Les keyloggers font surtout parler d'eux quand ils sont utilisés par des cybercriminels afin de dérober des informations sensibles à la suite de l'infection d'un ordinateur. Ils permettent d'enregistrer les frappes au clavier ou les écrans consultés en association avec la date et l'heure. Mais la Commission nationale de l'informatique et des libertés rappelle une autre réalité.
De tels dispositifs se trouvent facilement sur le Web et des entreprises n'hésitent pas à y avoir recours afin d'épier leurs salariés. Une surveillance qui peut alors largement dépasser le cadre strictement professionnel.
La CNIL indique avoir reçu plusieurs plaintes de salariés qui ont dénoncé une installation de keyloggers. À l'issue de contrôles auprès de sociétés, l'une d'entre elles a été rappelée à l'ordre avec une mise en demeure de cesser une telle activité très intrusive et portant une " atteinte excessive à la vie privée des salariés ".
L'autorité administrative précise qu'un dispositif de keylogger " ne peut être utilisé dans un contexte professionnel, à l'exception d'impératifs forts de sécurité " comme par exemple pour lutter contre la divulgation de secrets industriels.
En début d'année, pour la journée européenne de la protection des données, la CNIL a publié une série de fiches thématiques dont une sur les outils informatiques au travail ( PDF ). On peut y lire pour les keyloggers :
" Ils permettent d'enregistrer à distance toutes les actions accomplies sur un ordinateur. Sauf circonstance exceptionnelle liée à un fort impératif de sécurité, ce mode de surveillance est illicite. "
