La CNIL a énoncé, le 20 mars 2013, un certain nombre de principes portant sur l'utilisation des "Keyloggers" ou "enregistreurs de frappe". Ce terme générique désigne une série de dispositifs de surveillance susceptibles d'être installés sur un ordinateur à l'insu de son utilisateur. Leur objet est d'enregistrer toutes les frappes effectuées sur le clavier, ce qui permet de connaître toutes les activités du poste informatique.
Instrument d'espionnage
Sur le plan technique, les méthodes sont nombreuses, et vont d'une intervention sur la connectique à l'installation discrète d'un logiciel. Elles présentent le point commun d'offrir un redoutable instrument d'espionnage, d'autant qu'il est possible de recevoir des alertes lorsque le propriétaire de l'ordinateur frappe tel ou tel mot clé, ou des rapports résumant son activité quotidienne. Tout cela pour un coût dérisoire, certains enregistreurs de frappe étant même téléchargeables gratuitement sur internet.
Les enregistreurs de frappe ont essentiellement été utilisés par deux types d'usagers. D'une part, certaines officines spécialisées dans "l'intelligence économique" mandatées par un industriel n'hésitent pas à employer ce type de matériel pour obtenir les informations sensibles d'un concurrent. Il s'agit alors purement et simplement d'espionnage industriel. D'autre part, la cyber-délinquance use de ces technologies pour intercepter des informations relatives à des numéros de compte bancaire, des codes ou des mots de passe.
Aujourd'hui, les enregistreurs de frappe sortent de la clandestinité propre aux délinquants pour développer leur marché et acquérir une certaine forme de légitimité. Des employeurs ont eu l'idée étrange d'installer ce type de logiciel espion sur les ordinateurs de leur entreprise, enregistrant ainsi toute l'activité informatique de leurs employés, évidemment à leur insu. Depuis 2012, la CNIL a ainsi été saisie par un certain nombre de salariés, faisant part de leur crainte, réelle ou supposée, d'être espionnés par leur employeur. Après contrôle auprès des entreprises concernées, la Commission a constaté qu'une des plaintes était fondée. Elle a donc rédigé une véritable mise en garde à ceux qui seraient tentés de recourir aux enregistreurs de frappes dans le monde du travail.
Leroy Anderson. Concerto pour machine à écrire et orchestre
Protection de la vie privée et des données personnelles
Le premier principe, le plus fondamental sans doute, est celui de la protection de la vie privée et des données personnelles. Dans un arrêt du 18 mars 2009, la Chambre sociale de la Cour de cassation énonce ainsi qu'il n'est pas interdit à un salarié d'utiliser l'ordinateur mis à disposition par l'entreprise à des fins personnelles, par exemple pour surfer sur internet ou envoyer des courriels, à la condition toutefois de ne pas négliger son travail. L'utilisation d'un enregistreur de frappes conduit donc nécessairement, dès lors qu'il y a captation de l'ensemble de l'activité effectuée sur le poste informatique, à une violation de données personnelles. Qu'il s'agisse de courriels, du code d'une carte bleue, ou du mot de passe pour accéder à un site, tous ces éléments sont transmis à l'employeur espion au milieu des dossiers professionnels.
Absence de consentement
Dès lors que ces informations sont transmises à un tiers, il y a aussi violation du principe du consentement de l'intéressé à la collecte et la conservation de toutes données personnelles le concernant. Cette violation est automatique puisque, par hypothèse, l'enregistreur de frappes agit à son insu.
De cette situation particulièrement grave pour le droit au respect de la vie privée, la CNIL tire une conséquence logique : l'interdiction de principe de l'utilisation des enregistreurs de frappe dans les relations de travail. La seule exception envisagée est l'existence d'un "fort impératif de sécurité", par exemple lorsque le salarié conserve sur son ordinateur des informations sensibles couvertes par le secret industriel et commercial. Dans ce cas cependant, l'utilisation de l'enregistreur ne peut être envisagée qu'après une information des personnels concernés, ainsi avertis du risque de dissémination des données personnelles qu'ils conservent et échangent à partir de leur poste de travail. En tout état de cause, le défaut d'information du salarié constitue une infraction. La loi du 14 mars 2011 punit en effet de 5 ans d'emprisonnement et de 300 000 € d'amende l'utilisation de dispositifs de captation de données informatiques à l'insu des personnes concernées.
L'avertissement de la CNIL sera-t-il suffisant pour faire cesser le développement des enregistreurs de frappes ? Peut être, mais la difficulté essentielle réside dans l'ignorance de l'existence même de ces dispositifs, et dans leur caractère furtif qui rend toute preuve de leur installation sur un ordinateur particulièrement délicate. La solution devrait sans doute être recherchée dans une action préventive, visant l'interdiction de la vente de ces technologies, sauf pour certains usages limitativement énumérés et soumis à autorisation de la CNIL. Les entreprises devraient donc rechercher d'autres moyens de contrôler l'activité des salariés, ce qui est loin d'être impossible. Les officines de sécurité privée, quant à elles, ne pourraient plus utiliser les enregistreurs de frappes à des fins d'espionnage industriel sans encourir une sanction pénale et le retrait de leur agrément. Une mesure sans doute pas inutile pour moraliser un secteur qui en a largement besoin.