Tata yoyote sur la protection de ses données
-
La multinationale indienne se montre un peu trop curieuse au sujet de ses salariés français.
TATA, la célèbre world company indienne, a su développer de belles méthodes de travail sur le sol français. En particulier du côté de Puteaux, dans les Hauts-de- Seine, où l’antenne de sa filiale Tata Consultancy Services (des centaines de milliers de salariés dans le monde et une coquette valorisation en Bourse de 159 milliards de dollars) fait des étincelles en matière informatique. Forte d’un gros millier de salariés, cette succursale, qui bosse avec près de la moitié du CAC 40 (Société générale, Total -Energies, Engie…), a équipé ses ordinateurs, au plus fort de la pandémie de Covid-19, de deux étonnants logiciels. Motif officiel : << prévenir toute fuite d’informations confidentielles à l’extérieur ». A l’intérieur, ces outils, qui contrôlent les faits et gestes numériques des salariés, ont permis de prendre quelques libertés avec le droit du travail français… Le premier des deux joujoux de la direction a été baptisé du doux nom de «< Forcepoint ». Cet agent DLP (data loss prevention), comme on dit dans le jargon, se comporte comme un chalutier qui ramasserait dans ses filets tout un tas de données sur les salariés connectés au réseau interne de l’entreprise… à partir de mots-clés. Tata, étonnamment, n’a jamais voulu dire lesquels.
Espion mais pas trop
Sur le papier, les prouesses de Forcepoint sont réjouissantes: dès qu’un salarié envoie un mail, consulte une clé USB, bref, dès qu’il utilise son ordinateur, le logiciel passe à l’action, analysant le moindre flux avec son petit code musclé. Mais ce logiciel a aussi une fâcheuse tendance à bloquer les courriels flanqués de la mention << personnel >> et à publier automatiquement un mini rapport où figurent le nom de l’employé, le contenu du mail, l’adresse IP de son ordinateur, etc., le tout étant conservé pendant un an ! Tata se préoccupe visiblement peu des recommandations de la Commission nationale de l’informatique et des libertés, qui rappelle régulièrement aux employeurs que tout message portant la mention << personnel » doit être considéré comme une correspondance privée, sous peine de violation du secret des correspondances.
Forcepoint n’étant sûrement pas assez protecteur pour Tata Consultancy Services, cette sympathique petite boîte a poussé plus loin le processus avec un deuxième outil, SBWS - pour Secure Borderless Workspaces. Un nom qui fleure bon la cybersécurité, et un gadget permettant de lorgner à distance les noms de domaines et les heures d’utilisation d’un ordinateur, sans distinguer les périodes de travail des autres. De l’espionnite professionnelle ? Que nenni: seulement de la prévention des fuites qui pourraient mettre en péril Tata, voire présenter << un danger de mort », comme le serine sans rire le groupe indien depuis trois ans.
Pas très transparent, ce dernier a fait installer ces deux mouchards en 2020, sans en informer le comité social et économique (CSE) de l’entreprise. Deux ans plus tard, les élus du personnel et les syndicats ont fini, au nom du principe de précaution, par attaquer Tata en référé. A les en croire, les superlogiciels de leur employeur portaient << une atteinte injustifiée et disproportionnée au droit à la vie privée des salariés »>.
Le tribunal judiciaire de Nanterre leur a donné raison dans une ordonnance du 24 juin 2022, enjoignant à l’entreprise de cesser d’utiliser ses deux bestioles dans les quinze jours. Las! le groupe indien - qui n’a pas répondu aux questions du «< Canard » - ne respecte pas cette décision de justice, dont il n’a pas fait appel, malgré une astreinte fixée à 1 000 euros par jour. Il a sans doute les moyens…Destination Bombay
Les grincheux du CSE ont ouvert un second front: deux cabinets d’expertise ont été sollicités pour analyser les mouchards plus en détail. L’un deux, la société Arete, a notamment découvert que le fameux Forcepoint était également capable d’identifier les données sensibles contenues dans les images, les documents numérisés et les captures d’écran.
Plus rassurant encore en plus d’être analysées sur place, les données récoltées par les logiciels magiques sont envoyées à la maison mère, en Inde, pour être passées au peigne fin par un service spécialisé à Bombay. Ce qui, là aussi, se révèle peu conforme au règlement européen sur la protection des données. Les salariés ne sont malheureusement pas près de prendre connaissance de ces belles informations, la publication des deux rapports d’expertise venant d’être refusée net par Tata.
La peur d’une fuite à l’extérieur, sans doute…
