Petite question RGPD, je gère actuellement un proxy squid et pour renforcer
la sécurité je regardais pour faire de l'interception SSL(HTTPS).
Pas juriste mais quelque expérience à faire confirmer par un homme de
l'art. Tout est question de proportionnalité et de justification du procédé.
Si t'es dans le SD, une règle peut être qu'aucun poste n'a internet sauf
celui qui est dans la pièce contrôlée. C'est proportionnel et inattaquable.
Si t'es dans le CD, une règle peut être que l'internet disponible soit
surveillé. C'est proportionnel et inattaquable.
Si t'es dans la vente de rouleaux sopalin, ça sera considéré comme
disproportionné, compte tenu que le seul secret envisageable (et donc
justifiant la surveillance) serait d'ordre commercial (concurrence
déloyale interne, etc...). La proportionnalité (entre les moyens et le
risque) n'est pas respectée, ce n'est donc pas justifié, c'est un abus
sanctionnable.
Si t'es entre les deux et que ce contrôle est proportionnel et donc
justifiable, après consultation d'un juriste, ce dernier te conseillera
peut-être, par exemple, pour lever toute ambiguïté, d'obtenir un accord
d'entreprise, signé par tous les salariés concernés :
- Informant précisément les salariés des traitements de surveillance
exercés sur les stations de travail (et les risques encourus en termes
de divulgation des données personnelles en cas de non respect de
l'accord) - avec référence cnil, anssi, rgpd, duschmoll et tuttiquanti ;
- Mettant en libre service des stations non surveillées en nombre
suffisant pour les besoins des salariés en pause ;
- Restreignant de façon stricte (c'est plus joli que interdisant) tout
usage personnel des stations de travail pour éviter toute divulgation de
données personnelles ;
- Il devrait même y avoir un article 'sanctions' pour les contrevenants,
avec aggravation si récidive, histoire de border le truc face à un
tribunal. Une interdiction sans sanction n'est pas crédible.
L'objectif et le dispositif sont proportionnels et justifiés, le
personnel est précisément informé des droits, obligations et sanctions,
il dispose de solutions pour la pause, il a signé. Avec un juriste
spécialisé, ça devrait prévenir pas mal de risques.
Je serais toi, je regarderais déjà la jurisprudence, ça donne de
nombreuses idées...
PS
Exercer un contrôle avec non déchiffrement des sites "à données
personnelles" peut être fastidieux, consommateur de ressources et/ou
forcément laisser des trous dans le fromage, donc présenter un risque
juridique. Ca peut (va) craindre financièrement en cas de conflit.
--
Stéphane Rivière
Ile d'Oléron - France
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/