Un espion dans votre ordi

* Certains noms ont été changés.

Mai 1999. Jean Cavada*, superviseur chez CAE Electronique, à Montréal, a une curieuse énigme à résoudre: un technicien de l’entreprise a réclamé le paiement de plus de 460 heures supplémentaires depuis le mois de janvier… tout en accumulant retards et mauvaises performances.

Il ne faudra pas longtemps aux services informatiques pour trouver la clé de l’énigme: les rapports mensuels d’activités de son poste de travail établissent que l’employé a navigué sur Internet pendant 329 heures entre janvier et mai. En mars seulement, il y a passé 120 heures et consulté 25 sites – pornographiques pour la plupart. Fréquence, durée, adresses, date et heure de ses visites: toutes ces données ont été enregistrées dans le serveur de l’entreprise.

Selon Jean-Alexandre Léger, expert en technologies de l’information (TI), la majorité des entreprises québécoises, y compris les plus petites, sont en mesure de produire des rapports similaires à ceux de CAE. Ces informations sont accessibles rapidement et facilement grâce aux fonctions de recherche de leurs outils de surveillance et de filtrage du trafic Internet. Il n’est même pas nécessaire d’être informaticien pour les obtenir. Grâce à Websense, le système de filtrage web le plus en vogue au Québec, c’est devenu un jeu d’enfant. «Tout patron peut ainsi obtenir le top 10 quotidien des plus grands utilisateurs, incluant la durée et les adresses de leurs visites», précise Jean-Alexandre Léger.

Pour en savoir plus sur les activités d’un employé, il suffit d’effectuer une recherche plus détaillée à partir de l’adresse IP de son poste de travail. A défaut d’avoir accès au contenu des courriels personnels, le patron saura tout sur leur volume et sur la durée des passages de l’employé sur des sites de messageries web comme Yahoo! ou Hotmail.

De plus, les règles de gouvernance des sociétés cotées en Bourse, de leurs fournisseurs et même de certains consultants les obligent à archiver les courriels pendant plusieurs années. «Si un client veut obtenir tous les messages reçus le 18 mai 2006, je peux les lui fournir», dit David Poellhuber, président de Zérospam, une boîte montréalaise spécialisée dans le blocage des pourriels pour diverses PME et grandes entreprises.

L’erreur la plus courante consiste à croire qu’on fait disparaître toute trace de ses échanges en cliquant sur SUPPRIMER. «Il n’y a pas de triangle des Bermudes pour les courriels», ironise Me Julie-Martine Loranger, spécialiste en litige civil et commercial, associée au cabinet Gowlings, à Montréal.

«Mettre un fichier à la corbeille, précise Jean-Alexandre Léger, c’est comme retirer une cassette audio de votre lecteur. Vous ne pouvez plus écouter la cassette, mais elle existe toujours. L’unique façon de l’effacer est d’enregistrer autre chose sur la bande.»

Quand il s’agit d’un fichier Word, c’est encore possible, mais pour ce qui est d’un courriel ou de la visite d’un site Internet, c’est peine perdue.

«Tout le monde le fait!» C’est l’argument-choc, celui censé couvrir nos débordements «raisonnables». C’est aussi pour cette raison que la majorité des organisations ont à l’œil les activités Internet de leurs employés. Et, en ce début de XXIe siècle numérique, elles ont de nombreuses raisons d’être vigilantes relativement au web.

La productivité vient en tête. En 2007, près de 40 pour 100 des travailleurs québécois sondés par CROP pour l’Ordre des conseillers en ressources humaines et en relations industrielles agréés ont dit fréquenter Internet à des fins personnelles 22 minutes par jour en moyenne, soit près de deux heures par semaine.

Il faut toutefois se méfier de ces chiffres, souvent sous-évalués. Lors d’une enquête menée en 2006 par Harris Interactive, des salariés américains estimaient qu’ils passaient 3,1 heures par semaine sur la Toile pour des raisons personnelles; or les spécialistes des technologies de l’information interrogés évaluaient plutôt la consommation hebdomadaire d’Internet de ces mêmes travailleurs à 5,7 heures… A l’échelle d’un pays, ces pertes de temps se chiffrent en milliards de dollars.

La surveillance vise aussi à prévenir la contamination et la paralysie des réseaux par les virus qui les assaillent régulièrement à la suite de visites sur des sites de pornographie, de jeux interactifs ou de hasard. Certains virus permettent à des intrus d’accéder à des données confidentielles et à des secrets industriels.

Autre crainte, tout aussi légitime: les risques de poursuites. Au Québec, où les employeurs ont le devoir légal de prévenir le harcèlement psychologique – et d’y mettre fin -, la Commission des normes du travail observe que plaignants et accusés utilisent de plus en plus les courriels comme pièces à conviction.

«Les employeurs peuvent aussi être tenus responsables d’actes illégaux commis par leurs employés, comme la diffamation ou la violation des droits d’auteur», ajoute Me Loranger.

De plus, les échanges électroniques sont désormais utilisés en preuve dans de nombreux procès criminels ou civils, comme l’affaire Norbourg.

Les experts en technologies de l’information s’inquiètent enfin des surcharges de la précieuse bande passante, souvent causées par de petits gestes qui semblent tout à fait anodins à leurs auteurs.

Chaque matin, Claudia Cantin* sirote son café devant son ordinateur avant de partir au bureau. «Je sais que je vais rire en ouvrant ma messagerie Yahoo! C’est ma pause-santé avant la tornade du boulot», confie-t-elle.

Cette professionnelle dans la quarantaine est membre de trois réseaux d’échanges de blagues. Elle réexpédie les plus drôles – souvent des vidéos – à la dizaine de destinataires de sa liste d’envois humoristiques. Certains ouvriront son message et ses fichiers joints au bureau. Bien involontairement, Claudia les met dans le pétrin s’ils décident de regarder le dernier clip des Têtes à claques ou des photos sur Facebook.

«Lorsque YouTube est apparu, le trafic a explosé, note Christine Grassi, de CGI, une firme qui œuvre dans les technologies de l’information. C’est comme ça lors de l’ajout de toute nouveauté sur le web.»

Pour les informaticiens, cette explosion devient une «anomalie». Et c’est souvent en observant de telles anomalies que les experts en TI partent à la chasse. «Les administrateurs de réseaux peuvent être alertés par un volume important de courriels émis ou reçus par une même personne, ou encore par le passage de fichiers vidéo», dit Jacques Viau, directeur de l’Institut de la sécurité de l’information du Québec. Selon cet ancien superviseur de l’unité d’enquête sur la criminalité technologique de la police de Montréal, les outils de surveillance favoris des patrons québécois sont, la plupart du temps, conçus et utilisés pour maintenir et gérer un environnement de travail efficace. Rien de très méchant comparativement à ce qui se passe aux Etats-Unis.

En 2005, un sondage de l’American Management Association et du ePolicy Institute révélait que trois entreprises américaines sur quatre vérifiaient régulièrement les sites web visités par leur personnel. Plus du tiers poussaient l’intrusion jusqu’à calculer le temps passé à l’ordinateur, à enregistrer les touches du clavier utilisées et à comptabiliser les téléchargements. En 2007, selon les mêmes sources, 43 pour 100 des entreprises surveillaient les courriels, et la majorité d’entre elles l’ont fait à l’aide de logiciels espions.

Ismael Rodriguez, analyste informatique chez Copier Country, un commerce de New York, peut jouer les Big Brother grâce à Spector Pro, un des multiples logiciels espions sur le marché. «Je peux voir sur mon écran tout ce que les employés font sur Yahoo! dit-il. Je peux lire tout ce qu’ils écrivent et connaître les chansons qu’ils téléchargent sur leur iPod. Ils ne peuvent rien me cacher.»

Grâce à ces dispositifs, 30 pour 100 des entreprises américaines ont déjà congédié des employés pour mauvais usage d’Internet, et 28 pour 100 en ont licencié pour le volume ou le contenu de leurs courriels. Les travailleurs à l’emploi de sociétés américaines devraient être particulièrement prudents: dans certains cas, le trafic informatique hors frontières peut être «filtré» par des serveurs situés aux Etats-Unis.

Au Québec, la Charte des droits et libertés de la personne garantit le droit à la vie privée… même au travail. Il est donc interdit aux employeurs d’utiliser des outils de surveillance comme Spector Pro ou de braquer en permanence des caméras sur des individus. Les droits des travailleurs sont aussi mieux protégés que chez nos voisins du sud. Les syndicats, qui représentent quatre salariés québécois sur 10, surveillent la surveillance. Et les non-syndiqués peuvent obtenir l’aide de la Commission des normes du travail contre des sanctions ou des congédiements qu’ils jugent injustifiés.

Malgré cette barrière de protection, l’usage personnel d’Internet au travail est loin d’être un bar ouvert sans frais et sans règles. L’employé indélicat de CAE dont nous parlions au tout début de cet article a été congédié. Son syndicat a porté sa cause devant le tribunal d’arbitrage qui, en janvier 2000, a confirmé son renvoi, pour dérogation aux politiques d’utilisation d’Internet de l’entreprise interdisant la consultation de sites pornographiques, et pour «vol de temps». Cette décision a fait jurisprudence au Québec.

Les ordinateurs appartiennent aux patrons, qui ont le droit d’en vérifier l’usage. La loi leur permet aussi d’avoir accès au contenu des courriels et aux conversations téléphoniques s’ils ont des motifs sérieux de croire que l’employé, par ces moyens, porte préjudice à l’entreprise ou à des individus.

Lorsqu’un employeur s’interroge sur l’usage que fait un travailleur de son ordinateur, il a le droit de le prendre au collet… et de faire appel à tout ce qu’il faut d’outils et d’experts pour y parvenir. Au Québec, de nombreuses pièces à conviction déposées devant des tribunaux du travail illustrent, comme dans l’affaire CAE, la précision chirurgicale de leurs enquêtes.

En 2006, le congédiement d’un agent du service à la clientèle de Desjardins a été confirmé par la Commission des relations du travail, l’instance responsable, notamment, des plaintes des non-syndiqués. En cour, l’employé avait déclaré avoir utilisé le courriel environ 20 fois par semaine durant sa formation. Son employeur a démontré qu’il avait reçu 616 messages et en avait expédié 454 en deux mois. Une simple recherche sur le serveur de courriels de Desjardins a suffi pour en fournir la preuve au tribunal.

Lorsque l’employeur veut en savoir davantage et que les systèmes de surveillance de base ne sont pas à la hauteur, des limiers sont en mesure de tout retracer. En 2005, deux conseillers d’Hydro-Québec ont réussi, après 200 heures de fouilles, à débusquer le contenu de toutes les communications d’un informaticien sur une période de deux mois et demi. Son C.V., ses échanges avec sa mère, ses collègues et ses supérieurs n’avaient plus de secrets pour l’arbitre de grief qui a entendu la contestation de son renvoi. Me Marcel Morin a commué cette sanction en suspension, jugeant que ses activités sur le web ne lui valaient pas un congédiement – la peine de mort en droit du travail.

CAE, Desjardins et Hydro-Québec ont fait la preuve que même sans posséder les outils et le droit d’espionnage en temps réel dont disposent les Etats-Unis, les organisations québécoises sont en mesure de tout retracer après coup. Ironiquement, ce ne sont pas les experts en technologies de l’information qui ont provoqué les enquêtes dans ces trois entreprises. Les salariés sanctionnés ont tressé eux-mêmes la corde qui les a pendus. Le technicien de CAE a réclamé le paiement d’heures supplémentaires tout en consultant Internet, et chez Desjardins et Hydro-Québec, du matériel personnel trouvé par un superviseur près de l’imprimante a mené à une investigation.

Au Québec, de nombreuses organisations informent leurs employés qu’elles sont en mesure de scruter leurs activités sur Internet. Elles adoptent des politiques d’usage personnel allant de l’«accommodement raisonnable» à la «tolérance zéro». Souvent, ces politiques sont prises à la légère ou carrément violées.

«Internet crée des phénomènes semblables à ces foules de gens non violents applaudissant des hockeyeurs qui se tapent dessus, observe Me Robert Rivest, directeur des affaires juridiques de la Commission des normes du travail (CNT). Les internautes ont l’impression que parce qu’ils sont dans le cyberespace, ils ne sont pas responsables de leurs actes. Un clic, et la blague de mauvais goût est réexpédiée.»

Il raconte l’histoire de ce professionnel, licencié après 10 ans de bons et loyaux services, qu’un seul courriel a fait courir à sa perte. Une collègue, offensée par le caractère dégradant de sa blague du jour, l’a dénoncé, et l’employeur a appliqué à la lettre sa politique de tolérance zéro. Comble de malchance, les procureurs de la CNT ont dû renoncer à batailler pour sa réintégration devant un tribunal. «C’est sa femme, fonctionnaire au fédéral, qui lui avait transmis le courriel incriminant, explique Me Rivest. Si nous avions porté l’affaire en cour, elle risquait elle aussi d’être congédiée.»

C’est ce qu’on appelle l’effet domino: quand un salarié se sert de son ordinateur à des fins personnelles, il peut bien involontairement entraîner tout son réseau dans sa chute. En 2007, ce fut le cas pour six travailleurs de la filiale montréalaise d’une firme américaine de sécurité. «Le service des ressources humaines m’a demandé de consulter les courriels d’un commis à la saisie de données, raconte Jeanne*, une chef d’équipe. Il était très actif à l’ordinateur et produisait peu. Sa boîte de messagerie contenait des échanges fréquents – rien de méchant – avec cinq autres employés. Ils ont tous écopé d’une note disciplinaire à leur dossier.»

Encore une fois, ce n’est pas la surveillance informatique qui a déclenché ces deux histoires, mais plutôt l’inconduite, l’insouciance et la délation. Les informaticiens ont pris le relais avec une efficacité redoutable.

«Quand les gens placotent, les pertes de temps et les propos scabreux sont difficiles à mesurer et à sanctionner, résume Me Pierre Moreau, président du comité du droit du travail et de l’emploi à l’Association du Barreau canadien. Avec les ordinateurs, les patrons peuvent faire la preuve, à la seconde près, du temps gaspillé par les employés et du caractère inapproprié de leurs activités.»

Sachant cela, une seule règle s’impose: ne faites rien de stupide! Me Julie-Martine Loranger recommande de soumettre ses messages au test CNN avant de les expédier: «Rédigez vos courriels comme s’ils faisaient la manchette d’un réseau d’information. La mention «confidentiel» n’offre aucune garantie. Une fois le message envoyé, il peut faire le tour du monde.»

Survivre à la surveillance, c’est peut-être aussi simple que ça…

Surveillance

7 règles à suivre

1 Si votre employeur a une politique d’utilisation d’Internet, lisez-la et prenez-la au sérieux! En l’absence de règles écrites, informez-vous des interdictions et des pratiques jugées acceptables.

2 Les politiques de l’employeur s’étendent à l’utilisation des outils qu’il vous prête – portables, cellulaires… – dans vos déplacements et pour le travail à domicile. Faites preuve de la même prudence qu’au bureau.

3 Si votre employeur vous reproche vos activités personnelles sur Internet, demandez-lui des précisions.

4 N’utilisez jamais votre adresse @compagnie.com pour formuler des commentaires, même anodins, dans des médias et des forums de discussion. Vos propos engagent l’employeur.

5 Ne critiquez pas votre entreprise ou des collègues sur la Toile – beaucoup d’organisations veillent à leur image dans le cyberespace et pourraient y découvrir votre grogne. En droit du travail, la liberté d’expression s’arrête là où commence votre devoir de loyauté.

6 La majorité des employeurs acceptent les coups de fil personnels pour prendre rendez-vous chez le dentiste, prévenir la garderie ou avertir un conjoint d’un retard. A utiliser avec discernement!

7 Si vous êtes sanctionné ou congédié à cause de votre usage personnel d’Internet, consultez votre syndicat ou la Commission des normes du travail. Les conventions collectives et les lois protègent les travailleurs contre les mesures disciplinaires injustes et les règles abusives.