Se sentir sous la surveillance de son employeur sur son ordinateur personnel (des déconnexions qui tombent mal, des collègues trop bien renseignés, cette impression tenace que « ils savent »), c’est une inquiétude que je rencontre de plus en plus. Récemment, un indépendant me contacte. Il bosse depuis son propre PC, en mission pour une grande entreprise. Et il a peur. Peur qu’on entre dans sa machine pendant la pause déjeuner, peur d’un mouchard, peur que son téléphone soit piégé.

On a tout vérifié, ensemble, avec des outils pro. Et la conclusion technique est rassurante : aucun logiciel espion, aucune prise en main à distance, aucun virus actif. Mais le vrai sujet n’était pas là où il le cherchait.

Cas anonymisé, évidemment. Je ne raconte jamais un client. Ce que je raconte, c’est ce que son histoire dit de votre situation, si vous utilisez votre matériel perso pour travailler.

Première étape, toujours la même : on regarde, on ne suppose pas. Sur place, j’examine le PC, les téléphones Android et les comptes en ligne. Inspection des programmes au démarrage, des processus actifs, des connexions réseau, analyse antivirus indépendante, capture de la mémoire vive. Le verdict, point par point :

• Aucun logiciel espion, aucun outil de prise en main à distance, aucun virus actif sur le PC.
• La machine est même bien protégée : antivirus actif, sécurités avancées de Windows 11 en place, pare-feu qui bloque les connexions entrantes.
• Le fameux processus « Secure System » qui l’inquiétait ? Un composant normal de sécurité de Windows 11, pas un malware.
• Les téléphones Android ne sont ni « rootés », ni en mode développeur, aucune appli de surveillance repérée.
• Sa crainte d’un piégeage via scrcpy (un outil de recopie d’écran Android) : levée. Ce n’est pas un moyen de piratage à distance. Il faut un branchement USB et une autorisation explicite donnée sur le téléphone lui-même.

En clair : au moment de l’intervention, ses appareils ne montrent aucun signe d’espionnage ou de piratage actif.

Une honnêteté que je dois à tout le monde : un instantané ne prouve pas une absence totale, pour toujours. C’est pour ça qu’on ne se contente pas d’un coup d’œil : on capture la mémoire vive, on travaille sur copie, on garde une empreinte de ce qu’on touche. C’est la méthode que je détaille dans mon article sur le métier de prestataire référencé. Mais ici, tous les voyants techniques étaient au vert. Sauf un détail. Un seul.

Pendant la vérification, un outil a bloqué une partie de mes contrôles : impossible de joindre le service en ligne qui croise un fichier avec environ 70 antivirus. La raison ? Un agent de sécurité de l’entreprise était installé sur son ordinateur personnel. En l’occurrence, Zscaler, un nom que beaucoup de salariés découvrent un jour sur leur machine.

Le trouver sur un poste professionnel, c’est normal. La vraie question n’est donc pas « est-ce un piratage ? », mais « qu’est-ce qu’il voit, sur quel appareil, et l’employeur en a-t-il le droit ? »

Parce que pour bloquer virus et fuites, ce type d’agent déchiffre le trafic (on appelle ça l’inspection SSL). Pour y arriver, il installe un certificat racine de l’entreprise sur la machine. Ce certificat lui donne la capacité d’ouvrir et de lire le contenu des pages sécurisées (le fameux cadenas https) qui transitent. Sur un poste pro, c’est cadré. Sur un poste perso, ce même mécanisme donne à l’employeur la capacité technique de lire votre trafic privé : votre banque, votre santé, vos achats, votre messagerie personnelle.

Et il y a un effet de bord vicieux : comme tout le trafic passe par cet agent, les outils classiques qui montrent « avec qui ma machine parle » ne voient plus grand-chose. Ce n’était pas un mouchard caché. C’était un outil légitime, au mauvais endroit.

Sortons du cas précis. Voici le cadre légal, valable pour tout le monde. Sur le matériel professionnel qu’il vous fournit, l’employeur peut contrôler votre activité, à deux conditions cumulatives posées par le Code du travail :

• La proportionnalité. L’article L. 1121-1 du Code du travail interdit toute restriction aux libertés qui ne serait pas justifiée par la tâche et proportionnée au but. Traduction : sécuriser le système, oui ; vous fliquer en continu, non.
• L’information préalable. L’article L. 1222-4 du Code du travail impose qu’aucune information vous concernant ne soit collectée par un dispositif qui ne vous a pas été annoncé avant. Un contrôle caché rend en principe les preuves irrecevables.

Concrètement, il peut légalement : filtrer les sites, bloquer les virus et les téléchargements dangereux, empêcher l’envoi de fichiers sensibles vers l’extérieur, et voir quelles applications professionnelles sont utilisées. Il doit aussi avoir consulté le CSE, inscrit le dispositif à son registre RGPD, et limité la durée de conservation des données. C’est un vrai droit. Mais un droit borné.

• Vous placer sous surveillance permanente. La CNIL veille là-dessus. Le 19 décembre 2024, elle a sanctionné une entreprise de 40 000 € pour surveillance excessive : un logiciel de surveillance d’activité paramétré pour faire des captures d’écran régulières (toutes les 3 à 15 minutes) et compter les temps « d’inactivité ». Jugé disproportionné, d’autant qu’il pouvait capter des éléments privés (mails perso, mots de passe).
• Installer un enregistreur de frappe (keylogger), qui capte tout ce que vous tapez. C’est interdit par principe et peut relever du pénal, sauf impératif de sécurité rarissime et toujours avec information explicite.
• Lire vos communications privées. Vos mails personnels, vos messageries privées, votre intimité restent protégés par le droit au respect de la vie privée (article 9 du Code civil), même sur un poste pro.

Et une question qu’on me pose souvent : « existe-t-il des modules illégaux pour booster cette surveillance ? » Non. On ne greffe pas de plugins-espions secrets sur un outil comme Zscaler, c’est une plateforme fermée. L’abus, quand il existe, ne vient jamais d’un module caché, mais de trois dérives : pousser les réglages trop loin (déchiffrer 100 % du trafic), ajouter à côté de vrais outils intrusifs (mouchard, keylogger, capture d’écran), ou déployer l’agent sur un appareil personnel. Le risque est dans le périmètre, pas dans le logiciel.

C’est ici que tout bascule. La règle change selon qui possède l’appareil :

• Matériel professionnel : les données y sont présumées professionnelles. L’employeur peut y accéder, dans le cadre vu plus haut.
• Matériel personnel (votre PC, votre téléphone, que vous utilisez pour bosser, ce qu’on appelle le « BYOD », bring your own device) : l’accès à vos données personnelles est interdit. L’employeur ne peut atteindre que les données strictement professionnelles, idéalement isolées dans un espace dédié (un « conteneur »).

La CNIL est très claire sur le BYOD : utiliser son matériel perso pour le travail ne fait pas tomber la protection de la vie privée. Si un agent d’entreprise déchiffre tout votre trafic sur votre appareil, ce n’est plus de la sécurité, c’est un dépassement de ce que la loi autorise.

C’est exactement la situation de mon client. Pas une attaque. Un mélange des genres. Et ce mélange, c’est rarement de la malveillance : c’est du confort mal pensé. On installe l’agent du boulot « pour que ça marche », et on ne réalise pas qu’on vient d’ouvrir sa vie privée à son employeur.

Si vous ne devez retenir qu’une chose de cet article, c’est celle-là.

Mes recommandations, par ordre d’efficacité :

1. Demandez un ordinateur professionnel et n’utilisez plus votre PC perso pour le travail. C’est la mesure la plus efficace, et de loin. Elle sépare nettement votre vie privée du périmètre de l’entreprise.
2. Si vous devez quand même utiliser votre machine perso : désinstallez l’agent d’entreprise et retirez le certificat racine de l’employeur du magasin de certificats. Le canal de lecture de votre trafic privé disparaît avec lui.
3. Verrouillez le BIOS/UEFI par un mot de passe et désactivez le démarrage sur clé USB. Ça empêche qu’on démarre votre machine sur une clé en votre absence (le scénario « pause déjeuner »).
4. Chiffrez votre disque (BitLocker sous Windows) et prenez le réflexe de verrouiller votre session (touche Windows + L) dès que vous quittez la machine.
5. Renouvelez vos secrets si vous avez un doute : mots de passe, accès bancaires, et toute clé d’accès technique laissée en clair dans un fichier. C’est ce que je rappelle aussi dans mon guide d’hygiène Windows.

Si vous estimez la surveillance disproportionnée ou cachée, vous avez des interlocuteurs :

• La CNIL : vous pouvez déposer une plainte en ligne.
• Le CSE / les représentants du personnel : ils doivent être informés et consultés sur ces dispositifs.
• L’inspection du travail et, en cas de litige, le conseil de prud’hommes : une preuve obtenue par un dispositif illégal est en principe écartée.
• Pour le matériel fourni par l’entreprise, l’interlocuteur c’est la DSI de l’employeur.

Et je veux être honnête sur une limite. Mon métier, c’est le technique : je constate ce qui tourne sur une machine, factuellement, sans jamais accuser personne. Quand mon client m’a décrit son ressenti au travail, je n’ai trouvé aucun élément technique pour le confirmer, ce qui est plutôt rassurant. Mais je ne suis ni en position ni en capacité de me prononcer sur la dimension humaine ou professionnelle d’une situation.

Si vous vivez un sentiment de surveillance ou de harcèlement dans le cadre du travail, ces sujets relèvent d’interlocuteurs plus compétents que moi : ressources humaines, médecine du travail, inspection du travail, voire un dépôt de main courante en consignant les faits datés. Un prestataire cyber préserve des preuves et établit des faits. Il ne désigne pas un coupable. La corrélation suggère, l’enquête prouve.