9 rue du petit Chatelier, 44300 Nantes - 8h30 à 12h30 - 14h à 18h (17h le vendredi) - Contactez-nous : 02 85 52 13 95

securite

Proxy Filtrage de contenu web

La société d'informatique et de téléphonie ASTORYA fourni pour ses entreprises clientes des solutions en matière de proxy filtrage de contenu web.

Prendre des captures d'écran :

Jeter un coup d'œil sur l'écran en temps réel et surveiller ce que les utilisateurs utilisent comme logiciels. La surveillance des écrans multiples est disponible. Ou faites simplement des images instantanées de l'écran de l'ordinateur distant de manière planifiée. Lecture facile des informations sans votre présence et vous pouvez voir l'historique des écrans à n'importe quel moment et quand vous êtes libre. 

Surveiller les emails

Enregistrer tous Emails envoyés et reçus avec les détails, supporter le web mail, le client de messagerie, Lotus et Exchange. Permet ou bloquer les courriels au départ en filtrant l'adresse électronique, le sujet, le domaine, l'attachement et la taille du courriel. 

Surveiller les Messages Instantanés

Enregistrer tous les messages instantanés envoyés et reçus par MSN/Live Messenger, Yahoo Messenger, Skype, QQ, ICQ, etc. Contrôler des IM fichiers par le nom, la taille. Sauvegarder des IM fichiers envoyés. 

Surveiller les Sites Web Visités

Enregistrer des sites web visités avec HTML et URL. Permettre de visiter des sites web spécifiés ou bloquer aucuns sites web comme vous voulez. Supporter IE,   Firefox, Chrome, Safari, Opera et beaucoup plus de navigateurs. 

Surveiller les Applications

Enregistrer toutes les applications utilisé avec le nom . Provider les statistiques compréhensives pour top 10, 20 applications par la barre le diagramme circulaire . Générer la classe des applications. Limiter l'usage des applications par le nom ou la classe. 

Surveiller les Documents

Enregistrer tous les documents utilisés avec le type d'opération, le temps, l'utilisateur, le nom du fichier, la taille du fichier, l'application opérationnelle, le type de disk et le titre. Limiter l'usage des documents avec la politique flexible de document. 

Surveiller l'Impression

Enregistrer tous les journaux de l'impression avec le type d'imprimante, le temps, l'utilisateur, les fichiers imprimés, le nom de l'impression, les pages, les sous-titres, et l'application du fichier. Contrôler l'impression du fichier par le type d'imprimante, la description et l'application. Vous pouvez même enregistrer les contenus imprimés. 

Surveiller le réseau

Enregistrer l'adresse IP, MAC, network traffic. Verrouiller, se déconnecter, fermer et redémarrer les ordinateur d'agent. Limiter l'accès du réseau, la vitesse de téléchargement, la bande passante, IP et le port. Commande à distance et coopération. 

Maintenance d'Ordinateur

Cocher ou terminer l'application ou le processus, cocher la performance PC, le gestionnaire du matériel, commencer ou arrêter les services ou les fichiers partagés, supprimer les tâches planifiées, présenter le groupe de réseau et les utilisateurs. Maintenir tous les PC dans les bonnes conditions. 

Gestion de Données & Utilisateurs

Diviser les ordinateurs et les utilisateurs en groupes. Autoriser aux utilisateurs les privilèges différents d'accès. Gérer tous les mots de passé des comptes de console. Sauvegarder et révéler les données historiques.

Contrôle de l’utilisation d’internet et de la messagerie

Pour l’exercice de leur activité professionnelle, les salariés ont à leur disposition un poste de travail informatique qui peut être connecté à internet et doté d’une messagerie électronique. L’utilisation, sur les lieux de travail, de ces outils informatiques à des fins autres que professionnelles est généralement tolérée. Elle doit rester raisonnable et ne doit pas affecter la sécurité des réseaux ou la productivité de l’entreprise ou de l’administration concernée. 

1 / La nécessité d’informer les salariés :

Les employés doivent être informés des dispositifs mis en place et des modalités de contrôle de leur utilisation d’internet, de leur messagerie et de leurs dossiers enregistrés sur les serveurs. Ils doivent être informés individuellement, notamment de la finalité du dispositif de contrôle et de la durée pendant laquelle les données de connexion sont conservées ou sauvegardées.

Une durée de conservation de l’ordre de six mois est suffisante, dans la plupart des cas, pour dissuader tout usage abusif d’internet.

En cas d’archivage automatique des messages électroniques, les salariés doivent en outre être informés des modalités de l’archivage, de la durée de conservation des messages, et des modalités d’exercice de leur droit d’accès.

Si des procédures disciplinaires sont susceptibles d’être engagées sur la base de ces fichiers, les salariés doivent en être explicitement informés.

Le comité d’entreprise doit avoir été consulté et informé (article L2323-32 du code du travail), ou, dans la fonction publique, le comité technique paritaire ou toute instance équivalente.

L’information des personnes sur les points listés ci-dessous peut se faire par le biais de la diffusion d’une charte d’utilisation des réseaux.

2 / le contrôle de l’utilisation d’internet :

L’employeur peut fixer les conditions et limites de l’utilisation d’internet, lesquelles ne constituent pas, en soi, des atteintes à la vie privée des salariés. 

Par exemple : L’employeur peut mettre en place des dispositifs de filtrage de sites non autorisés (sites à caractère pornographique, pédophile, d’incitation à la haine raciale, révisionniste, etc.). Il peut également fixer des limites dictées par l’exigence de sécurité de l’organisme, telles que l’interdiction de télécharger des logiciels, l’interdiction de se connecter à un forum ou d’utiliser le « chat », l’interdiction d’accéder à une boîte aux lettres personnelle par internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter, etc.

> Comment déclarer? 

Lorsque l’entreprise ou l’administration met en place un dispositif de contrôle individuel des salariés destiné à produire un relevé des connexions ou des sites visités, poste par poste, le traitement ainsi mis en oeuvre doit être déclaré à la CNIL (déclaration normale) sauf si un correspondant informatique et libertés a été désigné, auquel cas aucune déclaration n’est nécessaire.

Par exemple : logiciel de contrôle de l’utilisation d’internet permettant d’analyser les données de connexion de chaque salarié ou de calculer le temps passé sur internet par un salarié déterminé.

Lorsque l’entreprise ou l’administration met en place un dispositif qui ne permet pas de contrôler individuellement l’activité des salariés, ce dispositif peut faire l’objet d’une déclaration de conformité en référence à la norme simplifiée n° 46 (gestion des personnels des organismes publics et privés).

Par exemple : logiciel permettant seulement de réaliser des statistiques sur l’utilisation d’internet au niveau de l’ensemble des salariés de l’entreprise ou au niveau d’un service déterminé.

3 / Contrôle de l’utilisation de la messagerie :

Des exigences de sécurité, de prévention ou de contrôle de l’encombrement du réseau peuvent conduire les entreprises ou les administrations à mettre en place des outils de contrôle de la messagerie. 

Par exemple : outils de mesure de la fréquence, de la taille, des messages électroniques ; outils d’analyse des pièces jointes (détection des virus, filtres « anti-spam » destinés à réduire les messages non-sollicités, etc.). 

> Sous quelles conditions accéder aux messages électroniques d’un salarié ?

Des courriels sont présumés professionnels à moins d’être identifiés «personnels».

La Cour de cassation considère qu’un message envoyé ou reçu depuis le poste de travail mis à disposition par l’employeur est présumé avoir un caractère professionnel, sauf s’il est identifié comme étant « personnel », dans l’objet du message par exemple (Cour de cassation, 30 mai 2007).

Il appartient à l’employé d’identifier les messages qui sont personnels. À défaut d’une telle identification, les messages sont présumés être professionnels et l’employeur peut y accéder librement.

La nature personnelle d’un message peut figurer dans l’objet du message ou dans le nom du répertoire dans lequel il est stocké.

> L’employeur doit respecter le secret des correspondances privées.

Une communication électronique émise ou reçue par un employé peut avoir le caractère d’une correspondance privée. La violation du secret des correspondances est une infraction pénalement sanctionnée par les articles 226-15 et 432-9 du Code pénal.

La Cour de cassation a affirmé, dans un arrêt du 2 octobre 2001 (arrêt « Nikon »), qu’un employeur ne saurait prendre connaissance de messages personnels d’un employé sans porter atteinte à la vie privée de celui-ci (article 9 du code civil) et au principe du secret des correspondances, quand bien même une utilisation à des fins privées aurait été proscrite par l’employeur.

Pour autant, le principe du secret des correspondances connaît des limites dans la sphère professionnelle. Il peut être levé dans le cadre d’une instruction pénale ou par une décision de justice (par exemple, une ordonnance d’un juge en application de l’article 145 du code de procédure civile désignant un huissier pour accéder aux messages) – Cour de cassation, chambre social, arrêt du 10 juin 2008.

L’employé ne doit pas transformer des messages de nature professionnelle en correspondance « privée ». 

Par exemple : Un employé ne doit pas communiquer des documents confidentiels à un concurrent en identifiant ses messages comme étant « personnels ». Une telle identification serait contraire au principe de bonne foi prévu à l’article L1222-1 du Code du travail. 

La Cour de cassation a ainsi admis, après avoir constaté que l’employeur avait des motifs légitimes de suspecter des actes de concurrence déloyale, qu’un employeur puisse être autorisé par le juge à mandater un huissier de justice pour prendre connaissance et enregistrer des messages électroniques échangés entre le salarié et deux personnes étrangères à l’entreprise (Cour de cassation, 23 mai 2007). 

La CNIL recommande de porter à la connaissance des salariés (par exemple dans une charte) le principe retenu pour différencier les e-mails professionnels des e-mails personnels (qualification par l’objet, création d’un répertoire spécifique dédié au contenu privé, etc.). 

> Comment déclarer ? 

La messagerie professionnelle doit faire l’objet d’une déclaration de conformité en référence à la norme n° 46 (gestion des personnels des organismes publics et privés). 

Si un dispositif de contrôle individuel de la messagerie est mis en place, il doit être déclaré à la CNIL (déclaration normale), sauf désignation d’un correspondant informatique et libertés.

Par exemple : logiciel d’analyse du contenu des messages électroniques entrant ou sortants destinés au contrôle de l’activité des salariés.

4 / L’accès au dossier contenu dans le poste informatique

> Le cas des fichiers et des répertoires créés par un employé 

Il a été jugé que les fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel (Cour de cassation, 18 octobre 2006). 

Tout fichier qui n’est pas identifié comme « personnel » est réputé être professionnel de sorte que l’employeur peut y accéder hors la présence du salarié. L’identification d’un dossier par les initiales du salarié ne permet pas de le considérer comme étant personnel (Cour de cassation, 21 octobre 2009).

En revanche, si un fichier est identifié comme étant personnel, l’employeur ne peut y avoir accès « qu’en présence du salarié ou si celui-ci a été dûment appelé, ou en cas de risque ou événement particulier ». Le salarié ne peut pas s’opposer à un tel accès si ces conditions ont été respectées.

Par exemple : il a été jugé que la découverte de photos érotiques dans le tiroir d’un salarié ne constituait pas un risque ou un événement particulier justifiant que l’employeur accède au répertoire intitulé « perso » hors la présence du salarié ou sans que celui-ci en soit informé (Cour de cassation, chambre sociale, arrêt du 17 mai 2005).

> L’employé est-il tenu de communiquer ses mots de passe ? 

Les mots de passe constituent des mesures de sécurité visant à protéger les données figurant dans les postes informatiques par les salariés. Ils doivent être fréquemment modifiés et ne peuvent être portés à la connaissance de tiers que dans certaines conditions bien particulières.

Ainsi, si un employé est absent, l’employeur peut lui demander de communiquer son mot de passe lorsque les informations détenues par cet employé sont nécessaires à la poursuite de l’activité de l’entreprise (Cour de cassation, 18 mars 2003). L’employeur ne doit pas accéder au contenu personnel de l’intéressé. 

La CNIL recommande que les modalités d’accès de l’employeur aux données stockées sur l’environnement informatique d’un employé absent soient préalablement définies en concertation et diffusées auprès de l’ensemble des salariés susceptibles d’être concernés (via une charte par exemple). 

> Comment organiser la fermeture du compte utilisateur lors du départ de l’employé ? 

Les modalités de fermeture du compte sont à prévoir dans la charte informatique. Il est recommandé à l’employeur d’avertir le salarié de la date de fermeture de son compte afin que ce dernier puisse vider son espace privé.