Responsabilité de la communication des mdp Windows

La CNIL n'a rien à voir la dedans.
Si plainte il y a, ce sera au tribunal.

J'ai été confronté à un problème similaire, un client (mutinationale) souhaitais copier les données PC de certains utilisateurs et récupérer les backups.

Devant la pression du client, car je refusais de le faire, j'ai demandé conseil aux juristes de ma boite qui m'ont interdit de faire ça.
MAIS, car il y a un mais... la direction peut avoir accès aux données sous certaines conditions.

La direction à du prévenir les utilisateurs, via le comité d'entreprise.
Une fois la déclaration d'intention officielle, la copie a pu se faire, via un tiers, sachant que les données personnelles ne peuvent être utilisées (et normalement consultées).

Donc un employeur peut consulter les données d'un employé, mais doit respecter des procédures bien définies.
Si la loi n'est pas respecter, l'employeur, mais aussi les employés cadres ayant participer à l'opération, s'exposent à des poursuites judiciaires.

La manière dont s'est fait la chose est illégale et risquée juridiquement pour la boite.

 
Hello !
 
Je trouve ça fou qu'on en arrive à contourner le circuit interne de l'information via des groupes facebook (à moins que ce soit clairement la politique de la boite, auquel cas ça me semble encore pire). Je te jette pas la pierre loin de la, j'ai bien compris que le but est de faire ton boulot correctement.

Il peut s'agir de mails auprès des fournisseurs aussi [:spamatounet]  
 
Après moi ce qui me dérange (pas lu tout le topic) c'est au début le "un salarié avec lequel il y a un. au minimum une négociation, au pire un contentieux."
S'il y a contentieux entre la direction et l'employé, et que la direction cherche des preuves pour incriminer ou discréditer l'employé, là ça se retourne directement sur le dos de la direction.
Idem, l'employé peut en faire part auprès de la juridiction gérant ce contentieux. S'il s'agit par exemple de travaux effectués (du genre graphisme ou programmation) mais non payé, présents sur l'ordinateur de l'entreprise, oui les données appartiennent à l'entreprise mais n'a pas le droit de les utiliser car non acheté car il s'agit d'un bien qui appartient jusqu'à paiement à son auteur.
S'il s'agit de contacts auprès de fournisseurs, là c'est différent car il s'agit d'heures de travail, il s'agit d'un service.
 
L'alternant ne craint rien, mais en tant que tuteur j'espère que tu as contacté l'organisme de formation (avec copie auprès de la direction) pour leur signaler le problème. Ton alternant il n'y est pour rien, il s'est fait piéger.

Je fais parti de groupes FB qui font tourner des infos internes plus rapidement et plus efficacement que les mails ou le téléphone entre services [:spamatounet]  
On utilise aussi Yammer pour faire tourner les infos internes de manière bien plus efficace et en zappant certaines couches/personnes (plus récalcitrantes au partage d'infos) afin de savoir ce qu'il se passe.
 
Quand tu as un train en retard à Bordeaux car il y a un problème informatique, qu'à Lyon personne n'est au courant alors que c'est de leur fait mais qu'il faut passer par 4 personnes par mail ou par téléphone pour avoir l'administrateur qui va appuyer sur le bouton pour faire tout repartir à 500km de là, on remercie Yammer. Quand on a des contrôleurs qui repèrent des personnes qui se cachent pour ne pas payer d'un train à un autre, la SUGE remercie Facebook pour pouvoir les chopper à l'arrivée.
Et on utilise du Twitter pour faire passer des alarmes et des stats en temps réel par du bot.

 
Ici c'est un forum de techos/admins principalement. Donc la réponse va être claire : non ce n'est pas protégé.
Donc si tu as une quelconque crainte, tu n'utilises pas Facebook sur ton ordinateur pro.

Alors, juste : privé et personnel, ok, mais "Confidentiel", a mon avis, non. Vu  
"Si vous stockez des documents personnels, rangez-les dans un répertoire ou un dossier intitulé  "Personnel" ou "Privé". L'intitulé "Mes documents", vos initiales ou votre prénom ne suffisent pas à lui donner un caractère personnel."
Confidentiel indique en rien pour qui c'est confidentiel, par rapport a privé ou personnel
 
La charte info, on y reflechit la en effet.

Je ne comprend pas pourquoi tu bloque sur cette notion de support d'usage : j'ai jamais exigé a avoir Facebook quand c'etait bloqué au niveau parefeu .. ni que la boite rajoute une securité biométrique pour s'assurer que seul moi utilise mon facebook sur mon pc du boulot.
Ma question est : mon compte FB personnel est  il protégé de mon supérieur quand je l'utilise sur un ordinateur du travail.
 
De la même facon que l 'est un dossier marqué "Personnel".

 
Déjà répondu : garder les MDP est techniquement sans intérêt et à fort potentiel d'être considéré comme abusif.
Donc tu indiques par écrit cela et si tu veux tu peux rajouter que tu ne tiens pas à gérer cette liste et que tu laisses ta direction la prendre en charge.

 
Ne pas tout confondre.
Il est interdt d'interdire l'envoi de mails persos avec ce qui est mis à disposition pour le boulot.
 
Pour être dans le concret : Si dans ta boite vous utilisez outlook connecté a exchange pour les mails, oui, effectivement, on n'a pas le droit de t'interdire de l'utiliser pour envoyer et recevoir des mails perso.
 
Par contre si on veut interdire gmail, on peut. La loi ne peut pas forcer l'entreprise a rendre disponible gmail, hotmail, facebook et je ne sais quoi.
 
C'est toute la différence entre avoir le droit d'utiliser l'ordi du boulot, et demander à ce que l'entreprise supporte activement l'usage perso.  
C'est exactement ce dont je parle quand je parle de supporter l'utilisation à usage perso. Tu as le droit d'utiliser ce qui est en place (le logiciel de mail etc), mais pas du tout d'exiger plus que ce qui est en place au boulot, pour ton usage perso.
 
Je sais pas si j'arrive à être clair.
 
C'est pareil pour le navigateur et gmail. Si vous avez le droit d'installer chrome et d'aller sur gmail, c'est très bien, mais tu ne peux pas attendre de la boite qu'elle mette quoi que ce soit en place pour proteger cet usage, les données à l'interieur du navigateur etc.
 
Edit : Ou un autre exemple, peut-être plus clair :  
Si ton téléphone de bureau communique avec l'exterieur, tu as le droit de l'utiliser pour passer des appels persos (usage raisonnable toussa), ça aussi c'est dans la loi.
Si ton téléphone de bureau est un téléphone interne uniquement, qui ne peut passer que des appels internes, tu ne peux pas exiger qu'on le fasse communiquer avec l’extérieur afin de pouvoir passer des appels persos.
 
C'est toute la différence entre avoir de droit d'utiliser ce qui est fourni par l'entreprise et demander à l'entreprise de supporter/mettre en place activement l'usage perso.
La loi ne dit pas l'employé doit pouvoir utiliser le matos mis à disposition pour l'usage perso, mais l'employé a le droit d'utiliser pour un usage perso. Ce qui est extrêmement différent.
 
 
J'espère que c'est plus clair avec le téléphone.
 

 
Si le tiers est un superieur à cette personne, non.
Si cette personne va voir les machins persos de l'autre personne, c'est sa responsabilité à elle.

Attend, j'ai demandé aucun support de mon entreprise pour consulter mes emails persos sur mon ordi pro, et ensuite,  c'est légal. (il est même interdit d'interdire l'envoi d'emails perso pendant les heures de boulot : https://www.cadremploi.fr/editorial [...] -vous.html )
J'en reviens surtout a mon contexte initial : si en tant que RSI, je donne un mot de passe de session d'un utilisateur a un tiers autre, et que ce tiers en profite pour lire un gmail perso, par exemple, est ce que je suis incriminable ?
(concrètement, j'ai pas peur d'etre incriminé par le gars espionné, je cherche surtout une argumentation pour expliquer a ma direction qu'il  faut arrêter de garder une copie des mdp).

 
C'est ton problème à toi.
 
Si tu utilises l'ordi pro à des fins persos, tu ne peux t'en prendre qu'à toi.
 
J'ai le même problème avec des utilisateurs ici, ils confondent le fait que la loi les autorise à le faire, avec le fait que l'entreprise devrait mettre en place, gerer et supporter l'utilisation à usage personnel. Ce sont pourtant deux choses parfaitement différentes.

 
Pas compris. Si on ouvre une session, oui on y retrouve ce qui y est enregistré.
Voilà pourquoi on indique que seul l'utilisateur doit accéder à sa session et qu'à travers une Charte il faut l'informer de ses droits/devoirs et que techniquement les matériels/réseaux de l'entreprise peuvent collecter des données de manière automatisée ou manuelle.
Ainsi, l'user qui veut un haut degré de confidentialité pour ses données persos, il évite juste d'utiliser l'informatique de l'entreprise.
A l'heure des tablettes/smartphones/4g 50Go , ce n'est pas difficile.

 
Bien sur que si.
 
La seule chose à laquelle on n'a pas le droit d’accéder sont les documents explicitement marqués comme personnels. Tout le reste appartient à l'entreprise.
 
Le seul et unique point de débat ici est le stockage des mots de passe, qui effectivement devrait plutôt rentrer dans la catégorie "donnée personnelles", mais le reste de l'ordi et de son contenu appartient à l'employeur.
 
https://www.cnil.fr/fr/peut-acceder [...] vacances-0
https://www.village-justice.com/art [...] 18746.html

 
Je pense que tu devrais par écrit :
 
1. l'indiquer à ta direction et leur faire valoir que leur méthode actuelle pourrait être très mal perçue lors d'un contentieux aux Prud'hommes.
2. obliger les users à changer leurs MDP et leur indiquer de ne pas le divulguer à quiconque; que ce n'est pas utile techniquement même en cas d'absence ou d'impératif quelconque.
3. Se rapprocher d'un juriste pour créer une Charte Informatique.

Y a un an, que les des employés en partance ou en désaccord ne "trahissent" pas la boite, en sortant des informations, ou en faisant de la rétention de documents qui seraient sur leur poste. Le discours officiel était d'assurer la continuité de travail quand sur quatre mois on a perdu 20% des gens sur départ volontaire...
Dans ce cas présent, il est possible qu'ils cherchaient des choses compromettantes (le gars en question étant graphiste et faisant parfois des photomontages a distribution très limitée .. )  
 
Effectivement, je devrais mettre les points sur les I avec la direction, mais j'aimerai bien avoir une excuse légale pour lancer une discussion qui va être mal reçue par mon interlocuteur... le souci des petites PME, c'est qu'on est tous soit-disant amis...