IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Comment une suite de productivité comme Office 365 offre des fonctionnalités qui permettent aux employeurs de surveiller les employés à leur insu
D'après Privacy International

Le , par Anthony

26PARTAGES

12  1 
Privacy International et un étudiant de l'UCL exposent comment une suite de productivité comme Office 365 offre des fonctionnalités qui peuvent permettre aux employeurs d'accéder à toutes les communications et activités sur les services Microsoft à l'insu des employés.

Principaux résultats
  • Le travail à domicile a favorisé l'utilisation de logiciels de télésurveillance pour contrôler les employés.
  • Il n'y a pas que les outils développés spécifiquement pour la surveillance, les suites de productivité traditionnelles peuvent également permettre un niveau de surveillance intrusif.
  • Les étudiants de PI et de l'UCL se sont penchés sur Office 365 et ont découvert des fonctions qui permettent aux employeurs d'accéder à toutes les communications et activités sur les services Microsoft
  • Ces fonctions peuvent être utilisées à l'insu des employés et il semble y avoir un manque de transparence pour les utilisateurs en ce qui concerne les données collectées et leur finalité.

Imaginez que vos performances au travail soient évaluées directement en fonction du nombre d'e-mails envoyés, du temps passé à éditer un document, du temps passé en réunion ou même à bouger votre souris. Cela peut sembler ridicule, mais c'est peut-être exactement ce que fait votre patron. Il y a de plus en plus d'histoires de personnes convoquées à des réunions pour justifier des lacunes dans leur travail et qui découvrent que leur patron les a regardées travailler à leur insu.

La pandémie mondiale de Covid-19 a bouleversé le contexte dans lequel beaucoup d'entre nous travaillent. Soudain, de nombreuses entreprises ont été contraintes de passer d'un lieu de travail physique au travail à distance. Pour un certain nombre d'entre elles, cette transition s'est traduite par la crainte que les employés ne travaillent pas ou ne soient pas aussi performants qu'au bureau, ce à quoi elles ont décidé de remédier par une surveillance accrue. En conséquence, la demande d'outils de surveillance des employés a grimpé en flèche. En 2020, la demande mondiale de logiciels de surveillance des employés a augmenté de 108 % en avril et de 70 % en mai 2020 par rapport à la période précédant la pandémie. Dans le même temps, les requêtes sur les moteurs de recherche concernant la question "Comment surveiller les employés travaillant à domicile" ont augmenté de 1 705 % en avril et de 652 % en mai 2020 par rapport à l'année précédente. L'organisation à but non lucratif Coworker a récemment publié un rapport intitulé Little Tech, accompagné d'une base de données de 550 entreprises, dont 182 proposent un contrôle des performances sur le lieu de travail, avec diverses fonctionnalités.

Ce rapport de Coworker illustre l'essor de l'offre de plateformes d'espace de travail en ligne et d'outils de surveillance répondant à cette demande accrue. Ces solutions très intrusives sont en elles-mêmes extrêmement problématiques, car elles permettent d'accéder à chaque frappe de clavier, à chaque mouvement de souris et offrent parfois des fonctions telles que l'accès régulier à la webcam pour s'assurer que les employés sont devant leur ordinateur ou pour surveiller leur "attention" et leur "concentration". L'atteinte à la vie privée qui en résulte est bien plus intense que tout ce qui pourrait se produire dans un bureau physique et pénètre directement dans l'espace privé des employés.

Pourtant, ces pratiques invasives ne sont pas uniquement facilitées par le déploiement d'un logiciel dédié à la surveillance des employés. Si vous pensez être à l'abri de ces pratiques parce que votre employeur ne déploie pas (encore) ce type d'outils, nous avons peut-être une mauvaise nouvelle à vous annoncer. De nombreuses "suites de productivité", disponibles depuis des années et que vous connaissez peut-être, ont également commencé à intégrer des fonctions discrètes et invasives qui rivalisent avec celles offertes par bossware.

Parmi ces "suites de productivité", on trouve le célèbre paquet de productivité Microsoft 365 basé sur le cloud, qui offre une large gamme d'outils pour la collaboration et la communication en temps réel. Ce que l'on sait peut-être moins, c'est qu'il permet à votre patron de voir comment vous passez votre journée assis devant l'appareil de votre entreprise.

Les conclusions suivantes proviennent de l'enquête de PI sur la suite Office 365 ainsi que de la recherche menée par Demetris Demetriades, diplômé en informatique de l'UCL, intitulée "The rise of workplace surveillance technology in the coronavirus pandemic" (L'essor des technologies de surveillance du lieu de travail dans la pandémie de coronavirus).

Office 365 : Les fonctions de surveillance auxquelles vous ne vous attendiez pas

Chaque fois qu'un travailleur interagit avec Microsoft 365, il génère des données qui peuvent être transformées en métriques. Ces données sont générées par défaut par des personnes qui font simplement leur travail quotidien : écrire des documents, envoyer des e-mails, chatter sur Teams et participer à des réunions en utilisant la suite Office 365 (Microsoft Teams, Word, Excel, Outlook, etc.).

De l'autre côté du miroir, en utilisant cette suite, un administrateur est en mesure d'accéder et de naviguer dans une variété de tableaux de bord qui sont automatiquement générés et peuvent être extrêmement révélateurs.

L'une de ces fonctionnalités, le "Microsoft Office 365 Admin Center", espère informer les administrateurs sur la productivité et l'efficacité des employés au sein de leur entreprise. Sous le Centre d'administration, on trouve deux catégories de rapports d'analyse organisationnelle : Utilisation et Productivité.

Dans les rapports d'utilisation, les administrateurs trouveront des informations sur l'utilisation générale des services et des applications dans l'organisation ou sur le nombre d'utilisateurs accédant à chaque application Office. Dans la catégorie Productivité, des données générées peuvent être trouvées sur la performance de l'entreprise par rapport à des entreprises similaires qui utilisent également Office 365. Le rapport fournit des données quantitatives estimées et des statistiques dérivées du comportement des employés au sein d'une organisation, notamment la fréquence et la durée d'utilisation d'une certaine application. Bien que ces rapports présentent des données agrégées, pour une petite organisation, ils peuvent ressembler à des données fournies au niveau individuel, car avec un plus petit nombre d'employés, il peut être plus facile pour les employeurs de déduire qui passe du temps à faire quoi.

Le centre d'administration de Microsoft Teams est une autre source d'informations beaucoup plus granulaires sur les employés. De là, un administrateur peut sélectionner des utilisateurs spécifiques et lire les mesures individuelles de chacun, notamment le temps passé sur les appels, le nombre de messages échangés, le nombre de réunions de groupe et de réunions individuelles auxquelles ils ont participé, etc. En outre, les administrateurs ont également accès à l'appareil (ordinateur portable, téléphone) à partir duquel un utilisateur s'est connecté pour chaque action qu'il a effectuée (participation à une réunion, envoi d'un message, etc.) Ces informations peuvent être utilisées pour déduire des informations ou poser des questions sur les raisons pour lesquelles un employé a utilisé un appareil plutôt qu'un autre. Par exemple, le fait qu'une personne se soit connectée à sa réunion matinale à partir de son téléphone signifie-t-il qu'elle était encore au lit ? Le système ne peut pas fournir de réponse, mais il fournit des données qui permettent aux employeurs de s'attarder sur de telles pensées et suspicions.


Rapport "Activité des utilisateurs de Teams" affichant toutes les interactions des utilisateurs au sein de Teams, y compris le nombre de messages échangés et le temps passé en réunion.


Deux des fonctionnalités les plus inquiétantes d'Office 365 sont les outils de gouvernance de l'information et de gestion des risques, appelés Audit et Recherche de contenu. Ces outils peuvent être utilisés pour présenter aux administrateurs une quantité d'informations détaillées assez inquiétante. En introduisant simplement les bonnes requêtes, les administrateurs peuvent avoir accès à la lecture des courriels, des documents et des messages 1-1 des personnes sur Teams et partout ailleurs où il est possible d'agir.


Vue Administrateur de la fonction de recherche de contenu après avoir effectué une requête sur un utilisateur spécifique. Le contenu des courriels de l'utilisateur est rendu accessible à l'administrateur.

La fonction d'audit, qui n'est pas activée par défaut, offre l'option supplémentaire de rechercher des utilisateurs individuels sur une période donnée et affiche toutes les activités imaginables menées par l'utilisateur sous forme de liste, jusqu'à la suppression de courriels et au changement de mot de passe.


Vue Administrateur de la fonction d'audit après avoir effectué une requête sur un utilisateur spécifique. Cette vue montre toutes les actions effectuées par l'utilisateur dans Office 365, horodatées.

En combinant ces deux fonctions globales, les employeurs sont en mesure de dresser un portrait assez intime de chaque employé, jusque dans les moindres détails. Cela inclut non seulement une liste de la plupart des actions qu'ils effectuent, mais aussi la possibilité d'accéder clairement à tout le contenu échangé au sein de l'organisation et aux communications externes par le biais du courrier électronique.

L'audit et la recherche de contenu sont proposés par Microsoft pour permettre aux employeurs de repérer les comportements problématiques ou les violations potentielles des contrats de travail ou des politiques de l'entreprise, notamment le harcèlement, la divulgation de secrets commerciaux, etc. Mais la nature globale de ces outils ne s'accompagne d'aucune mesure de protection des employés. Il n'y a pas de limites à l'utilisation de ces fonctions par les employeurs et aucune invite active n'informe les travailleurs si elles sont activées. Ce manque de transparence et ces limitations du côté des employés signifient qu'ils peuvent être potentiellement mal utilisés et transformés en machine de surveillance sans que les employés en soient pleinement conscients. En effet, si Microsoft mentionne qu'Office 365 peut être utilisé par une organisation pour "accéder à vos données et les traiter [...], y compris [...] le contenu de vos communications et de vos fichiers", cette information est enfouie dans sa politique de confidentialité et a peu de chances d'être remarquée par les employés qui n'ont souvent pas d'autre choix que de consentir à l'utilisation du logiciel utilisé par leur entreprise.


Capture d'écran de la section de la politique de confidentialité de Microsoft intitulée "Produits fournis par votre organisation - avis aux utilisateurs finaux".


Du côté des employés, il ne leur reste plus qu'à poursuivre leurs activités quotidiennes sans savoir si leur patron utilise ces fonctions pour les espionner ou non. En effet, Office 365 n'informe pas les utilisateurs lorsqu'un administrateur active la fonction "Audit" mentionnée ci-dessus ou lorsque des tableaux de bord sont générés, et ne divulgue en aucun cas les fonctions actives lorsqu'un employé rejoint Office 365 pour la première fois. L'opacité pour les employés est totale.

En pratique, cela signifie que si un employeur ne divulgue pas clairement quelles sont les fonctionnalités activées, les employés n'ont aucun moyen de savoir si chacune de leurs interactions avec Office 365 est surveillée et transformée en mesures de performance ou même si leurs communications sont lues par quelqu'un.

Hacking de la productivité - Ces mesures ont-elles seulement une signification ?

En fin de compte, ces tableaux de bord et ces fonctions de surveillance visent à recueillir des données sur notre expérience humaine au travail, en nous transformant tous en points de données et en reléguant notre individualité à l'arrière-plan. Un employeur pourrait se fier à ces mesures au point d'oublier qu'il y a une personne réelle derrière elles.

D'autre part, les indicateurs sont générés par le comportement des travailleurs, ce qui signifie que les travailleurs peuvent également choisir de manipuler les données à leur avantage, ce qui, en soi, sape la validité de ces indicateurs jusqu'à la moelle. Par exemple, personne n'empêche un travailleur de s'envoyer automatiquement des courriels ou d'organiser de "fausses" réunions avec des collègues partageant les mêmes idées afin d'augmenter ses statistiques de performance. Cela a un impact sur les indicateurs générés tels que la productivité, où il est clair que le comportement modifié d'un employé peut donner à une entreprise une meilleure note qu'à une autre sans raison valable.

L'objectif final de ces fonctionnalités est d'augmenter la "productivité mesurable", mais il semble contre-productif de faire en sorte que les employés se soucient davantage de travailler pour obtenir des statistiques agréables que pour accomplir leur travail - ou leur productivité réelle.

Ce qui a été fait par Microsoft et ce qui manque

Les capacités de surveillance et les implications de certains de ces outils en matière de protection de la vie privée ne sont pas nouvelles pour Microsoft qui, en 2020, a apporté quelques modifications à son score de productivité en vue d'améliorer les pratiques en matière de protection de la vie privée. À la suite de ces changements, le score de productivité a cessé d'inclure les noms des individus, pour ne s'appuyer que sur des données agrégées au niveau de l'organisation.

Microsoft indique clairement dans sa déclaration de confidentialité qu'elle n'est pas responsable des pratiques de confidentialité ou de sécurité de ses clients - les employeurs - mais nous pensons que Microsoft pourrait s'engager à offrir davantage pour protéger les employés contre l'espionnage :

  • Introduire un écran ou un tableau de bord dédié aux membres de l'organisation, répertoriant toutes les fonctions de productivité et de sécurité activées et désactivées, y compris des informations sur les données collectées et les conditions de fonctionnement de ces fonctions. Cet écran doit également inclure la politique de confidentialité de Microsoft et de l'organisation.
  • Cet écran ou tableau de bord doit être bien visible pour les nouveaux utilisateurs qui se connectent pour la première fois et facilement accessible pour les utilisateurs qui reviennent.
  • Notifier les membres de l'organisation lorsque les fonctions d'audit et de recherche de contenu sont activées
  • Notifier les utilisateurs d'Office 365 si un administrateur de compte désactive l'option permettant de masquer les noms d'utilisateur afin de générer des rapports qui ne sont pas anonymes ("Afficher les noms d'utilisateur, de groupe et de site masqués dans tous les rapports".

La transparence est essentielle, et son absence peut facilement éroder la confiance des employés envers leurs employeurs, ce qui entraînera probablement une baisse de la productivité réelle et une augmentation des démissions. L'être humain est fait pour se sentir mal à l'aise lorsqu'il est surveillé et l'augmentation de la surveillance du personnel par les employeurs au cours de la Covid-19 a également eu un effet profondément négatif sur la santé mentale des travailleurs. Après de longues années de lutte pour les droits des travailleurs, une pandémie mondiale nous a poussés vers ce nouveau domaine de surveillance que nous devons maintenant repousser et à partir duquel nous devons rétablir la confiance.

Nous avons contacté Microsoft pour lui faire part de nos conclusions et recommandations, ce à quoi un porte-parole a répondu comme suit :

*"Nous ne croyons pas à l'utilisation de la technologie pour espionner les employés. Les informations basées sur les données sont depuis longtemps un élément essentiel de la manière dont les professionnels de l'informatique déploient et gèrent les solutions, fournissent des services, répondent aux exigences réglementaires et résolvent les problèmes au sein de leur organisation."

"Bien que le client soit le propriétaire de ses données, Microsoft fournit par défaut des restrictions et des contrôles aux organisations pour limiter l'accès aux informations sensibles."

  • "La plupart des outils d'analyse de Microsoft 365 qui fournissent des informations sur l'adoption et l'utilisation le font au niveau agrégé - à travers des groupes ou des organisations entières. Ces outils sont un élément important pour aider les organisations à fonctionner efficacement et à tirer le meilleur parti de leur investissement."
  • "Dans certains cas, les professionnels de l'informatique ont besoin d'informations sur les utilisateurs pour accomplir leur travail, qu'il s'agisse de suivre l'attribution des licences ou d'identifier et de résoudre les problèmes. L'accès à ces rapports est limité à quelques fonctions informatiques. En outre, Microsoft prend généralement la décision de masquer les informations relatives aux utilisateurs, aux groupes et aux sites par défaut. La révélation d'informations identifiables sur les utilisateurs est un événement consigné dans le journal d'audit du centre de conformité Microsoft 365."
  • "Nos normes en matière d'informations agrégées, de contrôles d'accès restreints basés sur les rôles, de masquage ou de "pseudonymisation" des informations des utilisateurs par défaut, et le fait de faire de la révélation d'informations personnelles un événement vérifiable sont largement cohérentes dans l'ensemble de la suite Microsoft 365."

"Le travail hybride est mieux réalisé et géré grâce à une communication, un apprentissage et une empathie solides, au-delà des seules mesures technologiques. Nous nous engageons à donner à nos clients les outils et les informations nécessaires pour prendre des décisions éclairées sur la façon dont les données sont perçues et utilisées. Au fur et à mesure que nos produits et services évoluent, nous sommes à l'écoute de nos clients et mettons à jour les fonctionnalités pour refléter leurs commentaires et leurs besoins."
Source : Privacy International

Et vous ?

Quel est votre avis sur le sujet ?

Selon vous, les employeurs devraient-ils avoir le droit de surveiller les activités des salariés, y compris leurs courriels et leurs messages, au nom de la productivité et de la gestion des risques ?

Trouvez-vous que cette enquête menée par Privacy International est pertinente ?

Êtes-vous surpris par l'existence des fonctionnalités de surveillance dans les suites de productivité à l'instar de Office 365 ?

D'après vous, quelles sont les implications éthiques de l'utilisation d'outils de surveillance et de logiciels de contrôle pour évaluer les performances des employés ?

Selon vous, existe-t-il d'autres moyens d'évaluation de la productivité qui ne portent pas atteinte à la vie privée des salariés ?

Voir aussi

Pour ou contre les logiciels de surveillance des employés ? Un logiciel espion révèle qu'une employée ne travaillait pas autant qu'elle le prétendait et elle doit désormais rembourser son salaire

La pandémie a-t-elle normalisé les logiciels de surveillance des employés ? Des rapports indiquent que ces logiciels se répandent rapidement

De grandes entreprises veulent utiliser des montres connectées pour suivre chaque mouvement des travailleurs. Les syndicats s'opposent à la surveillance des employés

Demander aux employés d'allumer leurs caméras est une violation des droits de l'Homme, selon un tribunal néerlandais qui tranche sur une pratique qui divise l'opinion en matière de télétravail

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de marsupial
Expert éminent https://www.developpez.com
Le 05/06/2023 à 15:38
Les outils de surveillance n'existent que pour les mauvais managers. Ce qui compte avant tout est que le job soit fait, peu importe la manière.
6  0 
Avatar de Karadoc
Membre actif https://www.developpez.com
Le 05/06/2023 à 17:30
De toutes façons, en théorie, les services 365 de Microsoft (tout comme tous les services en ligne et cloud d'entreprises US) ne sont pas légaux au regard du RGPD (et c'est acté depuis les arrêts "Schrems" en UE. Ça ne fait qu'ajouter une pierre à un édifice déjà branlant.
Le principal souci est qu'aucun état n'a fait le choix d'interdire explicitement ces services faute d'alternative viable en UE et parce que ça poserait de sérieux problèmes aux entreprises et administrations qui utilisent ces services. Cela dit, ça ne serait pas plus mal que des décisions drastiques soient prises, quand on voit que certains médecins ou avocats utilisent les services Microsoft ou Google pour communiquer avec leurs clients (ce qui est d'autant plus embêtant que ce sont des métiers pour lesquels les ordres respectifs ont mis en place des services sécurisés).
6  0 
Avatar de phil995511
Membre éprouvé https://www.developpez.com
Le 05/06/2023 à 14:37
En un sens, vous ne faites que confirmer ce que l'on savait déjà, Microsoft est une entreprise hypocrite à souhaits...

A titre personnel cela fait à peut près 20 ans que je suis passé aux logiciels libres en adoptant Linux
6  2 
Avatar de Thumb down
Membre émérite https://www.developpez.com
Le 07/06/2023 à 12:43
Bonjour,
https://www.droit-travail-france.fr/...ce-salarie.php
4  0 
Avatar de petitours
Membre chevronné https://www.developpez.com
Le 08/06/2023 à 8:37
Citation Envoyé par Karadoc Voir le message
De toutes façons, en théorie, les services 365 de Microsoft (tout comme tous les services en ligne et cloud d'entreprises US) ne sont pas légaux au regard du RGPD (et c'est acté depuis les arrêts "Schrems" en UE. Ça ne fait qu'ajouter une pierre à un édifice déjà branlant.
Le principal souci est qu'aucun état n'a fait le choix d'interdire explicitement ces services faute d'alternative viable en UE et parce que ça poserait de sérieux problèmes aux entreprises et administrations qui utilisent ces services. Cela dit, ça ne serait pas plus mal que des décisions drastiques soient prises, quand on voit que certains médecins ou avocats utilisent les services Microsoft ou Google pour communiquer avec leurs clients (ce qui est d'autant plus embêtant que ce sont des métiers pour lesquels les ordres respectifs ont mis en place des services sécurisés).
C'est bien vrai mais pour ma part je m'interroge surtout sur le succès de ces solutions en entreprise ; comment des responsables SI peuvent ils faire le choix d'aller sur des telles solutions ?

Régulièrement on me passe des données pour analyse en me faisant signer des accords de confidentialité bétons avec d'excellentes raisons stratégiques. Après on me passe le fichier via google drive, Onedrive, office 365 et j'en passe. Les mêmes qui travaillent sur des appels d'offre internationaux sur office 365. La langue française a été très inspirée de mettre con au début de consommateur.
2  0 
Avatar de petitours
Membre chevronné https://www.developpez.com
Le 08/06/2023 à 10:15
Citation Envoyé par byrautor Voir le message
Il n'y a que de mauvais employeurs, il n'y a pas de mauvais employés !
raisonnement bien spécieux
Le sujet n'est pas tant de savoir qui est le mauvais ; c'est plus la méthode.
Juger des critères comme ceux espionnés par office pour juger le bon ou mauvais d'un employé est stupide. Si l'employé sert à quelquechose il a normalement des objectifs et dans tous les cas des résultats et c'est bien là le seul critère qui peut permettre de juger le fameux employé.
2  0 
Avatar de byrautor
Membre éclairé https://www.developpez.com
Le 08/06/2023 à 9:54
Il n'y a que de mauvais employeurs, il n'y a pas de mauvais employés !
raisonnement bien spécieux
0  0 
Avatar de tigny
Candidat au Club https://www.developpez.com
Le 09/06/2023 à 22:38
Je connais une entreprise qui interdit l'utilisation de truc genre ChatGpt pour éviter des traductions e documents confidentiels mais qui met en place des systèmes comme office365.
0  0