Bien appliqué, le bossware aide à protéger une organisation contre le vol et les risques légaux et même entraîner d'importantes améliorations de la productivité. Mais c'est aussi un champ de mines pour la confidentialité qui peut démotiver les employés et exposer l’organisation à des poursuites.
Dans un monde où le travail peut se fait à partir de n'importe où, il est fort tentant pour les managers de surveiller leur main-d'œuvre distribuée. Compte tenu des enjeux, une planification minutieuse doit être le mot d'ordre pour toute organisation qui envisage de surveiller ses employés.
Qu'est-ce que le bossware ?
Bossware est un terme qui couvre une variété d'outils de suivi des employés. Bien que les fonctionnalités de ces logiciels varient, à un certain niveau ils suivent les programmes qu'un employé utilise pendant la journée et pendant un certain temps. Une surveillance intrusive peut faire des captures d'écran et enregistrer les frappes. Bossware devrait être installé sur le PC ou l'appareil d'un employé avec son consentement explicite mais ce n’est pas toujours le cas.
La surveillance des employés est plus populaire qu’on ne pense, suite à la croissance du télétravail depuis la pandémie. Une étude révèle que 60 % des entreprises avec télétravailleurs utilisent désormais une forme de bossware, et 88 % d'entre elles ont licencié des travailleurs après avoir installé le logiciel. C’est peut-être dû au fait que plus de la moitié (53 %) des personnes dont l'activité était surveillée, consacraient chaque jour trois heures ou plus à des activités non professionnelles.
La surveillance peut couvrir :
• Les mails (contenu et expéditeurs/destinataires)
• L’historique du navigateur
• L’utilisation d’applis
• L’écran de l'ordinateur et les frappes au clavier
• Les webcams
• Des images de vidéosurveillance dans le bureau
• Le suivi du véhicule par GPS
• Le suivi du badge d’accès
• Le suivi de la condition physique et des humeurs.
Les avantages et les inconvénients
Les défenseurs de Bossware disent que l'utilisation judicieuse d'un logiciel de surveillance peut aider leur organisation de plusieurs manières, dont :
• Le suivi du niveau de stress parmi les employés
• Contribuer à augmenter la productivité : en montrant qui manque de concentration et qui passe trop de temps à des tâches manuelles et répétitives, pouvant être optimisées
• Créer un lieu de travail plus équilibré en veillant à ce que chacun fasse de son mieux
• Réduire le risque de fuite de données délibérée/accidentelle et de mauvaise hygiène de sécurité.
D'autre part, il y a des inconvénients potentiels :
• Des employés peuvent contourner le système, annulant ainsi tout avantage potentiel
• Un suivi limité sur ordinateur/appareil peut ne pas enregistrer le temps consacré à la réflexion, à la résolution de problèmes et à d'autres tâches donnant une mauvaise vision de la productivité des travailleurs
• Augmentation du niveau de stress et démotivation du personnel et sape du moral
• Confidentialité et implications juridiques pour l'employeur.
Implications juridiques et de confidentialité
Les lois actuelles sur la confidentialité et la protection des données ajoutent une couche de risque supplémentaire pour les organisations souhaitant déployer du bossware. Il faut que tous les programmes mis en œuvre soient conformes aux lois et réglementations locales.
• Le RGPD Européen autorise la surveillance du lieu de travail dans le cadre d'un ensemble spécifique de lignes directrices. Les organisations doivent créer des politiques claires informant leur personnel de tout programme de surveillance et s'efforcer de rendre le déploiement aussi discrets que possible. La surveillance secrète et exhaustive de l'utilisation d'Internet ou du contenu des communications n'est pas autorisée. Les organisations souhaitant surveiller les communications privées telles que les mails doivent définir une base juridique claire pour le faire. Il y a des règles strictes sur la protection des données des employés, garantissant leur utilisation aux fins pour lesquelles elles ont été collectées et que seules des informations pertinentes sont collectées pendant le temps minimum nécessaire.
• Aux États-Unis, l'Electronic Communications Privacy Act (ECPA), autorise la surveillance des communications électroniques telles que les mails, si elles sont à des fins commerciales légitimes et effectuées sur un appareil/ordinateur de travail. Il sanctionne également la surveillance des médias sociaux et de l'activité Internet ainsi que l'enregistrement des frappes et les captures d'écran. Cependant, bien que les lois fédérales n'exigent pas de notification préalable d'une telle activité, certaines lois d'État exigent que les employeurs obtiennent leur consentement avant de mettre en œuvre la surveillance des employés. Les organisations sont aussi responsables de la sécurité de toutes les données qu'elles collectent, et toutes doivent avoir une politique clairement définie sur la surveillance des employés.
Instaurer des pratiques équitables de contrôle du personnel
Il ressort, de ce qui précède, que la surveillance des employés n'est pas une initiative à prendre à la légère. Il n'y a pas deux organisations ou cadres juridiques identiques, mais certaines pratiques de haut niveau peuvent inclure :
• Examiner et décrire la base légale pour la mise en œuvre du programme
• S’assurer que la surveillance est nécessaire et proportionnée et qu'elle n'empiète pas trop sur la vie des employés
• Tenir compte de l'étendue de la surveillance. Cela inclut-il les mails, l'utilisation d’applis, d'Internet et des appels ? Pour éviter des problèmes juridiques, il est utile de rappeler au personnel de n'utiliser que leurs appareils personnels pour leurs affaires personnelles et uniquement les appareils du travail pour ce qui concerne l'entreprise
• Etre aussi transparent que possible avec le personnel sur ce qu’on envisage et pourquoi – documenter dans son intégralité une politique claire et standardisée
• S’assurer que toutes les données collectées soient protégées contre la perte, les dommages ou le vol et qu'elles ne soient visibles que pour les utilisateurs autorisés
• Suivre les pratiques de minimisation des données en supprimant toutes les celles collectées dès qu'elles ne sont plus nécessaires
• Songer à des alternatives au suivi du personnel telles que des sessions de formation et/ou des évaluations régulières des performances
• Se demander si la surveillance est nécessaire dans l'ensemble de l'organisation ou si elle peut être limitée à une partie de l'entreprise.
Les meilleures solutions trouveront un équilibre difficile mais nécessaire entre les exigences commerciales de l'organisation et les droits à la vie privée de ses employés. La transparence et le dialogue sont essentiels pour conserver le personnel dans une nouvelle ère de travail hybride.

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/