SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
22 avril 2013 22 april 2013
________________
Question écrite n° 5-8830 Schriftelijke vraag nr. 5-8830

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

à la ministre de la Justice

aan de minister van Justitie
________________
Personnel - Administration fédérale - Surveillance - Contrôle du courriel et de l'utilisation du web - Écoutes de conversations téléphoniques - Vie privée - Plaintes - Évaluation Personeel - Federale administratie - Monitoring - Controle e-mails en surfgedrag - Afluisteren telefoongesprekken - Privacy - Klachten - Evaluatie 
________________
protection des communications
protection de la vie privée
fonction publique
devoirs du fonctionnaire
courrier électronique
Internet
ministère
fonctionnaire
telefoon- en briefgeheim
eerbiediging van het privé-leven
overheidsapparaat
plichten van de ambtenaar
elektronische post
internet
ministerie
ambtenaar
________ ________
22/4/2013 Verzending vraag
3/6/2013 Antwoord
22/4/2013 Verzending vraag
3/6/2013 Antwoord
________ ________
Aussi posée à : question écrite 5-8822
Aussi posée à : question écrite 5-8823
Aussi posée à : question écrite 5-8824
Aussi posée à : question écrite 5-8825
Aussi posée à : question écrite 5-8826
Aussi posée à : question écrite 5-8827
Aussi posée à : question écrite 5-8828
Aussi posée à : question écrite 5-8829
Aussi posée à : question écrite 5-8831
Aussi posée à : question écrite 5-8832
Aussi posée à : question écrite 5-8833
Aussi posée à : question écrite 5-8834
Aussi posée à : question écrite 5-8835
Aussi posée à : question écrite 5-8836
Aussi posée à : question écrite 5-8837
Aussi posée à : question écrite 5-8838
Aussi posée à : question écrite 5-8839
Aussi posée à : question écrite 5-8840
Aussi posée à : question écrite 5-8822
Aussi posée à : question écrite 5-8823
Aussi posée à : question écrite 5-8824
Aussi posée à : question écrite 5-8825
Aussi posée à : question écrite 5-8826
Aussi posée à : question écrite 5-8827
Aussi posée à : question écrite 5-8828
Aussi posée à : question écrite 5-8829
Aussi posée à : question écrite 5-8831
Aussi posée à : question écrite 5-8832
Aussi posée à : question écrite 5-8833
Aussi posée à : question écrite 5-8834
Aussi posée à : question écrite 5-8835
Aussi posée à : question écrite 5-8836
Aussi posée à : question écrite 5-8837
Aussi posée à : question écrite 5-8838
Aussi posée à : question écrite 5-8839
Aussi posée à : question écrite 5-8840
________ ________
Question n° 5-8830 du 22 avril 2013 : (Question posée en néerlandais) Vraag nr. 5-8830 d.d. 22 april 2013 : (Vraag gesteld in het Nederlands)

On a appris récemment que les dirigeants d'entreprise contrôlaient de plus en plus souvent les activités sur ordinateur de leur personnel. Ainsi, dans un échantillon de 413 personnes, un patron sur trois contrôlerait les courriels des membres de son personnel, la moitié contrôlerait l'usage du web et cinq pour cent écouteraient même les conversations téléphoniques. Dans certains secteurs, le compte de courrier électronique d'un membre du personnel est lié à un alias, de sorte qu'un supérieur peut lire tous ses messages.

J'aimerais vous poser les questions suivantes :

1) Comment évaluez-vous cette information ? Estimez-vous souhaitable qu'un supérieur puisse contrôler, par exemple, les courriels ou l'utilisation du web d'un membre du personnel ? Considérez-vous que ce soit une violation de la vie privée ou trouvez-vous cela acceptable puisque ce contrôle se produit dans un cadre professionnel ? Trouvez-vous cela acceptable si le travailleur est clairement au courant qu'il peut être contrôlé ?

2) Y a-t-il déjà eu des plaintes de membres du personnels à propos de pareilles pratiques ? Des personnes se sont-elles donc déjà plaintes d'une violation de leur vie privé à cause de ces pratiques ? Pouvez-vous étayer votre réponse de données chiffrées pour autant que vous en dispossiez ?

3) Même si vous n'êtes au courant d'aucune pratique de contrôle de ce genre, savez-vous si le matériel ou le système informatique de votre Service public fédéral pourrait permettre de contrôler l'utilisation du web ? Les boîtes de courriels ou le trafic de courriels sont-ils surveillés ou activement contrôlés ? Pouvez-vous expliquer ce qu'il en est dans votre SPF ?

4) Est-il possible d'écouter les conversations téléphoniques ? Si c'est possible, pouvez-vous vous en expliquer ?

5) Vos travailleurs sont-ils informés sur les contrôles possibles et sur le respect de leur vie privée ? Savent-ils donc ce qui peut ou ne peut pas être contrôlé ? Pouvez-vous expliquer la situation ?

6) Un travailleur peut-il visiter tous les sites sur le web, ou certains sites sont-ils bloqués ? S'il y a blocage, pourquoi ? Pouvez-vous expliquer la situation  ?

7) Le résultat de pareils contrôles (courriels, internet, téléphone, etc.) peut-il être utilisés lors d'une évaluation des prestations d'un travailleur ? Pouvez-vous expliquer la situation ?

 

Onlangs werd bericht dat bedrijfsleiders steeds vaker de activiteiten van hun personeel op de computer controleren. Zo zou, volgens een steekproef van 413 deelnemers, een op drie bazen de mails van personeelsleden controleren, de helft controleert het surfgedrag en 5 % luistert zelfs telefoongesprekken af. In bepaalde sectoren wordt de mailaccount van een personeelslid gekoppeld aan een alias. Daardoor kan een overste alle e-mails meelezen.

Graag wil ik u volgende vragen stellen:

1) Hoe evalueert u die berichtgeving? Vindt u het wenselijk dat een overste in staat is om bijvoorbeeld de e-mails of het surfgedrag van een personeelslid te controleren? Vindt u dat een inbreuk op de privacy, of toelaatbaar omdat de controle in een professionele omgeving gebeurt? Vindt u het toelaatbaar indien de werknemer duidelijk weet dat hij of zij gecontroleerd kan worden?

2) Zijn er reeds klachten geweest van personeelsleden over zulke praktijken? Hebben er dus al mensen geklaagd dat hun privacy op zulk een manier geschonden werd? Kunt u dat toelichten met cijfers als die beschikbaar zijn?

3) Zelfs al hebt u geen weet van dergelijke controlepraktijken, weet u of de apparatuur of de IT van uw Federale Overheidsdienst het mogelijk maakt om het surfgedrag te controleren? Worden de mailbox of het mailverkeer gemonitord of actief gecontroleerd? Kan hij toelichten?

4) Is het mogelijk om mee te luisteren naar telefoongesprekken? Indien ja, kunt u toelichten?

5) Worden uw werknemers ingelicht over mogelijke controles en hun privacy? Weten zij aldus wat al dan niet gecontroleerd kan worden? Kunt u toelichten?

6) Kan een werknemer op het internet alle websites bezoeken, of zijn bepaalde websites geblokkeerd? Zo ja, waarom? Kunt u toelichten?

7) Kan bij een evaluatie van de prestaties van een werknemer het resultaat van een dergelijke controle (mails, internet, telefoon, enz.) gebruikt worden? Kunt u toelichten?

 
Réponse reçue le 3 juin 2013 : Antwoord ontvangen op 3 juni 2013 :

1. Il convient d’abord de signaler que l’accès aux données de communication électroniques ou aux données d'Internet ne relève pas uniquement d’une question de surveillance – vérifier si le personnel n'exagère pas dans son utilisation de l'Internet et de la messagerie électronique de l'employeur à des fins privées – mais également de la gestion des informations et de l’organisation de l’activité de l’employeur : il s’agit notamment de s’assurer de la conservation de la correspondance électronique, de prendre des mesures afin de garantir la sécurisation des données informatiques et la performance du réseau informatique ainsi que de permettre une continuité du service en cas d’absence ou de départ du travailleur.

Au niveau du Service public fédéral (SPF) Justice, un contrôle de l’utilisation de l’e-mail, de l’Intranet et d’Internet d’un collaborateur ne peut être effectué que dans le respect des trois principes de base suivants :

« Le principe de finalité » : Le contrôle n’est autorisé que si au moins un des objectifs suivants est poursuivi :

  1. Prévenir les faits illicites ou diffamatoires, les faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’une personne, (par exemple piratage/hacking, prise de connaissance de certaines données non autorisées, consultation de sites pédophiles, pornographiques, xénophobes ou incitant à la violence,…).

  2. Protéger les intérêts économiques, commerciaux et financiers du SPF Justice et lutter contre les pratiques contraires (p.ex. publicité dénigrante pour le SPF, divulgation de fichiers confidentiels, ..).

  3. Assurer la sécurité et/ou le bon fonctionnement technique des systèmes de réseau IT du SPF, y compris en contrôlant les coûts que cela engendre et en veillant à la protection physique des installations de l’entreprise ;p.ex. téléchargement de fichiers très volumineux, téléchargement de fichiers susceptibles de contenir des virus.

  4. Respecter les principes et règles en vigueur au sein du SPF pour l’utilisation des technologies on-line, c à d le code de déontologie.

« Le principe de proportionnalité ».

Le Principe de proportionnalité signifie que ne sont collectées et traitées en vue du contrôle que les données de communication électronique en réseau (PC, PC portable,…) qui sont nécessaires au contrôle.

Le principe de contrôle doit se faire dans le respect de la vie privée du travailleur.

« Le principe de transparence ».

Le principe de transparence signifie que l’information est réalisée de manière collective et individuelle, et de manière claire et compréhensible, sur toutes les règles en la matière, sur l’obligation du respect de ces règles et sur les aspects du contrôle.

Comme stipulé dans le cadre de la recommandation n°08/2012 du 2 mai 2012, la commission estime que l’employeur dispose d’une autorisation légale d’accès aux informations au sens de l’article 125, §1, 1° de la loi relative aux communications électroniques, pour autant que l’employeur respecte les trois principes de base évoqués ci-dessus dont le respect est jugé essentiel pour la protection de la vie privée des travailleurs lors d’un traitement de leurs données à caractère personnel.

Au niveau du SPF Justice, seul le contrôle des données relatif aux e-mails, à l’utilisation d’Internet ou à l’utilisation des banques de données d’un collaborateur réalisé dans ce cadre strict est autorisé. Le collaborateur a connaissance de ces règles d’utilisation des moyens informatiques et de contrôle qui sont détaillées dans le code de conduite du SPF Justice. Ce code de conduite sera adapté en fonction des avis émis par la Commission de protection de la vie privée.

2. Nous n’avons pas reçu de plaintes de membres du personnel pour violation de la vie privée dans le cadre du contrôle de l’utilisation des moyens informatiques. Il faut cependant rappeler que le contrôle des données individualisées peut uniquement être demandé au service d’encadrement ICT s’il existe, sur la base de faits déterminés, une suspicion d’utilisation illicite par un membre du personnel déterminé.

3. Dans le respect des principes de contrôle évoqués à la question 1, le service ICT peut prendre toutes les mesures nécessaires afin de garantir la performance du réseau et de protéger l’information du SPF Justice.

A cette fin, les techniques suivantes peuvent notamment être appliquées :

  • contrôle des logsfiles sur les machines qui donnent accès à l’internet ;

  • contrôle des rapports de mails entrés via l’internet en fonction des mesures antispam, antivirus,etc. ;

  • contrôles des rapports de diffusion des updates antivirus sur tous les clients du réseau interne et des rapports de la présence de virus, malware, spyware,…sur les PCs de toute l’organisation ;

  • contrôle des logsfiles des servers mail, des servers d’application, de fichiers, d’impression, de réseau ;

  • accès aux databases mail et boîtes mail et aux backups en cas de dysfonctionnements techniques signalés ou soupçonnés.

4. Les écoutes téléphoniques ne peuvent se faire que dans le cadre du respect des dispositions du code d’instruction criminelle relatives à la localisation de télécommunication et des écoutes, de la prise de connaissance et de l'enregistrement de communications et de télécommunications privées (art. 90 ter e.s.). En ce qui concerne les règles d’utilisation des lignes fixes et des GSM mis à disposition du SPF Justice, une note a également été communiquée à l’ensemble des collaborateurs.

5. Le SPF Justice dispose d’un code de conduite intitulé « Les règles de conduite concernant l’utilisation de moyens informatiques, le traitement électronique de données et l’utilisation d’Internet, de l’Intranet et de l’e-mail » qui est applicable aux membres du personnel statutaire et contractuel du SPF Justice (y compris les stagiaires et les étudiants) à l’exception des agents de la Sûreté d’état (qui ont leur propre réglementation) et des membres et du personnel de l’Ordre Judiciaire (qui ont reçu par circulaire une règlementation adaptée à leur fonction).

Ce code de conduite est disponible sur l’Intranet du SPF Justice et est régulièrement mis à jour en fonction de l’arrivée de nouvelles technologies. Le code de conduite stipule que « L’ensemble des logiciels et du matériel que le SPF Justice met à la disposition de ses collaborateurs pour l’exercice de leur fonction reste sa propriété et ne peut en principe être utilisé qu’à des fins professionnelles, c’est-à-dire dans le cadre des tâches qui sont confiées à chaque collaborateur. Cependant, ces logiciels et ce matériel peuvent être utilisés à des fins privées à titre exceptionnel, dans une mesure restreinte et avec la prudence nécessaire afin de ne pas surcharger le réseau. En tous les cas, l’utilisation personnelle ne peut nuire à l’utilisation professionnelle ». Il décrit également de manière détaillée la procédure de contrôle.

6. Le Comité de Direction a déterminé la liste des catégories de sites Internet qui peuvent être consultés ou qui sont interdits suivant les nécessités de la fonction exercée par l’utilisateur ou en raison d’un danger pour la sécurité des systèmes informatiques du SPF Justice. La liste des catégories de sites autorisés ou exclus est continuellement actualisée. cinq profils d’utilisateur Internet ont ainsi été définis (restricted, standard, média, extended, full).

7. Nous ne disposons actuellement pas d’un instrument de mesure nous permettant de déterminer les conséquences de cette politique d’utilisation des moyens informatiques sur les performances des collaborateurs.

1. Vooreerst moet worden opgemerkt dat de toegang tot elektronische communicatiegegevens of internetgegevens niet enkel een kwestie van toezicht is - controleren of het personeel niet overdrijft met het gebruik van internet en van het e-mailsysteem van de werkgever voor privédoeleinden - maar ook een kwestie van gegevensbeheer en werkorganisatie voor de werkgever teneinde de bewaring van de elektronische correspondentie te verzekeren, maatregelen te nemen met het oog op de beveiliging van de computergegevens en de performantie van het computernetwerk, alsook de continuïteit van dienstverlening te garanderen bij afwezigheid of vertrek van de werknemer.

Op het niveau van de Federale Overheidsdienst (FOD) Justitie kan de controle op het gebruik van e-mail, intranet en internet bij een medewerker slechts gebeuren met inachtneming van de volgende drie beginselen:

"Het finaliteitsbeginsel”: controle is slechts toegestaan wanneer één of meer van de volgende objectieven worden nagestreefd:

  1. Het voorkomen van ongeoorloofde of lasterlijke feiten, feiten die strijdig zijn met de goede zeden of die de waardigheid van een persoon kunnen schaden; (bijvoorbeeld computerkraak/hacking, kennisname van sommige niet-geautoriseerde gegevens, raadpleging van pedofiele websites, pornografische websites, xenofobe websites of sites die aanzetten tot geweld,…).

  2. Het beschermen van de economische, financiële en handelsbelangen van de FOD Justitie alsook het tegengaan van praktijken die daarmee in strijd zijn (bv. denigrerende publiciteit voor de FOD, verspreiding van persoonlijke bestanden,…).

  3. Het garanderen van de veiligheid en/of de goede technische werking van de IT-netwerksystemen van de FOD, onder andere door controle op de kosten die ermee gepaard gaan alsook door toezicht op de fysieke bescherming van de installaties van de onderneming (bijvoorbeeld omvangrijke bestanden downloaden, bestanden downloaden die virussen kunnen bevatten,...).

  4. Het naleven van de beginselen en regels die gelden binnen de FOD voor het gebruik van on-linetechnologieën, dat wil zeggen de deontologische code.

“Het proportionaliteitsbeginsel”.

Het proportionaliteitsbeginsel houdt in dat voor de controle enkel de gegevens van het elektronisch communicatienetwerk (PC, laptop,…) worden verzameld en behandeld die voor de controle vereist zijn.

De controle moet gebeuren met inachtneming van de persoonlijke levenssfeer van de werknemer.

“Het transparantiebeginsel”.

Het transparantiebeginsel houdt in dat het geven van informatie op een collectieve en individuele wijze en op een duidelijke en begrijpbare wijze plaatsvindt, over alle regels ter zake, over de verplichting om deze regels na te leven en over de controleaspecten.

Zoals bepaald in het kader van aanbeveling nr.08/2012 van 2 mei 2012 is de Commissie van oordeel dat de werkgever beschikt over een wettelijke toelating tot toegang van de gegevens in de zin van artikel 125, § 1, 1° van de Wet Elektronische Communicatie, voor zover de werkgever rekening houdt met de drie voornoemde basisbeginselen waarvan de naleving essentieel wordt geacht voor de bescherming van de persoonlijke levenssfeer van werknemers bij de verwerking van hun persoonsgegevens.

Op het niveau van de FOD Justitie is enkel de controle van gegevens in verband met e-mails, het internetgebruik of het gebruik van de databanken van een medewerker, uitgevoerd binnen dat strikte verband, toegelaten. De medewerker heeft kennis van die regels inzake gebruik van de informaticamiddelen en controle, die nader beschreven staan in de gedragscode van de FOD Justitie. Die gedragscode zal aangepast worden volgens de adviezen verstrekt door de Commissie voor de bescherming van de persoonlijke levenssfeer.

2. Wij hebben geen klachten ontvangen van personeelsleden wegens schending van de persoonlijke levenssfeer in het kader van de controle op het gebruik van informaticamiddelen. Wel is het zo dat de stafdienst ICT enkel verzocht kan worden om over te gaan tot een controle van de geïndividualiseerde gegevens indien er, op grond van welbepaalde feiten, een vermoeden van ongeoorloofd gebruik door een welbepaald personeelslid bestaat.

3. Met inachtneming van de controlebeginselen, aangehaald in vraag 1, kan de dienst ICT alle nodige maatregelen nemen teneinde de performantie van het netwerk te waarborgen en de informatie van de FOD Justitie te beschermen.

Daartoe kunnen inzonderheid de volgende technieken worden toegepast:

  • controle van de logfiles op de machines die toegang geven tot het internet;

  • controle van de mailrapporten binnengekomen via internet, afhankelijk van de maatregelen inzake antispam, antivirus, enzovoort;

  • controles van de rapporten inzake de verspreiding van de anti-virusupdates over alle klanten van het interne netwerk en van de rapporten inzake de aanwezigheid van virussen, malware, spyware,… op de pc’s van de hele organisatie;

  • controle van de logfiles van de mailservers, de servers van de toepassingen, bestanden, afdrukken, netwerk;

  • toegang tot de maildatabases en mailboxen en tot de back-ups in geval van gesignaleerde of vermoedelijke technische disfuncties.

4. Het afluisteren van telefoongesprekken kan enkel met in achtneming van de bepalingen van het Wetboek van Strafvordering betreffende het localiseren van telecommunicatie en het afluisteren, kennisnemen en opnemen van privécommunicatie en telecommunicatie (art. 90ter ev.). Wat betreft de regels voor het gebruik van vaste lijnen en gsm's die ter beschikking zijn van de FOD Justitie, werd eveneens een nota meegedeeld aan alle medewerkers.

5. De FOD Justitie beschikt over een gedragscode, de "Gedragscode voor het gebruik van informaticamiddelen, elektronische gegevensverwerking en het gebruik van internet, intranet, e-mail", die van toepassing is op het statutair en contractueel personeel van de FOD Justitie (daaronder begrepen de stagiairs en de studenten) met uitzondering van de ambtenaren van de Veiligheid van de Staat (die hun eigen regelgeving hebben) en de leden en het personeel van de Rechterlijke Orde (die via circulaire een regelgeving ontvingen, aangepast aan hun functie).

Die gedragscode is beschikbaar op de intranetsite van de FOD Justitie en wordt geregeld bijgewerkt naargelang van de introductie van nieuwe technologieën. De gedragscode bepaalt: "Alle hard- en software die de FOD Justitie ter beschikking stelt van zijn medewerkers voor de uitoefening van hun functie, blijft eigendom van de FOD en mag in principe enkel voor beroepsdoeleinden worden gebruikt. Dat wil zeggen binnen het kader van de taken die aan elke medewerker zijn toegewezen. Gebruik van deze soft- en hardware voor privédoeleinden is uitzonderlijk toegelaten in beperkte mate en mits de nodige voorzichtigheid in acht wordt genomen om het netwerk niet te overbelasten. In elk geval mag het persoonlijk gebruik het professionele gebruik niet in het gedrang brengen." De gedragscode omvat voorts een gedetailleerde beschrijving van de controleprocedure.

6. Het directiecomité heeft de lijst opgesteld met de categorieën van websites die geraadpleegd kunnen worden of verboden zijn, respectievelijk volgens de vereisten van de functie uitgeoefend door de gebruiker of wegens gevaar voor de veiligheid van de informaticasystemen van de FOD Justitie. De lijst met de categorieën van toegelaten of uitgesloten sites wordt voortdurend geactualiseerd. Aldus werden vijf internetgebruikersprofielen gedefinieerd (restricted, standard, media, extended, full).

7. Wij beschikken thans niet over een meetinstrument om de gevolgen van dit beleid inzake het gebruik van de informaticamiddelen op de prestaties van de medewerkers te kunnen nagaan.