Le comportement des utilisateurs est un point névralgique de la sécurité des données dans une organisation. La « politique d’utilisation acceptable » (PUA) est depuis longtemps un outil clé pour guider ce comportement, protéger les réseaux et renforcer le contrôle sur les données. Les tribunaux et arbitres du travail reconnaissent maintenant aux personnes salariées un droit restreint quant au respect de leur vie privée lorsqu’elles utilisent les réseaux de l’entreprise à des fins personnelles. Ce droit ne compromet pas la sécurité du réseau, mais il faut le délimiter dans la PUA.
Voici des réponses à dix questions que les entreprises se posent souvent sur l’équilibre entre une politique efficace et le respect de la vie privée du personnel.
1. Comment les organisations devraient-elles aborder l’usage personnel dans leur PUA?
Les organisations devraient s’assurer que leur PUA (1) indique clairement toutes les raisons qui pourraient justifier la consultation et l’utilisation par la direction de l’information stockée dans le système et (2) souligne que l’utilisation à des fins personnelles est un choix qui diminue l’expectative de vie privée. Cette sentence arbitrale récente démontre qu’il est utile d’énoncer clairement ce choix.
2. Quelles sont les principales raisons qui justifient l’accès par l’organisation?
En voici quelques exemples :
- Pour de l’entretien, des réparations et de la gestion de nature technique;
- Pour satisfaire à une obligation de produire des documents, par exemple dans le cadre de la production de la preuve électronique;
- Pour assurer la continuité des processus de travail (si une personne quitte ou est malade, s’il y a un arrêt de travail, etc.);
- Pour améliorer les processus et gérer la productivité;
- Pour prévenir l’inconduite et assurer le respect de la loi.
3. Comment les organisations devraient-elles définir la portée de leur PUA?
Les PUA s’appliquent généralement à des « utilisateurs » (le personnel et d’autres personnes) et à un « système » ou « réseau ». Pour gérer les attentes quant à la vie privée, la politique doit préciser que les appareils appartenant à l’entreprise (ordinateurs portables, appareils sans fil, etc.) remis pour le travail font partie du système.
4. Sous quel éclairage le contrôle des accès devrait-il être présenté?
Un contrôle des accès basé sur le principe du « moindre privilège » est essentiel pour la sécurité de l’information. Il s’agit d’une mesure à l’avantage de l’organisation et elle devrait être présentée ainsi, et non comme une mesure de protection de la vie privée du personnel.
5. Que devrait dire la PUA sur les mots de passe?
Le partage de mot de passe doit être interdit. Les employés doivent assurer la sécurité de leurs mots de passe.
Les mots de passe servent à protéger les données de l’organisation, mais – étonnamment – les tribunaux ont considéré qu’ils augmentaient l’expectative de vie privée des employés (voir cette célèbre affaire). La PUA devrait indiquer que les mots de passe aident l’organisation à identifier les utilisateurs et ne l’empêchent pas d’avoir accès aux données.
6. L’accès aux renseignements servant aux enquêtes soulève-t-il des enjeux particuliers?
Oui. La PUA devrait indiquer aux employés que l’utilisation du système peut générer des données cachées (fichiers journaux et renseignements supprimés, par exemple) que l’employeur pourrait consulter à l’occasion d’une enquête, notamment.
7. Comment l’organisation devrait-elle aborder l’utilisation d’appareils personnels?
L’option la plus sécuritaire est d’utiliser uniquement des appareils appartenant à l’entreprise, mais nombreuses sont les organisations qui permettent à leur personnel d’utiliser leurs propres appareils. Les employeurs devraient utiliser des mesures techniques et juridiques pour sécuriser leur réseau et contrôler les données d’entreprise qui se trouvent dans des appareils personnels. Par exemple : imposer la gestion à distance des appareils personnels comme condition pour leur utilisation (acceptation d’une certaine atteinte à la vie privée).
8. La PUA devrait-elle encadrer l’utilisation des médias sociaux?
De manière indirecte seulement. Les PUA encadrent l’utilisation des réseaux d’entreprise, et les politiques sur les médias sociaux encadrent les publications Web faites à partir de n’importe quel appareil. Les employeurs devraient préciser que les publications faites de la maison ne sont pas nécessairement privées et éviter d’intégrer des règles sur les médias sociaux dans leur PUA.
9. Les organisations devraient-elles exiger une attestation annuelle?
Les attestations annuelles ne sont généralement pas requises pour faire appliquer des PUA. L’important est d’indiquer clairement l’existence des modalités. Un avertissement à la connexion peut être utile. Par exemple : « Utilisez un appareil personnel qui n’est pas connecté à notre système pour vos communications et fichiers personnels confidentiels. »
10. Y a-t-il des considérations particulières pour les organisations du secteur public?
Au Canada, les employeurs du secteur public sont assujettis à la Charte canadienne des droits et libertés et aux lois sur l’accès à l’information. De plus, leur personnel est souvent syndiqué. Les lignes directrices ressemblent à celles pour les organisations privées, mais ils doivent être particulièrement prudents dans la gestion des attentes de leur personnel, vu leur contexte juridique.
Communiquez avec nous
Le groupe Cybersécurité, respect de la vie privée et protection des renseignements personnels de BLG surveille de près l’évolution rapide des lois sur la cybersécurité et la protection de la vie privée et peut vous aider à planifier la stratégie de votre organisation en matière d’utilisation acceptable, d’usage personnel et de vie privée du personnel. N’hésitez pas à communiquer avec les personnes-ressources ci-dessous si vous avez des questions.
