de virus, malware, spyware,…sur les PCs de toute l’organisation ;

  • contrôle des logsfiles des servers mail, des servers d’application, de fichiers, d’impression, de réseau ;

  • accès aux databases mail et boîtes mail et aux backups en cas de dysfonctionnements techniques signalés ou soupçonnés.

4. Les écoutes téléphoniques ne peuvent se faire que dans le cadre du respect des dispositions du code d’instruction criminelle relatives à la localisation de télécommunication et des écoutes, de la prise de connaissance et de l'enregistrement de communications et de télécommunications privées (art. 90 ter e.s.). En ce qui concerne les règles d’utilisation des lignes fixes et des GSM mis à disposition du SPF Justice, une note a également été communiquée à l’ensemble des collaborateurs.

5. Le SPF Justice dispose d’un code de conduite intitulé « Les règles de conduite concernant l’utilisation de moyens informatiques, le traitement électronique de données et l’utilisation d’Internet, de l’Intranet et de l’e-mail » qui est applicable aux membres du personnel statutaire et contractuel du SPF Justice (y compris les stagiaires et les étudiants) à l’exception des agents de la Sûreté d’état (qui ont leur propre réglementation) et des membres et du personnel de l’Ordre Judiciaire (qui ont reçu par circulaire une règlementation adaptée à leur fonction).

Ce code de conduite est disponible sur l’Intranet du SPF Justice et est régulièrement mis à jour en fonction de l’arrivée de nouvelles technologies. Le code de conduite stipule que « L’ensemble des logiciels et du matériel que le SPF Justice met à la disposition de ses collaborateurs pour l’exercice de leur fonction reste sa propriété et ne peut en principe être utilisé qu’à des fins professionnelles, c’est-à-dire dans le cadre des tâches qui sont confiées à chaque collaborateur. Cependant, ces logiciels et ce matériel peuvent être utilisés à des fins privées à titre exceptionnel, dans une mesure restreinte et avec la prudence nécessaire afin de ne pas surcharger le réseau. En tous les cas, l’utilisation personnelle ne peut nuire à l’utilisation professionnelle ». Il décrit également de manière détaillée la procédure de contrôle.

6. Le Comité de Direction a déterminé la liste des catégories de sites Internet qui peuvent être consultés ou qui sont interdits suivant les nécessités de la fonction exercée par l’utilisateur ou en raison d’un danger pour la sécurité des systèmes informatiques du SPF Justice. La liste des catégories de sites autorisés ou exclus est continuellement actualisée. cinq profils d’utilisateur Internet ont ainsi été définis (restricted, standard, média, extended, full).

7. Nous ne disposons actuellement pas d’un instrument de mesure nous permettant de déterminer les conséquences de cette politique d’utilisation des moyens informatiques sur les performances des collaborateurs.