Les interventions de la CNIL
ou celle des applications et non pas un contrôle individuel ou nominatif de leur activité. Enfin, elle peut conforter l’entreprise ou l’administration dans l’idée qu’une déclaration à la CNIL de l’ensemble de son système de sécurité l’autoriserait à porter des
atteintes à ce que commande le respect de l’intimité de la vie privée et de la liberté
personnelle résiduelle du salarié sur son lieu de travail, alors qu’il appartient, en dernière instance, aux juridictions administratives ou judiciaires d’en apprécier la régularité et, compte tenu des circonstances de fait ou de droit de l’espèce, la
proportionnalité.
B. Le contrôle des connexions à Internet
Une interdiction générale et absolue de toute utilisation d’Internet à des fins
autres que professionnelles ne paraît pas réaliste dans une société de l’information et
de la communication. Un usage raisonnable, non susceptible d’amoindrir les conditions d’accès professionnel au réseau ne mettant pas en cause la productivité paraît
généralement et socialement admis par la plupart des entreprises ou administrations.
Aucune disposition légale n’interdit évidemment à l’employeur d’en fixer les
conditions et limites, lesquelles ne constituent pas, en soi, des atteintes à la vie privée
des salariés ou agents publics.
À ce titre, la mise en place de dispositifs de filtrage de sites non autorisés,
associés au pare-feu (sites diffusant des produits à caractère pornographiques, pédophiles, incitation à la haine raciale, révisionnistes etc.) peut constituer une mesure de
prévention dont il y a lieu d’informer les salariés ou agents publics.
De même, la possibilité pour les salariés ou agents publics de se connecter à
Internet à des fins autres que professionnelles peut s’accompagner de prescriptions
légitimes dictées par l’exigence de sécurité de l’entreprise, telles que l’interdiction de
télécharger des logiciels, l’interdiction de se connecter à un forum ou d’utiliser le
« chat », l’interdiction d’accéder à une boîte aux lettres personnelle par Internet
compte tenu des risques de virus qu’un tel accès est susceptible de présenter.
Un contrôle a posteriori des données de connexion à Internet, de façon globale, par service ou par utilisateur ou un contrôle statistique des sites les plus visités
devrait dans la plupart des cas être suffisant sans qu’il soit nécessaire de procéder à
un contrôle nominatif individualisé des sites accédés.
Les modalités d’un tel contrôle de l’usage d’Internet doivent, conformément à
l’article L. 432-2-1 du code du travail, faire l’objet d’une consultation du comité
d’entreprise ou, dans la fonction publique, du comité technique paritaire ou de toute
instance équivalente et d’une information des utilisateurs, y compris lorsque le contrôle est dépourvu d’un caractère directement nominatif.
Lorsque l’entreprise ou l’administration met en place un dispositif de contrôle
individuel destiné à produire, poste par poste, un relevé des durées de connexion ou
des sites visités, le traitement automatisé d’informations nominatives ainsi mis en
œuvre doit être déclaré à la CNIL. La durée pendant laquelle les relevés ainsi établis
sont conservés doit être précisée. Une durée de conservation de l’ordre de six mois
58
e
CNIL 22 rapport d'activité 2001