Alertée par un membre du syndicat, la CNIL questionne Astek sur le fait que l’entreprise s’est permise de consulter et d’utiliser à des fins de sanctions (!) les messages instantanés échangés sur la messagerie professionnelle de l’entreprise. L’avènement des outils collaboratifs numériques doit s’accompagner de la prise de conscience que les dirigeants de l’entreprise peuvent potentiellement demander à accéder à tous les documents qui se trouvent sur le réseau… Et pourquoi pas en faire un usage malveillant ?..

Un usage malveillant par le même directeur qui avait piégé un collègue en se faisant passer pour un client.

La plainte avait été déposée en Février 2021, après avoir épuisé tous les soi-disant recours interne à l’entreprise. Les fameux Data Protection Officer et Responsable de la Sécurité du Système d’Information n’ont manifestement pas su mettre en oeuvre les procédures en vigueur. Des procédures qui ne sont ainsi que de la poudre aux yeux.

On en viendrait même à croire que ce sont des remparts destinés à couvrir certains risques judiciaires… En gros la procédure en cas d’atteinte fait intervenir une commission interne qui étouffe le cas, ou qui épuise le plaignant… qui n’a d’autre choix que de porter plainte contre son employeur : mais qui veut faire ça hein ?

La CNIL a mis à jour le dossier récemment fin Août 2022 en indiquant « la Commission a interrogé le délégué à la protection des données de la société, concernant les faits que vous relatez. Un rappel de la réglementation applicable en matière de protection des données a été effectué à cette occasion.« 

On n’est pas vraiment plus avancé à ce stade. Mais c’est un début. Et une nouvelle occasion de vous informer sur la prise de conscience nécessaire quant au détournement possible d’échanges que vous pensiez anodins sur les réseaux de l’entreprise.

Enfin, pour la blague j’espère, qui dit que les machines à café n’enregistrent pas les conversations ? 😉

Plus d’infos sur les règles autour des données personnelles au travail sur le site de la CNIL.

Organisme concerné par la plainte

Organisme mis en cause GROUPE ASTEK N° SIREN 489800805

Demande

Bonjour,

Un groupe de discussion instantanée entre salariés de l’entreprise a été créé dans l’environnement informatique professionnel au mois d’Avril 2020. Le groupe rassemblait environ 130 collaborateurs le 10 Juin 2020, date à laquelle il a été désactivé par le service informatique. Par suite, des collaborateurs, dont moi-même, ont été sanctionnés sur la base du contenu de certains échanges du groupe. Plusieurs directeurs ont en effet été autorisés à consulter l’archive du groupe de discussion pour en tirer des extraits, dont certains ont été lus en réunion de CSE par les représentants de la direction, et dont certains ont été utilisés par un directeur local pour alimenter des dossiers de sanctions.

Or le règlement intérieur de l’entreprise (ci-joint RI_GPE-ASTEK – pièce 4), sur lequel le CE a été consulté, ne mentionne en son article 13 tout dernier paragraphe, qu’une utilisation purement technique « pour des nécessités de sécurité, maintenance et gestion technique ».

J’ai formulé plusieurs questions adressées au PDG, au responsable de la sécurité des systèmes d’information, et au DPO, en dates des 16 Septembre (ci-joint Astek-Memo-aPDG-16Sep – pièce 2), 12 Novembre (ci-joint Astek-Memo-aPDG-12Nov – pièce 3). Sans prise en compte le 2 Décembre, j’ai finalement saisi la commission interne, en application d’une procédure d’alerte (pièce 5) en cas de violation de données personnelles (ci joint SMI-000219 – pièce 5).

Ma saisine et la réponse parcellaire et sans argumentaire parvenue le 13 Janvier 2021, sont consignées dans la pièce 1 ci-jointe Astek-Memo-aRSSI-02Dec. J’y demande selon quelles procédures des dirigeants peuvent obtenir accès à des échanges entre salariés. Sans réponse. J’y demande de lever les doutes sur la possible usurpation d’identité d’un salarié, mais la négation reste sans argument.

N’ayant à ce jour aucune réponse à ma demande de clarification du 14 Janvier, je vous adresse cette plainte ainsi qu’aux DIRECCTE de ressort de nos établissements, notamment celle de Nice et celle du siège de l’entreprise à Boulogne.

Cordialement, Eric Ducatel

Pièce jointe 1 : Astek-Memo-aRSSI-02Dec20-TraitementSaisineViolationDonnéesPersos.pdf
Pièce jointe 2 : Astek-Memo-aPDG-16Sep20-UnDirecteurAccedeaDiscussion.pdf
Pièce jointe 3 : Astek-Memo-aPDG-12Nov20-UtilisationdetourneeDonneesPersos.pdf
Pièce jointe 4 : RI_GPE-ASTEK_VF-Depot_022017.pdf
Pièce jointe 5 : SMI-000219-PROC_Alerte en cas de violation des données personnelles_1.1.pdf

Réponse du 29 Août 2022

Monsieur,

Vous avez saisi la CNIL d’une plainte relative à l’utilisation de données issues d’un groupe de discussion instantanée entre salariés de la société (GROUPE) ASTEK.

Je vous prie tout d’abord d’excuser ce retour tardif. En effet, la CNIL est saisie d’un nombre de dossiers toujours important, ce qui a nécessairement des conséquences sur leurs délais de traitement.

Je vous informe ensuite que certains éléments de votre demande ne sont pas de la compétence de la Commission, s’agissant de la contestation de sanctions prises par un employeur ou d’éventuels faits susceptibles d’être qualifiés d’usurpation d’identité. Vous pouvez toutefois saisir le juge compétent de ces faits.

Je vous indique par ailleurs que la Commission a interrogé le délégué à la protection des données de la société, concernant les faits que vous relatez. Un rappel de la réglementation applicable en matière de protection des données a été effectué à cette occasion.

Nous ne manquerons pas de vous tenir informé des suites apportées à votre dossier.

Le service de l’exercice des droits et des plaintes