Les interventions de la CNIL
consiste à garantir une utilisation normale des ressources des systèmes d’information
et, le cas échéant, à identifier les usages contraires aux règles de confidentialité ou
de sécurité des données définies par l’entreprise.
Ces fichiers de journalisation lorsqu’ils sont associés à un traitement automatisé d’informations nominatives n’ont pas, en tant que tels, à faire l’objet des formalités préalables auprès de la CNIL. Afin de garantir ou de renforcer l’obligation de
sécurité, ils doivent être portés à la connaissance de la CNIL au titre des mesures de
sécurités entourant le fonctionnement du traitement principal dont ils sont le corollaire.
En revanche, la mise en œuvre d’un logiciel d’analyse des différents journaux (applicatifs et systèmes) permettant de collecter des informations individuelles
poste par poste destiné à contrôler l’activité des utilisateurs, doit être déclarée à la
CNIL.
Dans tous les cas de figure, les utilisateurs doivent être informés de la mise en
place des systèmes de journalisation et de la durée pendant laquelle les données de
connexion permettant d’identifier le poste ou l’utilisateur s’étant connecté sont
conservées ou sauvegardées. Cette information qui réalise l’obligation légale à
laquelle est tenue le responsable du traitement est de nature à prévenir tout risque et
participe de l’exigence de loyauté dans l’entreprise ou l’administration.
Une durée de conservation de l’ordre de six mois ne paraît pas excessive au
regard de la finalité des fichiers de journalisation.
Aucune disposition de la loi du 6 janvier 1978 ne prive le responsable de
l’entreprise de la possibilité d’opposer les informations enregistrées dans les fichiers
de journalisation associés à un traitement automatisé d’informations nominatives à
un salarié ou un agent public qui n’en n’aurait pas respecté les conditions d’accès ou
d’usage (Cour de Cassation B chambre sociale no 98-43 485 du 18 juillet 2000).
E. Le rôle des administrateurs de réseaux
Les administrateurs qui doivent veiller à assurer le fonctionnement normal et
la sécurité des réseaux et systèmes sont conduits, par leurs fonctions même à avoir accès à l’ensemble des informations relatives aux utilisateurs (messagerie, connexions
à Internet, fichiers « logs » ou de journalisation, etc.) y compris celles qui sont enregistrées sur le disque dur du poste de travail. Un tel accès n’est contraire à aucune
disposition de la loi du 6 janvier 1978.
De même, l’utilisation encadrée de logiciels de télémaintenance qui permettent de détecter et réparer les pannes à distance ou à prendre le contrôle, à distance,
du poste de travail d’un salarié (« prise de main à distance ») ne soulève aucune difficulté particulière au regard de la loi du 6 janvier 1978 à condition que les mesures
de sécurité nécessaires à la protection des données soient mises en œuvre.
Toutefois, aucune exploitation à des fins autres que celles liées au bon fonctionnement et à la sécurité des applications des informations dont les administrateurs
60
e
CNIL 22 rapport d'activité 2001