|  

Juridique

Droits et devoirs de l’employeur quant aux flux HTTPS

Publié le 07.04.2015 à 11h15

Mis à jour le 07.04.2015 à 11h15

Par

Droits et devoirs de l’employeur quant aux flux HTTPS

Le chiffrement HTTPS est de plus en plus utilisé en entreprise. C’est une pratique courante pour les flux externes, notamment le e-commerce, mais cela se démocratise également pour les flux en interne, à savoir ceux générés par les employés. La CNIL (Commission Nationale de l’Informatique et des Libertés) considère cette démocratisation comme nécessaire mais impose des limites pour prévenir les dérives.

La question qui se pose de façon de plus en plus certaine pour les employeurs est celle de savoir jusqu’où ils peuvent utiliser ces flux HTTPS pour contenir l’utilisation des réseaux informatiques par leurs salariés. S’il est entendu que l’utilisation d’Internet par les salariés doit se faire de façon contrôlée sur le lieu de travail, ce contrôle doit être proportionné et ne pas empiéter sur les libertés individuelles des employés.

Déchiffrement légitime mais limité

Intercepter un trafic chiffré permet de l’analyser et d’assurer la sécurité des systèmes d’information d’une entreprise. Mais lorsque déchiffrer un trafic permet également de suivre ce que les employés font de leur temps de travail sur leurs ordinateurs de bureau, cela doit être encadré.

 

La CNIL met ainsi en place quatre garde-fous à l’attention des employeurs afin de leur permettre de légitimer leur pratique de déchiffrement. En premier lieu, l’obligation principale et la plus importante est d’informer les salariés de la mise en place de ce système. Cette information des salariés doit être précise quant à la nature de l’analyse, les données conservées ou encore la façon pour les salariés de naviguer sans être soumis à analyse. Cette information doit également présenter les raisons pour lesquelles l’employeur met en place ce déchiffrement des flux.

 

Autre garde-fou préconisé par la CNIL : la gestion des droits d’accès aux messageries des salariés, qui sont réputées professionnelles, sauf si certains messages sont identifiés comme personnels. Enfin, les mots de passe et identifiants ne doivent pas faire l’objet d’analyse ou de conservation ; et toutes les données ainsi extraites et analysées doivent faire l’objet d’une protection. Sur ce dernier point, la CNIL recommande une durée de stockage n’excédant pas six mois.