[legal][SMTP]Problématiques légales pour la sauvegarde des mails

Softs & Apps
1

Dans la boite ou je travaille, je suis en train de remplacer de plus en plus de choses sur le réseau et ça avance doucement mais surement.

Je veux m’attaquer a un gros morceau: le serveur SMTP.

Actuellement, on utilise une merde qui limite a 100 boites le nombre d’utilisateurs et je veux passer sur un truc illimité (postfix) pour régler ce premier problème.
L’autre point qui est super limite, c’est la copie automatique de tout mail entrant/sortant dans un répertoire a part.

Normalement, un mail a le cheminement suivant:
Client de l’expediteur -> SMTP fai expediteur -> SMTP destinataire -> boite au lettre destinataire

La configuration du serveur de mail actuel est la suivante:
Client de l’expediteur -> SMTP fai expediteur -> SMTP destinataire -> boite au lettre destinataire
                                                                                             -> copie dans la boite administrateur

DOH!

Pour moi, c’est totalement illégal de faire des copies des mails quand la boite mail est nominative (toto@toto.fr) alors que c’est tout a fait possible quand elle est générique (commercial@toto.fr), notamment quand il n’y a pas de charte informatique (avec une charte, on peut faire n’importe quoi donc bon)

Techniquement, cette solution est compréhensible car toutes les boites mails sont configure en POP3 (sigh) donc la sauvegarde des mails est rendu complexe. Le nouveau serveur sera en pur IMAP (S si je peux acheter un certificat ssl) et les mails resteront sur le serveur. Une fausse manip pourra etre récupéré grâce au répertoire TRASH sans trop de soucis.
Et si jamais le mail a vraiment disparu, je peux prouver que c’est une malveillance de la part de l’employé qui l’aura supprimé de sa boite mail ET du TRASH (puisque je le retrouve pas dedans) grâce aux logs de réceptions.

On trouve quelques trucs mais qui reste vague par rapport a ma problématique de copie systématique:
http://www.arobase.org/entreprise/email-personnel.htm
http://www.rue89.com/rue89-eco/2012/09/27/votre-patron-le-droit-de-lire-vos-e-mails-pros-et-persos-235649
http://fr.jurispedia.org/index.php/Jurisprudence_de_la_Cour_de_cassation_sur_utilisation_du_courrier_%C3%A9lectronique_par_un_salari%C3%A9_(fr)

Apres, faire une copie systématique me gène pas si on fait signer une charte le précisant, même si techniquement, ça sert a rien (dans le cas d’un serveur IMAP) et ça fait double sauvegarde, avec en plus les spams dans le répertoire de copie…

Je serais donc intéressé par des documents plus précis concernant les problématiques légales sur la sauvegarde des mails, et dans l’idéal un truc qui convient a mon boss mais aussi aux employés.

LoneWolf
Qui n’est pas un juriste…

2

Le soucis c’est pas de les avoir mais de les lire. La législation est assez floue en réalité et ça se fait souvent au cas par cas si abus il y a.
En tant qu’Admin tu as sûrement le devoir de t’assurer de l’intégrité des données, donc tu fais des copies et des saves d’un peu tout non ? 

De plus si tu change le service de messagerie et si j’ai bien compris, cette copie devient inutile donc autant la supprimer.

Un peu de lecture (j’ai lu en diagonale, j’avoue) : http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3483

3

quelques pistes

http://www.alain-bensoussan.com/wp-content/uploads/2542992.pdf
http://www.senat.fr/rap/l04-201/l04-2014.html
http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/le-controle-de-lutilisation-dinternet-et-de-la-messagerie/

trouvées via google hein. (https://www.google.fr/#q=obligation+l%C3%A9gales+de+conservation+messages+%C3%A9lectroniques)
Mais ce qui est marrant c’est que je suis parti de l’idée inverse qu’il était obligatoire de conserver une copie de tous les messages électroniques (texte, image, video, voix, etc.) (pour protéger l’entreprise, ou répondre aux exigences d’une enquête judiciaire, etc.)

Le plus dur sera probablement d’être à jour. Une fois les bon mots clefs trouvés, faudra probablement faire un tour sur légifrance.

4

[quote=“AnarX, post:2, topic: 55352”][/quote]
Faire une sauvegarde, c’est tout a fait normal, faire une copie des mails nominatif, c’est clairement plus gênant.
Avec le nouveau serveur, ca servira a rien mais je veux aussi me proteger de tous les cotes et convaincre le boss que c’est inutile (et surtout redondant) de faire une copie en plus de la sauvegarde de base.

[quote=“aRa, post:3, topic: 55352”][/quote]
Oui c’est la bonne approche, je faisais pas la recherche dans ce sens la.
Je vais continuer a fouiller dans ce sens la, a savoir ce qu’il faut faire et pas ce qu’il est interdit de faire.

Merci

LoneWolf
Le pdf a l’air d’être très bien documenté.

5

Lone : avant de m’interroge sur la legalité du truc, je discuterai avec mon boss sur le pourquoi de cette copie, et de si ca fait partie de son cahier des charges ou pas.
Parce que si ton boss VEUT cette copie, tu risque de te mettre dans la merde. Et jouer le role du chevalier blanc qui protégé les données des employés qui ont rien demandés, c’est le meilleur moyen de se mettre son boss à dos et d’aller pointer à l’anpe …

Apres la question reste interessante :slight_smile:

6

[quote=“Ben, post:5, topic: 55352”][/quote]
Je suis assez d’accord avec toi mais j’aurais jamais de papier me demandant officiellement de faire des copies des mails, c’est tout par oral. J’ai donc besoin de me protéger un maximum pour éviter de faire des trucs hors la loi, sauf si j’ai un papier signé du boss “fais ca” (au quel cas, j’en ai rien a foutre - sauf peut etre tuer des gens…).

Apres, il y a aussi le fait qu’avec le nouveau serveur, cette copie supplémentaire a peu d’intérêt.
Le seul cas ou c’est éventuellement utile, c’est:
_Si l’employé supprime un mail qu’il vient de recevoir
_Et qu’il le ressuprime de la corbeille (qui est stocke elle aussi cote serveur)

Comme la sauvegarde se fait toutes les nuits, le mail aura effectivement disparu. Mais pas le log de réception, donc je peux prouver que le mail a été recu et qu’il a été supprime en toute connaissance de cause.

Bref, je veux pas faire le chevalier blanc, je veux juste faire mon job dans le respect de la loi, ou si je dois faire des trucs limites, que j’ai une trace comme quoi j’ai recu un ordre de faire des trucs limites.

LoneWolf
J’aime pas porter le chapeau…

7

Bin c’est pour ca que je commencerai par discuter avec mon boss sur le cahier des charges :slight_smile:
Si ca se trouve, il s’en fout de la copie des mail. Ou qu’il sait pas que c’est borderline. Ou qu’il le sait et qu’il le veut :slight_smile:
Bref, je poserai juste la question :slight_smile:

8

[quote=“Ben, post:7, topic: 55352”][/quote]
Il le veut et pour lui, c’est normal de faire une copie de tous les mails sortant/entrant. Une copie, un double quoi.
Et pour moi, c’est limite car ça revient a faire une photocopie de tous tes courrier que tu reçois par la poste, fait par le postier. Ouch.

Alors qu’on a besoin (légalement) que d’une sauvegarde du serveur, “anonymisé” disons (je sauvegarde tout ce que j’ai, je ne fais pas de tri)

LoneWolf
Postier du 21eme siècle.

9

Si je me souviens bien, les stocker, c’est pas genant, les lire pas vraiment non plus, TANT QUE 1) c’est sur demande “expresse” de ton DSI/CEO 2) pas marqué explicitement personnel. Sinon, c’est chaud. Genre trouver des preuves a posteriori ou pendant un licenciement, mauvaise idée, confirmer que le mec envoie 100 mails par jour a un concurrent, ca va. Ce genre de details. Pour le reste, editez une charte informatique claire, tant qu’elle est sensée, ca ira (Et faites la conjointement avec DP/CE).

10

[quote=“LoneWolf, post:8, topic: 55352”][/quote]

S’il le veut, fait le. Tu es à un poste à responsabilité dans la boite (DSI, DRH ?) ? Si oui, couvre toi. Si non, ta responsabilité sera pas engagé. Il va avoir du mal a prouvé que tu l’as fais de ton propre chef …

11

Toutes tes réponses sont dans le guide du travail de la CNIL ( pages 19 et 20) et plus particulièrement sur cette fiche les outils informatiques au travail où tu peux voir que l’employeur ne peut pas recevoir en copie automatique tous les messages écrits ou reçus par ses employés car c’est excessif (en clair c’est mal).

Bref, nommez un CIL (Correspondant Informatique et Libertés), établissez une chartre informatique avec les représentants du personnels et la direction, et que le CIL soumette ça à la CNIL.

Parce que le vrai risque, s’il y en a un c’est de mettre en place des solutions non déclarées. Après la déclaration n’exclue pas les litiges mais en limite fortement les conséquences devant les tribunaux. 

12

[quote=“Ben, post:10, topic: 55352”][/quote]

Au pire demande lui confirmation par mail et … sauvegarde le

13

[quote=« Lukkant, post:12, topic: 55352 »][/quote]

haha :slight_smile:

14

[quote=“Lukkant, post:12, topic: 55352”][/quote]

Trop visible… perso je lui ferais sa copie comme il veut et dans le mail de livraison une phrase du genre:
“comme demandé, tous les mails entrants et/ou sortants sont sauvegardés dans la boite de backup xxxx@yyyy.zz accessible par l’administrateur”

15

J’aime bien votre manière de gérer ce genre de problème.
On va faire comme ca, merci a tous :slight_smile:

LoneWolf
Trop terre a terre.

16

Et aussi faire courrir la rumeur que tous les mails sont copiés, c’est pas mal… A condition que la source ne soit pas identifiable.

17

[quote=“LoneWolf, post:15, topic: 55352”][/quote]

C’est tout à fait normal de laisser des traces même pour les demandes qui paraissent anodines.