Manque d’intérêt

Ce dont nous devrions vraiment parler lorsqu’il s’agit de l’utilisation personnelle de l’internet au travail.

En tant que fournisseur de systèmes primés de contrôle d’accès à l’internet, nous sommes quotidiennement confrontés à des questions sur les nombreux aspects du contrôle de l’accès à l’internet, y compris la question de l’utilisation personnelle de l’internet par les employés sur leur lieu de travail, une question qui revient régulièrement.

Il n’est généralement pas facile de répondre à ces questions, car il s’agit d’un sujet sensible. De plus, l’objectif peut être différent selon la personne qui pose la question.

Quelles sont les questions posées par les patrons et les employés ?

Si vous tapez « utilisation personnelle de l’internet au travail » sur Google, vous obtiendrez environ 380 000 résultats, et « navigation sur l’internet au travail », environ 730 000. Les employeurs ne demandent pas souvent s’ils peuvent interdire à leurs employés d’accéder à leurs courriels personnels ou à leurs comptes de médias sociaux lorsqu’ils sont au travail. Aujourd’hui, la plupart des entreprises ont tendance à autoriser les employés à utiliser cette méthode de communication personnelle pour rester en contact avec leur famille, mais aussi avec les autorités et les institutions.

Cependant, il existe une grande incertitude quant à la mesure dans laquelle cela est acceptable. La perte de temps de travail qui en résulte est-elle un prix trop élevé à payer pour les entreprises ? « Lire un courriel est acceptable, tout comme téléphoner rapidement à sa fille ou prendre une boisson au distributeur automatique, mais aller faire des courses pendant les heures de travail ne l’est pas – alors pourquoi serait-il acceptable pour un employé de réserver des vacances pendant qu’il est au travail ? Les salariés, quant à eux, sont préoccupés par la protection de leur vie privée : Les salariés, quant à eux, sont soucieux de protéger leur vie privée : « Mon patron doit-il être autorisé à consulter l’historique de mon navigateur ? » Et tous deux ont raison de se demander si cela pourrait être un motif de licenciement.

Les questions clés peuvent être résumées comme suit :

• L’utilisation personnelle de l’internet au travail doit-elle être autorisée et, si oui, dans quelle mesure ?
• Les patrons sont-ils autorisés à l’interdire sur les appareils de l’entreprise ? Qu’en est-il des appareils personnels apportés au travail ?
• Est-il permis de surveiller l’utilisation de l’internet par les employés ?

Nous n’aborderons que brièvement les réponses ici, car, comme nous l’avons déjà mentionné, elles ne sont pas claires, et ni la jurisprudence ni la législation existante ne voient les choses de la même manière dans tous les pays. Par exemple, l’utilisation personnelle d’Internet sur le lieu de travail est décrite en Autriche comme autorisée, sauf interdiction expresse, mais en Allemagne comme interdite, sauf autorisation expresse.

Le niveau justifiable d’utilisation de l’internet est une question purement discrétionnaire qui crée une incertitude supplémentaire. Lorsque le législateur invoque le « principe de proportionnalité », il s’agit d’un concept flexible qui, dans la jurisprudence, ne produit un résultat prévisible que dans des cas extrêmes, tandis que l’examen visant à déterminer si le comportement de navigation d’un employé se situe dans des limites acceptables comporte également des pièges potentiels qui doivent être évités si l’on ne veut pas violer les droits de la personne. Les choses sont plus claires en ce qui concerne les appareils. Les patrons peuvent interdire l’utilisation personnelle d’Internet sur les appareils de l’entreprise, mais ce n’est pas tout à fait possible en ce qui concerne les appareils personnels des employés.

Mais en quoi tout cela n’est-il pas pertinent ?

Il ne fait aucun doute qu’il s’agit là de questions importantes. Pourtant, une question importante, qui présente un risque significatif tant pour les employeurs que pour les employés, n’est pratiquement jamais posée. L’ignorer peut s’avérer très, très coûteux. Il s’agit de la question suivante :

Qui est réellement responsable des dommages causés aux données sensibles ou au réseau de l’entreprise ?

Imaginons qu’un cryptotrojan ait crypté les données de l’entreprise. Le temps de récupération implique des coûts énormes, beaucoup d’ennuis et de nombreuses pannes. Le service informatique pense que le virus est probablement arrivé dans une pièce jointe à un courrier électronique via le client web privé d’un employé. L’entreprise fait alors une demande d’indemnisation à cinq chiffres auprès de son assurance responsabilité civile des employés, mais celle-ci est rejetée. Cette assurance « régit la réparation des dommages causés par un employé dans l’exercice de ses fonctions à l’employeur ou à un tiers » (source : wko.at). À proprement parler, l’accès aux courriels personnels ne relève pas de cette catégorie. L’assurance responsabilité civile privée, si elle est souscrite, exigera la preuve irréfutable que l’assuré est bien à l’origine du dommage. Pouvez-vous alors prouver qui était sur l’internet, quand et ce qu’il faisait ? Probablement pas, car les entreprises ne souhaitent pas vraiment espionner leurs employés – sans compter qu’elles n’en ont pas le droit.

Si l’employeur ne veut pas assumer lui-même les coûts des dommages, la seule option restante est de porter l’affaire devant un tribunal civil. Ce n’est pas très agréable pour les deux parties – la relation de travail survivra rarement à une telle démarche et, selon l’ampleur des dommages et l’interprétation de la jurisprudence, le processus peut même aboutir à une situation qui menace les moyens de subsistance de l’individu ou la survie de l’entreprise.

Que faire alors pour éviter qu’une telle situation ne se produise ? En lisant cet article, vous avez déjà fait le premier pas. Pour l’utilisation d’Internet dans le cadre professionnel, les entreprises proposent déjà une série d’options technologiques de réseau visant à améliorer la sécurité. Pensez à l’utilisation personnelle et traitez ces utilisateurs comme les invités de votre système qu’ils sont par définition :

•  Définissez clairement ce qui est autorisé

Cela inclut les horaires et la durée totale maximale, et éventuellement des blocages sur des sites et des activités spécifiques. Cela peut être défini dans le contrat de travail ou dans un accord séparé et, idéalement, dans l’infrastructure du réseau.

•  Créer un accès séparé pour les invités

Un système de contrôle d’accès à Internet est idéal pour attribuer aux utilisateurs des plages horaires ou des quotas spécifiques, des volumes de données, des largeurs de bande, etc. et pour restreindre complètement l’accès à des zones ou à des pages web particulières. Avec IACBOX, il est même possible d’identifier les appareils des utilisateurs et de crypter l’ensemble du réseau local sans fil, du point d’accès à l’appareil final.

•  Authentifiez vos utilisateurs

Vous n’avez pas besoin de conserver vos propres listes si vous utilisez IACBOX – grâce à l’authentification externe, les utilisateurs peuvent être créés en utilisant les données existantes.

•  Utiliser la journalisation verbeuse

Si chaque utilisateur a son propre identifiant, les volumes de données et les temps d’utilisation peuvent être contrôlés et rassemblés. L’activité peut être surveillée sans devoir passer au crible les informations personnelles ou même rechercher l’appareil d’un utilisateur.