La CNIL autorise l'analyse du flux https des salariés par leur employeur

Sous réserve qu'elle soit encadrée

La CNIL autorise l'analyse du flux https des salariés par leur employeur,
sous réserve qu'elle soit encadrée

Le 31 mars dernier, la CNIL (Commission Nationale Informatique et Libertés) a publié un article traitant de l’analyse de flux https, qui permet de protéger la confidentialité des échanges pour les services en ligne. Tout d’abord la CNIL a vivement recommandé l’utilisation de ce protocole car il réduit considérablement les risques liés à l'interception de communications, que ce soit pour les écouter ou pour les modifier. Cependant, elle note que cette mesure peut également constituer une vulnérabilité pour la sécurité des systèmes d'information d'un organisme, puisqu'elle rend impossible la surveillance des données entrantes et sortantes. Ainsi, volontairement ou non, des salariés peuvent faire sortir des informations du réseau interne, ou faire entrer des codes malveillants, à leur insu comme à celui de leur employeur.

C’est dans ce contexte que la CNIL a évoqué des règles à respecter pour pouvoir déchiffrer et analyser ces flux. Une mesure qui va venir rassurer les employeurs qui déchiffrent déjà les flux https de leurs salariés lorsqu’ils naviguent sur internet puisque la CNIL explique que « du point de vue " informatique et libertés ", ce déchiffrement est légitime du fait que l'employeur doit assurer la sécurité de son système d'information ».

La CNIL a tout de même défini le contexte dans lequel le recours au déchiffrement pourra être réalisé en proposant les mesures suivantes :

• une information précise des salariés (sur les catégories de personnes impactées par la solution, la nature de l'analyse réalisée, les données conservées, les modalités d'investigation, les sites faisant l'objet d'une liste blanche, l'existence de dispositifs permettant une utilisation personnelle qui ne serait pas soumis à l'analyse des flux), par exemple dans la charte d'utilisation des moyens informatiques. L'information doit aussi préciser les raisons de cette mesure (identification de logiciels malveillants, protection du patrimoine informationnel, détection de flux sortants anormaux) ;
• une gestion stricte des droits d'accès des administrateurs aux courriers électroniques, lesquels sont présumés avoir un caractère professionnel sauf s'ils sont identifiés comme étant personnels ;
• une minimisation des traces conservées (ex : fichier malveillant, source, destination, et non identifiants et mots de passe) ;
• une protection des données d'alertes extraite de l'analyse (ex : chiffrement, stockage en dehors de l'environnement de production et durée de conservation de 6 mois maximum).

Cependant, l’article 323-1 alinéa 1 du Code pénal incrimine « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende ». L’article 323-7 du même code incrimine la tentative. La CNIL estime que cette question est particulièrement importante dès lors que le déchiffrement met potentiellement en cause la sécurité des communications initiées par un tiers et la confidentialité des données qu'il transmet.

La CNIL se dédouane en expliquant que cette question relève de la compétence du juge, « la CNIL n'étant pas compétente pour apprécier une éventuelle infraction au code pénal sur ce point ». Aussi, le recours au déchiffrement de flux https pourrait donc nécessiter une base légale justifiant qu'il puisse être porté atteinte aux mesures techniques déployées par des tiers pour garantir la confidentialité de leurs échanges.

Source : CNIL

Et vous ?

Qu'en pensez-vous ?