Les sites illicites
Les contenus illicites sont des propos ou la promotion d'activités interdits et punis par une loi française.
En particulier (liste non exhaustive) :

• La pédophilie et pédopornographie
• La diffamation, l'injure, l'apologie des crimes contre l'humanité
• La provocation à la discrimination, à la haine ou à la violence à l'égard d'une personne ou d'un groupe de personnes à raison de leur origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une race ou une religion déterminée
• Le proxénétisme, le racolage passif, l'intermédiation
• Le révisionnisme
• La promotion de l'anorexie
• L'atteinte à l'intimité et à la vie privée
• Les jeux d'argent non agréés par l'ARJEL
• La contrefaçon de droit d'auteur, de marque, de dessins et modèles

Rappelons que la consultation de tels sites sur le lieu de travail peut entraîner la responsabilité juridique de l'employeur. [Risques Juridiques...]

La charte de bonne conduite
L'usage d'internet à des fins personnelles au bureau souffre d'un certain vide juridique. Si un usage raisonnable peut être généralement admis, la première obligation du personnel reste de ne pas nuire à la productivité de l'entreprise.
La mise en place des règles d'utilisation est une première mesure incontournable. Après une étape de négociation entre l'employeur et ses salariés, la rédaction d'une charte de bon usage rappellera le caractère professionnel de l'outil internet et les droits et obligations de ses utilisateurs. Comme tout règlement opposable au salarié, ce document devra être affiché dans les locaux communs de l'entreprise et signifié à chaque nouvel arrivant. Ce sera aussi l'occasion de rappeler que l'usage abusif d'internet constitue pour les juges un motif valable de licenciement pour faute, à partir d'en faire convenablement la preuve.


Limiter l'utilisation d'Internet
Les employeurs ont la possibilité de limiter l’utilisation d’Internet ou de filtrer les connexions à condition de prendre quelques précautions de mise en place. Il n'est pas inutile de rappeler que si la loi permet de surveiller les salariés, cette surveillance ne peut légalement s'opérer sans que, au préalable, ils aient été informés de la mise en place et des modalités du contrôle.

• Déclaration à la CNIL
  La mise en place d'une politique de surveillance des connexions des salariés suppose la collecte, le stockage et le traitement d'informations d'identification de personnes physiques. Dès lors, la création d'un tel fichier doit être conforme au règlement de la Cnil (Commission informatique et libertés). Sauf si l'entreprise dispose en interne d'un « correspondant Cnil » charger de veiller au respect de la loi, l'employeur devra déclarer auprès de la Cnil la création de ce fichier. Il s'engagera aussi à utiliser et administrer ces données conformément à la loi (respect des objectifs, durée de vie, information des personnes fichées, confidentialité des données...).
• Consultation salariale
  Selon l'article L. 121-8 du Code du travail, la mise sous surveillance d'un salarié ne peut se faire à son insu. Aussi, l'information préalable du salarié est indispensable.
  Le code du travail prévoit une information individuelle (art. L1222-4) et collective (art. L432-2) des salariés sur l'existence d'un traitement contenant des données personnelles les concernant.
  art. L1222-4 Code du travail : Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance.
  art. L432-2 Code du travail : Le comité d'entreprise est informé et consulté, préalablement à tout projet important d'introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d'avoir des conséquences sur l'emploi, la qualification, la rémunération, la formation ou les conditions de travail du personnel. Les membres du comité reçoivent, un mois avant la réunion, des éléments d'information sur ces projets et leurs conséquences quant aux points mentionnés ci-dessus.
  Informer l'inspection du travail
  art. L1321-4 al. 3 Code du travail : En même temps qu'il fait l'objet des mesures de publicité, le règlement intérieur, accompagné de l'avis du comité d'entreprise ou, à défaut, des délégués du personnel et, le cas échéant, du comité d'hygiène, de sécurité et des conditions de travail, est communiqué à l'inspecteur du travail.
  Respecter le principe de proportionnalité
  L'employeur doit rendre la charte consultable par tous les employés et justifier de son intérêt à la mettre en place (exemple : vérifier le volume de travail effectué, sécurité et intégrité du système d'information).
  art. L1121-1 Code du travail : Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.

Journaux d'activité: conservation
Les journaux d'activité ou journaux de Logs sont des fichiers retraçant les données d'activité des communications.
Aujourd’hui sont concernés tous les fournisseurs d’accès à des services de communication tels que des cybercafés, hôtels, bibliothèques, points publics d'accès internet, et connexions wifi.
Depuis 2006, obligation est faite tout FAI, y compris une entreprise fournissant un accès internet à ses salariés, de conserver les données techniques dans une finalité de recherche, poursuite et infraction pénales qui peut faire l’objet d’une requisition des services de police sans autorisation judiciaire.
Une non-conservation impliquerait des sanctions pénales, tout comme un non-respect de la durée minimale de conservation ou encore de l’anonymisation des données.
Les coûts de fourniture de logs sont pris en charge par la justice ou la police, sur présentation des factures.
Il subsiste néanmoins un flou sur la règle générale de durée de conservation des logs qui varie en fonction des prescripteurs de 6 mois (CNIL) à 2 ans (UE). La législation française semble plutôt s'orienter vers un an.

Journaux d'activité: responsabilités
Stocker de tels fichiers n'est pas sans conséquences techniques en matière de confidentialité. Il incombe à l'entreprise de mettre en oeuvre les moyens nécessaires à cette fin.
De même pour l'administrateur technique. La CNIL ainsi que la jurisprudence (Cour d’appel de Paris 17 décembre 2001) ont établi des principes à respecter quant à l’utilisation des informations auxquelles l’administrateur a accès.
D’abord, l’accès à ces informations est conditionné au bon fonctionnement des systèmes et n’est permis que lorsque ce bon fonctionnement ne peut être assuré par des actes moins intrusifs. D’autre part, l’administrateur est soumis à des obligations de secret et discrétion professionnels et a donc l’interdiction de divulguer quelconque information lorsque ne sont pas en cause :
- le fonctionnement technique des systèmes
- la sécurité
- les intérêts de l’entreprise
L’administrateur ne peut subir aucune contrainte quant au dévoilement des informations, notamment par son employeur, sauf si la loi en dispose autrement (dans le cadre d’une enquête de police par exemple).