L'utilisation de l'historique de navigation des employés à des fins de cybersécurité soulève d'importantes questions juridiques et éthiques. Dans un contexte où les cyberattaques sont de plus en plus fréquentes (selon Gartner, 45% des entreprises dans le monde auront subi des cyberattaques d'ici à 2025, avec une attaque toutes les 39 secondes actuellement), la mise en place de dispositifs de surveillance peut sembler nécessaire. Cependant, cette pratique doit s'inscrire dans un cadre strict respectant les droits fondamentaux des salariés.
Un sujet complexe entre questions juridiques et éthiques
Fondement juridique et obligation légale
L'employeur a non seulement la possibilité, mais aussi l'obligation légale de conserver un enregistrement de l'historique de navigation internet de chaque poste utilisé par ses employés. En effet, étant légalement considéré comme un fournisseur d'accès internet pour ses salariés, il doit pouvoir retracer toute activité illicite sur internet. Cette obligation s'inscrit dans le cadre plus large de la journalisation des systèmes d'information, considérée comme un pilier central de la cybersécurité par l'ANSSI.
Finalité légitime et proportionnée
L'utilisation de l'historique de navigation est autorisée si elle est justifiée par une finalité légitime, comme la protection des systèmes informatiques et des données de l'entreprise contre les cyberattaques. Cette utilisation doit être proportionnée, c'est-à-dire limitée aux données nécessaires pour atteindre cet objectif précis.
La CNIL reconnaît explicitement que "la journalisation des actions d'accès, création, modification et suppression sur un traitement de données personnelles fait clairement partie des exigences en matière de sécurité desdits traitements". Cette journalisation constitue un élément essentiel pour détecter les incidents, analyser les événements post-incident (analyse forensique) et assurer la conformité réglementaire.
Information préalable obligatoire
Les employés doivent être informés de manière claire et transparente sur :
- La collecte de leur historique de navigation
- Les finalités spécifiques (ex. : amélioration de la cybersécurité)
- Les modalités du traitement (ex. : durée de conservation, accès limité aux données)
Cette information peut être fournie dans une charte informatique ou une politique interne.
Cette obligation d'information préalable est clairement établie par l'article L1222-4 du Code du travail qui dispose qu'"aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance". Le non-respect de cette obligation peut conduire à des sanctions sévères, comme l'illustrent les décisions récentes de la CNIL.
Encadrement strict
L'accès à l'historique doit être limité aux personnes habilitées (ex. : service informatique ou sécurité). Selon les recommandations de la CNIL et de l'ANSSI, "seules des personnes spécifiquement habilitées peuvent accéder aux éléments de journalisation" et "les personnes habilitées doivent être soumises à des obligations de confidentialité particulières".
Les données collectées ne doivent pas être utilisées à d'autres fins, comme l'évaluation des performances des employés. La CNIL souligne que "ces journaux contiennent également des données relatives aux utilisateurs habilités du système qui peuvent révéler des informations sur eux (par exemple liées à leur performance professionnelle)", ce qui implique des risques de détournement d'usage qu'il convient de prévenir.
Des mesures techniques et organisationnelles doivent garantir la confidentialité et la sécurité des données, notamment en limitant "l'accès aux journaux en écriture à un nombre restreint de comptes ayant le besoin d'en connaître".
Durée de conservation adaptée
La CNIL recommande une durée de conservation des logs comprise entre 6 mois et un an. Cette durée peut être allongée sous certaines conditions, notamment pour les besoins de la sécurité informatique, jusqu'à trois ans voire davantage.
Pour les données relatives à la sécurité des réseaux et des installations, une conservation maximum de 3 mois est préconisée pour les données permettant d'identifier l'origine de la communication, les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication.
Architecture technique sécurisée
L'ANSSI recommande de mettre en place une architecture de journalisation robuste, incluant:
- L'exportation automatique des journaux vers une machine physique différente de celle qui les a générés
- La centralisation des journaux de l'ensemble des équipements sur des serveurs dédiés
- La mise en place d'une redondance du serveur central en cas de volume important
- L'utilisation de protocoles sécurisés pour le transfert des logs
Les frontières à ne pas dépasser en voulant améliorer votre cybersécurité
Risque d'atteinte à la vie privée
Même sur son lieu de travail, un employé conserve son droit au respect de la vie privée. La CNIL rappelle que "même sur son lieu de travail, un employé a droit au respect de sa vie privée et à la protection de ses données personnelles". Une surveillance excessive ou disproportionnée constituerait une violation de ce droit fondamental.
Interdiction de la surveillance permanente
La CNIL souligne régulièrement que "l'employeur ne peut pas surveiller ses salariés de manière continue". Si l'historique de navigation était utilisé pour mettre en place une surveillance permanente de l'activité en ligne des salariés, cela serait contraire au principe de proportionnalité.
Risque de détournement de finalité
L'utilisation des logs à d'autres fins que la cybersécurité constituerait un détournement de finalité. L'ANSSI et la CNIL précisent qu'il ne faut pas "utiliser les informations issues des dispositifs de journalisation à d'autres fins que celles de garantir le bon usage du système informatique". Par exemple, utiliser ces données pour "compter les heures travaillées est un détournement de finalité, puni par la Loi".
Potentielles sanctions en cas de non-conformité
La CNIL a prononcé plusieurs sanctions en 2025 concernant la surveillance excessive des salariés, pour un montant cumulé de 104 000 euros. Ces sanctions concernaient notamment l'absence d'information des salariés sur les dispositifs de surveillance et la collecte disproportionnée de données.
Mise en œuvre conforme
Consultation des instances représentatives
Avant de mettre en place un système de surveillance de l'historique de navigation, il est nécessaire de consulter les instances représentatives du personnel (CSE), comme le rappelle la CNIL. Cette consultation préalable constitue une étape obligatoire pour garantir la transparence du dispositif.
Élaboration d'une charte informatique
Il est fortement recommandé d'élaborer une charte informatique claire précisant les règles d'utilisation d'Internet. Comme l'indique le Journal du Net, "plus les règles seront précises et claires, plus il sera possible pour l'employeur de s'en servir pour sanctionner un salarié ne respectant pas ses recommandations".
Limitation au strict nécessaire
La CNIL rappelle que "l'employeur ne doit collecter que les données dont il a réellement besoin, et ne doit le faire qu'après en avoir informé les personnes concernées". Pour l'historique de navigation, cela implique de ne collecter que les informations pertinentes pour la cybersécurité (comme les URL consultées) sans recueillir d'informations excessives.
Sécurisation des accès
Les accès aux données de journalisation doivent être strictement limités aux personnes habilitées et traçables. L'ANSSI recommande que "les processus de journalisation et de collecte doivent être exécutés par des comptes disposant de peu de privilèges" et que "les comptes ayant accès à l'outil de consultation centralisée des journaux doivent être associés à des rôles prédéterminés".
Respect des droits des employés
Droit à l'information
Chaque salarié doit être informé individuellement de l'existence du dispositif de surveillance avant sa mise en place. Un simple panneau général ou une mention dans le règlement intérieur ne suffit pas, comme l'a rappelé la CNIL dans ses récentes sanctions.
Droit d'accès
Les salariés conservent leur droit d'accès aux données personnelles les concernant. "Un salarié peut ainsi demander à son employeur l'accès et la communication des données personnelles qu'il a en sa possession".
Droit à la déconnexion
Les employés doivent pouvoir désactiver la collecte ou la transmission de données en dehors du temps de travail. Ce droit à la déconnexion s'applique également à la collecte de l'historique de navigation.