CNIL + Droits des utilisateurs sur les profils et dossier perso

Dans le message :Oqv3ygtDHHA.4508@TK2MSFTNGP02.phx.gbl,
MB <michel.boudat@isped.u-bordeaux2.fr> a pris la peine d'écrire ce qui suit
:

Bonjour

Quand est-il des droits sur les profils et répertoires perso. Est-ce
que l'administrateur a le droit d'avoir le Control Total ?

J'ai entendu parlé de la CNIL qui dit que non ! (pas de Control Total
pour l'administrateur)

Bien sûr que si que l'admin a le contrôle total !
Je ne sais pas d'où tu tires cette info, mais elle est débile si elle existe
!
(j'ai fait des recherches sur le site de la CNIL, je ne l'ai pas trouvée, et
par contre j'ai trouvé des textes qui sont complètement opposés à cela!)


Vu qu'un administrateur est, PAR DÉFINITION, l'utilisateur spécial qui a
TOUS les droits sur tous les fichiers et dossiers, lui interdire certains
fichiers serait contradictoire et surtout ingérable au niveua du système!

Mais "administration" n'exclut pas pour autant "déontologie" !

Et si un utilisateur veut absolument rendre confidentielles ses données, il
peut toujours les chiffrer avec EFS !
Évidemment, s'il existe un compte DRA - agent de récupération de données -
ce compte pourra accéder aux données même chiffrées.
Mais c'est justement, là aussi, le rôle du DRA : accéder aux données en cas
de pb.

Je viens de trouver ce document de la CNIL :
http://www.cnil.fr/fileadmin/documents/approfondir/rapports/Rcybersurveillance-2004-VD.pdf


On peut y lire les passages suivants très intéressants, qui montrent que les
admins ont parfaitement le droits d'accès aux données des utilisateurs, mais
évidemment ils sont tenus de ne pas les divulguer (la déontologie dont je
parle plus haut).


"3. Le rôle des administrateurs informatiques

Les administrateurs qui doivent veiller à assurer le
fonctionnement normal et la sécurité des réseaux et
systèmes sont conduits par leurs fonctions mêmes à
avoir accès à l'ensemble des informations relatives aux
utilisateurs (messagerie, connexions à internet, fichiers
"logs" ou de journalisation, etc.) y compris celles qui
sont enregistrées sur le disque dur du poste de travail.

Un tel accès n'est contraire à aucune disposition de la loi
du 6 janvier 1978. De même, l'utilisation, par les administrateurs
informatiques, de logiciels de télémaintenance qui permettent
de détecter et de réparer les pannes à distance ou de prendre
le contrôle, à distance, du poste de travail d'un salarié
("prise de main à distance") ne soulève aucune difficulté
particulière au regard de la loi du 6 janvier 1978 à condition
que certaines précautions minimales en termes d'information
des employés et de sécurité aient été prises (cf. point 5 :
L'utilisation des logiciels de prise de main à distance).

En tout état de cause, l'accès aux données enregistrées par
les employés dans leur environnement informatique - qui
sont parfois de nature personnelle - ne peut être justifié
que dans les cas où le bon fonctionnement des systèmes
informatiques ne pourrait être assuré par d'autres moyens
moins intrusifs.

De plus, aucune exploitation à des fins autres que celles liées
au bon fonctionnement et à la sécurité des applications des
informations dont les administrateurs de réseaux et systèmes
peuvent avoir connaissance dans l'exercice de leurs fonctions
ne saurait être opérée, d'initiative ou sur ordre hiérarchique.

De même, les administrateurs de réseaux et systèmes,
généralement tenus au secret professionnel ou à une obligation
de discrétion professionnelle, ne doivent pas divulguer des
informations qu'ils auraient été amenés à connaître dans le
cadre de leurs fonctions, et en particulier lorsque celles-ci
sont couvertes par le secret des correspondances ou relèvent
de la vie privée des utilisateurs et ne mettent en cause
ni le bon fonctionnement technique des applications, ni leur
sécurité, ni l'intérêt de l'entreprise.

Ils ne sauraient non plus être contraints de le faire, sauf
disposition législative particulière en ce sens.

L'obligation de confidentialité pesant sur les administrateurs
informatiques devrait ainsi être clairement rappelée dans leur
contrat, ainsi que - lorsque celle-ci est mise en oeuvre - dans
la charte d'utilisation des outils informatiques annexée au
règlement intérieur de l'entreprise ou de l'administration.

Au-delà de cette mention, il serait certainement très utile
qu'une réflexion soit engagée sur la reconnaissance d'un
secret professionnel attaché à cette fonction particulière.

Note :
Dans un arrêt du 17 décembre 2001, la Cour d'appel de Paris
a ainsi relevé que, de manière générale, « la préoccupation
de la sécurité du réseau justifie que les administrateurs fassent
usage de leur position et des possibilités techniques dont ils
disposaient pour mener les investigations et prendre les mesures
que cette sécurité imposait », mais elle a considéré dans cette
affaire que « la divulgation du contenu des messages, et notamment
du dernier qui concernait le conflit latent dont le laboratoire était
le cadre, ne relevait pas de ces objectifs » (affaire n°00-07565)


5. L'utilisation des logiciels de prise de main à distance
[...]
Dans l'hypothèse d'un recours à ces outils à des fins de
maintenance informatique par un administrateur technique,
leur utilisation devrait s'entourer de précautions afin de garantir
la transparence dans leur emploi et la confidentialité des données
auxquelles le gestionnaire technique accédera par ce moyen,
dans la stricte limite de ses besoins.

Devraient notamment figurer au titre de ces précautions
l'information préalable et le recueil de l'accord de l'utilisateur
pour « donner la main » à l'administrateur informatique avant
l'intervention sur son poste (à titre d'illustration, l'accord peut
être donné par simple validation d'un message d'information
apparaissant sur son écran), la traçabilité des opérations de
maintenance (par exemple, par la tenue d'un registre des
interventions), ainsi que la précision dans les contrats des
personnes assurant la maintenance - notamment en cas de
recours à des prestataires extérieurs - de leur obligation de
n'accéder qu'aux données informatiques nécessaires à
l'accomplissement de leurs missions et d'en assurer la confidentialité.

L'utilisation de ces logiciels à des fins strictes de maintenance
informatique n'est pas soumise à déclaration auprès de la CNIL."



--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Bonjour,

Cependant, si une entreprise posséde une convention qui annonce aux
utilisateurs que "par exemple le dossier mes documents en redirection avec
exclusivité", est le repertoire perso de chaque personne....

comment faire si dans la convention, l'adiministrateur doit demander aux
dites personnes de pouvoir en prendre possession ???

A méditer :o)

"MB" <michel.boudat@isped.u-bordeaux2.fr> a écrit dans le message de news:
Oqv3ygtDHHA.4508@TK2MSFTNGP02.phx.gbl...

Bonjour

Quand est-il des droits sur les profils et répertoires perso. Est-ce que
l'administrateur a le droit d'avoir le Control Total ?

J'ai entendu parlé de la CNIL qui dit que non ! (pas de Control Total pour
l'administrateur)

Avez-vous une information à ce sujet ?

Michel

Bonsoir,

La plupart des services juridiques des grandes entreprises ont déjà sué sur
ces problématiques.

Le problème est multiple: Outre les aspects juridiques de tels accès, le
principal soucis se situe au niveau de la déontologie: CAD, qui et comment
accéder aux données.

En général, les entreprises font ainsi:

1/ Création d'une charte d'utilisation des moyens et systèmes d'information
(Partage, Messagerie, Internet). document dans lequel elle rappelle que
seul des données professionnelles doivent y transiter (Donc pas de données
perso CQFD). A partir de là, tout est la propriété de l'entreprise.

2/ Suppression des groupes d'Administrateurs de l'accès aux dossiers perso
des utilisateurs, que l'on remplace par un groupe Déontologie en Full
control.

A partir de là, toute demande à des données passe par la déontologie qui se
fait motiver les demandes d'accès à ces informations, puis autorise ou non
l'accès.

en cas de soucis ou de doute, le service juridique est sollicité!
(application/interprétation de la charte versus la lo). Que faire par
exemple si dans un répertoire de données professionnelles on trouve un
dossier nommé "PERSONNEL-PHOTO DE MES VACANCES" ?

La réponse est simple ! Aucun doute possible ! Il s'agit de données
personnels, malgré qu'elles se trouvent dans un répertoire professionnel, on
ne peux pas ouvrir/consulté ce répertoire.

La règle est la suivant: L'implicite et l'explicite interdisent l'accès.

--
Cordialement,
Michaël

MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

Mon blog:
http://mthibaut.over-blog.com

"Alaura" <theatre-tec@wanadoo.fr> a écrit dans le message de news:
%23BHaiHYEHHA.3820@TK2MSFTNGP02.phx.gbl...

Bonjour,

Cependant, si une entreprise posséde une convention qui annonce aux
utilisateurs que "par exemple le dossier mes documents en redirection avec
exclusivité", est le repertoire perso de chaque personne....

comment faire si dans la convention, l'adiministrateur doit demander aux
dites personnes de pouvoir en prendre possession ???

A méditer :o)

"MB" <michel.boudat@isped.u-bordeaux2.fr> a écrit dans le message de news:
Oqv3ygtDHHA.4508@TK2MSFTNGP02.phx.gbl...

Bonjour

Quand est-il des droits sur les profils et répertoires perso. Est-ce que
l'administrateur a le droit d'avoir le Control Total ?

J'ai entendu parlé de la CNIL qui dit que non ! (pas de Control Total
pour l'administrateur)

Avez-vous une information à ce sujet ?

Michel