Les Keyloggers et la CNIL

La CNIL dénonce des dispositifs de cybersurveillance particulièrement intrusifs.

Partager sur:
Sauvegarder cet article
Aimer cet article 0
vie privée Internet

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Les Keyloggers et la CNIL

Publié le 31 mars 2013
- A +

La CNIL dénonce des dispositifs de cybersurveillance particulièrement intrusifs.

Par Roseline Letteron.

vie privee , internetLa CNIL a énoncé, le 20 mars 2013, un certain nombre de principes portant sur l’utilisation des « Keyloggers » ou « enregistreurs de frappe ». Ce terme générique désigne une série de dispositifs de surveillance susceptibles d’être installés sur un ordinateur à l’insu de son utilisateur. Leur objet est d’enregistrer toutes les frappes effectuées sur le clavier, ce qui permet de connaître toutes les activités du poste informatique.

Instrument d’espionnage

Sur le plan technique, les méthodes sont nombreuses, et vont d’une intervention sur la connectique à l’installation discrète d’un logiciel. Elles présentent le point commun d’offrir un redoutable instrument d’espionnage, d’autant qu’il est possible de recevoir des alertes lorsque le propriétaire de l’ordinateur frappe tel ou tel mot clé, ou des rapports résumant son activité quotidienne. Tout cela pour un coût dérisoire, certains enregistreurs de frappe étant même téléchargeables gratuitement sur internet.

Les enregistreurs de frappe ont essentiellement été utilisés par deux types d’usagers. D’une part, certaines officines spécialisées dans « l’intelligence économique » mandatées par un industriel n’hésitent pas à employer ce type de matériel pour obtenir les informations sensibles d’un concurrent. Il s’agit alors purement et simplement d’espionnage industriel. D’autre part, la cyber-délinquance use de ces technologies pour intercepter des informations relatives à des numéros de compte bancaire,  des codes ou des mots de passe.

Aujourd’hui, les enregistreurs de frappe sortent de la clandestinité propre aux délinquants pour développer leur marché et acquérir une certaine forme de légitimité. Des employeurs ont eu l’idée étrange d’installer ce type de logiciel espion sur les ordinateurs de leur entreprise, enregistrant ainsi toute l’activité informatique de leurs employés, évidemment à leur insu. Depuis 2012, la CNIL a ainsi été saisie par un certain nombre de salariés, faisant part de leur crainte, réelle ou supposée, d’être espionnés par leur employeur. Après contrôle auprès des entreprises concernées, la Commission a  constaté qu’une des plaintes était fondée. Elle a donc rédigé une véritable mise en garde à ceux qui seraient tentés de recourir aux enregistreurs de frappes dans le monde du travail.

Protection de la vie privée et des données personnelles

Le premier principe, le plus fondamental sans doute, est celui de la protection de la vie privée et des données personnelles. Dans un arrêt du 18 mars 2009, la Chambre sociale de la Cour de cassation énonce ainsi qu’il n’est pas interdit à un salarié d’utiliser l’ordinateur mis à disposition par l’entreprise à des fins personnelles, par exemple pour surfer sur internet ou envoyer des courriels, à la condition toutefois de ne pas négliger son travail. L’utilisation d’un enregistreur de frappes conduit donc nécessairement, dès lors qu’il y a captation de l’ensemble de l’activité effectuée sur le poste informatique, à une violation de données personnelles. Qu’il s’agisse de courriels, du code d’une carte bleue, ou du mot de passe pour accéder à un site, tous ces éléments sont transmis à l’employeur espion au milieu des dossiers professionnels.

Absence de consentement

Dès lors que ces informations sont transmises à un tiers, il y a aussi violation du principe du consentement de l’intéressé à la collecte et la conservation de toutes données personnelles le concernant. Cette violation est automatique puisque, par hypothèse, l’enregistreur de frappes agit à son insu.

De cette situation particulièrement grave pour le droit au respect de la vie privée, la CNIL tire une conséquence logique : l’interdiction de principe de l’utilisation des enregistreurs de frappe dans les relations de travail. La seule exception envisagée est l’existence d’un « fort impératif de sécurité« , par exemple lorsque le salarié conserve sur son ordinateur des informations sensibles couvertes par le secret industriel et commercial. Dans ce cas cependant, l’utilisation de l’enregistreur ne peut être envisagée qu’après une information des personnels concernés, ainsi avertis du risque de dissémination des données personnelles qu’ils conservent et échangent à partir de leur poste de travail. En tout état de cause, le défaut d’information du salarié constitue une infraction. La loi du 14 mars 2011 punit en effet de 5 ans d’emprisonnement et de 300 000 € d’amende l’utilisation de dispositifs de captation de données informatiques à l’insu des personnes concernées.

L’avertissement de la CNIL sera-t-il suffisant pour faire cesser le développement des enregistreurs de frappes ? Peut-être, mais la difficulté essentielle réside dans l’ignorance de l’existence même de ces dispositifs, et dans leur caractère furtif qui rend toute preuve de leur installation sur un ordinateur particulièrement délicate. La solution devrait sans doute être recherchée dans une action préventive, visant l’interdiction de la vente de ces technologies, sauf pour certains usages limitativement énumérés et soumis à autorisation de la CNIL. Les entreprises devraient donc rechercher d’autres moyens de contrôler l’activité des salariés, ce qui est loin d’être impossible. Les officines de sécurité privée, quant à elles, ne pourraient  plus utiliser les enregistreurs de frappes à des fins d’espionnage industriel sans encourir une sanction pénale et le retrait de leur agrément. Une mesure sans doute pas inutile pour moraliser un secteur qui en a largement besoin.


Sur le web.

Voir les commentaires (4)

Laisser un commentaire

Créer un compte Tous les commentaires (4)
  • L’arsenal législatif ne sert à rien si la victime est menacée de perdre son emploi. A choisir l’avenir n’est pas terrible sans emploi…

  • « l’interdiction de la vente de ces technologies » : vraiment ?

    Voilà le vrai poisson d’avril de Contrepoints !

    • Cela fait longtemps que l’on dénonce Roseline Letteron à contrepoint pour sont libéralisme plus que constructiviste.. Maintenant les lecteurs semble plutôt l’ignorer.

  • Le grand patron Chinois de la petite marque nationale, vous dira que l’on ne va pas contre la modernité, l’enregistrement de tout dans des environnements virtualisés pour enregistrer les opérations, le savoir, les communications, les méthodes et les processus. Bienvenu dans la cyber réalité qui fait avancer la recherche autour de l’intelligence artificielle.

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don
4
Sauvegarder cet article

Finalement, la devise résumant le mieux la tendance actuelle des États occidentaux pourrait bien être : « Si vous n’avez rien à vous reprocher, vous n’aurez rien à cacher ». Et si c'est bien évidemment vrai pour vos données personnelles, il n’en va pas différemment… de vos déchets.

Eh oui : non contents d’être maintenant triés et séparés, vos déchets seront bientôt scrutés et évalués avec le plus grand soin. Si la vérification poussée du contenu de vos poubelles n’est pas encore en place partout, il n’y a cependant pas à douter qu’elle... Poursuivre la lecture

Article disponible en podcast ici.

Jadis, seuls les criminels se retrouvaient sur écoute. La traque du citoyen par les bureaucrates était une exception. Les surveillances de masse étaient réservées aux régimes totalitaires, impensables dans nos démocraties.

Or depuis le 11 septembre, nos gouvernements nous considèrent tous comme des potentiels criminels qu’il faut espionner constamment. Et toute comparaison aux régimes totalitaires fera glousser nos fonctionnaires devant une telle allusion.

J’ai déjà longuement commenté... Poursuivre la lecture

L'auteur : Yoann Nabat est enseignant-chercheur en droit privé et sciences criminelles à l'Université de Bordeaux

Dans quelle mesure les différentes générations sont-elles plus ou moins sensibles à la notion de surveillance ? Un regard sur les personnes nées au tournant des années 1980 et 1990 montre que ces dernières abandonnent probablement plus facilement une part de contrôle sur les données personnelles, et n’ont sans doute pas eu totalement conscience de leur grande valeur.

Peut-être qu’à l’approche des Jeux olympiques de ... Poursuivre la lecture

Voir plus d'articles