Vous avez peut-être déjà vécu l'un de ces cas d'usage :
- votre employeur vous demande d'utiliser Microsoft Windows, Office 365 ou n'importe quel autre logiciel ou service propriétaire ;
- l'école de vos enfants vous demande de rejoindre un groupe WhatsApp.
Je m'interroge sur la légalité de ces pratiques. En effet, lorsqu'on est employé, le seul contrat qu'on a accepté, c'est le contrat de travail. Or, pour utiliser un logiciel ou un service propriétaire, il faut accepter des conditions d'utilisation qui sont un contrat avec une entreprise tierce. Est-ce légal, pour un employeur, de demander à un salarié de signer un tel contrat tiers, sous peine de perdre son emploi par exemple ?
Pour le cas des groupes WhatsApp, c'est plus tordu, il semble évident qu'une école ne pourra pas refuser un enfant au motif que ses parents ne jouent pas ce jeu-là, mais en fait, ce qui se passe, c'est plutôt que les personnes qui ne veulent pas signer avec Meta sont simplement pénalisées. Ça ressemble plutôt à une discrimination, assez difficile à qualifier.
# Une piste : contrats nuls ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 6.
Une possible piste de réponse : autant que je sache, un contrat signé sous la contrainte est frappé de nullité. La menace de perdre son emploi pourrait bien constituer une contrainte de ce genre.
Si c'était le cas, conséquence : on pourrait signer toutes les licences qu'on veut sous la menace de perdre son emploi, puis ne rien respecter de ces licences puisqu'elles sont alors nulles.
# Faut signer le CLUF au boulot ?
Posté par gUI (Mastodon) . Évalué à 4.
J'ai eu à plusieurs reprises dans mon boulot accès à la suite Microsoft, je ne me souviens pas avoir dû accepter le CLUF. Ou alors je l'ai fait machinalement ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Faut signer le CLUF au boulot ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
Si ce n'est pas le cas, c'est quand même amusant, parce que ça veut dire que tu peux faire n'importe quoi avec le logiciel concerné. Genre le copier, diffuser la clef de licence sur Internet, etc.
[^] # Re: Faut signer le CLUF au boulot ?
Posté par gUI (Mastodon) . Évalué à 6.
Non. Faut pas non plus tomber dans l'autre excès et penser que parce que t'as rien signé t'as droit à tout. La loi reste la loi.
Et dans ton entreprise tu as en général autre chose : le règlement intérieur (et souvent la charte Informatique en plus).
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Faut signer le CLUF au boulot ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 6.
Évidemment, on reste soumis à la loi. Et ça interdit effectivement de rediffuser un logiciel puisqu'on n'a pas l'accord des ayant-droits, au temps pour moi.
Mais on n'est soumis à rien de plus. En particulier, si tu n'as pas signé le CLUF, tu peux bien prendre une photo de ton numéro de licence et le diffuser sur Internet, sans violer quelque loi que ce soit. Après il faudrait vérifier ce que contient le CLUF comme restrictions amusantes auxquelles on ne serait donc pas soumis si on ne l'a pas signé.
[^] # Re: Faut signer le CLUF au boulot ?
Posté par NicolasP . Évalué à 3.
Tu restes soumis à une obligation de loyauté envers ton employeur. Je n'ai aucune idée d'à quoi sert un numéro de licence, mais si c'est une information privée, tu n'as pas le droit de la diffuser sans l'accord de ton employeur.
[^] # Re: Faut signer le CLUF au boulot ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
Ça aussi ça m'intrigue. À quel point est-il légal d'imposer à un salarié de signer un document qui ajoute des contraintes à ce qu'il a déjà dans son contrat de travail. Si l'obligation de les accepter figure dans le contrat de travail, pas de problème, ça en fait des annexes à ce contrat.
Du moins jusqu'à la prochaine mise à jour de ce règlement ou de cette charte. Et là, que faire pour un salarié qui refuse d'accepter la mise à jour ? Le virer ? Ça, c'est probablement illégal, non ?
[^] # Re: Faut signer le CLUF au boulot ?
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 6. Dernière modification le 30 août 2023 à 14:22.
Le règlement intérieur est en quelque sorte le système législatif qui régit le fonctionnement intérieur de l'entreprise. C'est un texte très important. Ne pas respecter ledit règlement, c'est s'exposer à des sanctions. Un (ou une) salarié qui ne voudrait pas accepter le règlement intérieur n'a pas sa place dans l'entreprise.
Pour en savoir plus : https://www.service-public.fr/particuliers/vosdroits/F1905
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Faut signer le CLUF au boulot ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Oui, bien sûr. Et c'est très encadré, parce que justement, ça sort complètement du droit des contrats puisque ce n'est pas un contrat librement accepté mais un engagement obligatoire.
Le cas des licences de logiciels et des services relève en revanche du droit des contrats. Et ça me semble plus que limite, de devoir accepter des contrats comme ça pour pouvoir continuer à travailler dans une entreprise.
[^] # Re: Faut signer le CLUF au boulot ?
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 6.
Ça dépend de comment c'est intégré, je suppose :
Maintenant, ce que j'en pense, c'est que c'est à l'entreprise de passer et de signer le contrat, pas aux salariés. C'est l'entreprise qui est responsable au premier chef, pas les salariés. Et je suis d'accord avec toi.
Il faudrait voir ce qu'en pensent les juristes.
L'une des questions fondamentales derrière tout ça étant la protection et l'utilisation des données et, à mon avis encore une fois, les personnes concernées ont tout à fait le droit d'y trouver à redire et de ne pas accepter, par exemple, que la plateforme qui impose ces contrats considère que tout ce qui est chez elle lui appartient (bon, en très gros).
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Faut signer le CLUF au boulot ?
Posté par NeoX . Évalué à 6.
ca doit etre "caché" dans les petites lignes qui disent :
"s'engage a utiliser les outils fournis par la société"
sans pour autant en fournir la liste (office, windows, vpn etc)
[^] # Re: Faut signer le CLUF au boulot ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 7.
Si c'était le cas, ça ne peut pas impliquer implicitement qu'on accepte les licences de ces outils. Pour plusieurs raisons :
Ça ressemble à un exemple que j'avais avec une carte restaurant. À la réception, on nous demandait de signer des conditions d'utilisation. Normal. Sauf le dernier article de ces conditions, qui disait : « ces conditions sont mises à jour régulièrement, et l'utilisateur est réputé accepter leur dernière version à chaque fois qu'il utilise la carte. » Sauf que non, en fait, cette clause ne valait rien, parce qu'on ne peut pas opposer à quiconque un contrat qui ne lui a pas été présenté. En conséquence de quoi, j'étais lié par la version des conditions d'utilisation explicitement acceptée, et certainement pas par les versions ultérieures.
[^] # Re: Faut signer le CLUF au boulot ?
Posté par arnaudus . Évalué à 5.
Non, mais il n'y a pas besoin, en fait. La charte informatique annexée au règlement intérieur contient très probablement une phrase du type "Les logiciels doivent être utilisés conformément à leur licence", donc quand ta hiérarchie te dire "on change de logiciel pour telle ou telle activité", soit tu utilises le logiciel sans respecter la licence (et donc, tu contreviens au règlement intérieur), soit tu refuses d'utiliser le logiciel (et donc, tu suspends potentiellement ton contrat de travail, puisque le respect des consignes hiérarchiques n'est pas optionnel).
"certainement pas par les versions ultérieures.": je pense que tu te trompes dans ton analyse, puisqu'il est bien indiqué que c'est l'utilisation du service qui vaut acceptation des conditions. Dans ton contrat, tu ne t'engages pas à accepter de futures conditions qui n'existent pas encore, ce qui serait en effet contestable, mais tu t'engages à ce que l'utilisation du service tienne lieu d'acceptation des conditions en cours—tu es donc libre d'arrêter d'utiliser le service à tout moment si tu es en désaccord avec l'une des conditions d'utilisation.
[^] # Re: Faut signer le CLUF au boulot ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
Sauf que la simple utilisation du service ne peut valoir acceptation de quoi que ce soit qui n'a jamais été présenté à l'utilisateur. On ne peut pas opposer à quelqu'un un contrat ou une clause qui ne lui a pas été présentée.
Si encore il y avait un mot à l'utilisation, genre « il y a une nouvelle version des conditions d'utilisations, veuillez confirmer que vous l'avez téléchargée et lue », ce serait discutable. Mais sans rien de tel, ça m'étonnerait.
« Passer la porte d'entrée de mon magasin vaut acceptation de la dernière version des conditions d'utilisation que j'aurai publiée sur mon site Web » : vous pensez que ça tiendrait, en cas de litige ?
[^] # Re: Faut signer le CLUF au boulot ?
Posté par arnaudus . Évalué à 5.
S'il s'agit de conditions générales de vente, le code de la consommation est assez clair: en cas de contrat à durée indéterminée, le professionnel peut modifier les conditions, te le notifier (par courrier électronique, j'imagine, ou peut-être par voie d'affichage), et tu as le choix de résilier ou de continuer à utiliser le service (auquel cas ça vaut acceptation).
J'imagine que ce n'est que la vente qui vaut acceptation des conditions générales de vente, par contre, rentrer dans le magasin doit valoir acceptation d'une sorte de règlement intérieur. Un peu comme aller sur un site vaut acceptation des conditions d'utilisation.
La jurisprudence est assez constante, tu n'as pas besoin d'un accord explicite (et encore moins signé) pour qu'un contrat soit conclu. Si par exemple la modification des conditions d'utilisation est visible ou affichée (par exemple, "on ne prend plus les chèques", ou "amende de 10€ si vous perdez votre carte") et que tu continues à utiliser le service, jamais tu ne pourras opposer de ne pas avoir signé un avenant à ton contrat. Tu as peut-être plus de chances si c'est un clause cryptique (par exemple sur les conditions de résiliation) et si tu peux montrer que rien n'a été fait pour te prévenir. En tout cas, à ma connaissance, il n'est absolument pas envisageable pour un professionnel de devoir maintenir en parallèle plusieurs versions des CGV en fonction de la date à laquelle ils ont signé le contrat, donc soit tu acceptes de t'aligner sur la version la plus récente, soit tu ne peux plus utiliser le service.
Tu peux voir ça comme pour la mise à jour d'un logiciel. Si la licence a changé, tu n'es pas nécessairement prévenu; pourtant, tu ne peux pas te prévaloir de l'ancienne licence pour la nouvelle version.
[^] # Re: Faut signer le CLUF au boulot ?
Posté par aiolos . Évalué à 5.
Ou alors ton entreprise a signée un contrat, et toi tu dois utiliser les services souscrits par ton employeur dans le cadre de ce contrat…
[^] # Re: Faut signer le CLUF au boulot ?
Posté par arnaudus . Évalué à 5.
Ça me semble évident. Les employés sont soumis aux clauses des contrats signés par l'employeur; charge à l'employeur de faire respecter ces clauses en interne, via son règlement intérieur.
Extrait de la charte informatique de l'Université de Lorraine (premier lien Google, ne me demandez pas pourquoi): ne pas installer, télécharger ou utiliser sur le matériel de l’Université de Lorraine, des logiciels ou progiciels sans respecter les droits de licence ; les logiciels doivent être utilisés dans les conditions des licences souscrites ;"
J'ai même l'impression que d'essayer de faire des choses visiblement absurdes (diffuser les codes de déverrouillage des logiciels, ou violer la confidentialité des données fournies par un client sous prétexte que l'employé n'a pas signé de cause de confidentialité directement avec le client) ne sont même pas du ressort du règlement intérieur, mais carrément du code du travail.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 4.
Ce commentaire a été supprimé par l’équipe de modération.
# Récapitulatif
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 4.
Un employeur peut, et doit, en fait, avoir un règlement intérieur. Dedans, il doit pouvoir indiquer que les employés doivent respecter les clauses des licences d'utilisation de logiciels ou de services signées par l'entreprise.
Reste une question, l'employeur peut-il imposer l'utilisation d'un logiciel ou d'un service donné ?
Cette question n'est pas anodine, imaginez le cas d'un service en ligne avec des conditions craignos, genre qui stocke des infos, voire fuite des infos personnelles vous concernant, ce genre de truc. Que peut faire l'employé qui ne souhaite pas s'y soumettre ?
Par exemple, un employeur peut-il imposer à un employé d'être fiché sur Facebook ou LinkeIn ? Ou d'avoir un compte Google pour installer des logiciels sur son téléphone pro, voire sur son téléphone perso ?
[^] # Re: Récapitulatif
Posté par gUI (Mastodon) . Évalué à 4.
Évidemment. Ton métier c'est ton métier. Après si t'as pas besoin du logiciel t'es pas obligé de l'utiliser (style j'utilise pas le logiciel de compta de l'entreprise), mais si tu dois faire de la compta, c'est sur le logiciel imposé par l'employeur (et rien d'autre).
Et si tous les postes sont sous Windows, alors tous les postes sont sous Windows (et pas Linux).
La loi c'est la loi, en France il y a le RGPD qui s'applique. Même (et surtout d'ailleurs) en entreprise. Donc ce cas n'est théoriquement pas possible.
L'employeur ne peut t'imposer que des trucs ayant un rapport avec ton activité. J'ai du mal à voir en quoi ce pourrait être obligatoire (même pour un community manager par exemple tu ferais un compte "pro").
Tu auras un compte Google pro oui.
Là c'est plus compliqué. J'ai déjà eu ça (le BYOD) mais c'était au volontariat. Par contre du coup tu prends des contraintes sur ton téléphone perso, à toi d'accepter ou pas.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Récapitulatif
Posté par totof2000 . Évalué à 7.
Je suis actuellement en mission dans une société qui utilise pas mal de service gfoogle (GCP, la suite bureautique en ligne, etc …) et j'ai un compte google pro.
Ce compte ne contient que les informations professionnelles strictement nécessaires à mon activité.
Il va de soi que si un employeur voulait m'imposer un truc comme whatsapp, ou pire, facebook ou autre saleté de ce genre en mode pro, je lui demandrai de me fournir un identifiant pro, et un matériel spécifique avec lequel me connecter, et de ne surtout pas diffuser ma photo sur ces trucs. Il pourra essayer de me virer, mais je ne pense pas qu'il obtiendra gain de cause. Certes les indemnités en cas de licenciement abusif sont plafonnées, mais en cumulant ça au non respect du RGPD, ça risquerait de lui faire tout drôle et de couter cher en frais juridiques.
[^] # Re: Récapitulatif
Posté par devnewton 🍺 (site web personnel) . Évalué à 6.
On est en permanence dans les conflits. Exemple: ton employeur t'impose d'utiliser Windows sans droits pour faire du docker/ansible/… Bref tu ne peux pas installer ces softs.
Tu choisis quoi? Enfreindre la charte informatique ou planter le projet ?
(Oui je sais la procédure normale est de demander à la DSI, mais bon rendez-vous dans 6 mois pour avoir un poste correct).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Récapitulatif
Posté par NeoX . Évalué à 3.
tu fais le DEV sur ton post mais sur l'environnement de DEV, sur les serveurs et reseaux de DEV…
# Quelques petites réflexions en passant, qui ne valent pas grand chose
Posté par Paul C. . Évalué à 3.
La bonne question à mon avis, c'est est-ce que tu signes en tant qu'employé de ta boite, avec une utilisation exclusivement pro, sur des appareils pros, et que des données pro, ou bien est-ce que tu signes en tant qu'individu privé, en partageant des données considérées comme personnelles ? De la réponse à cette question découle la solution.
Est-ce que le nom de famille par exemple, dans le cadre d'un emploi, est considéré comme une donnée personnelle ? Je suppose que oui, mais d'un autre côté l'usage veut qu'il soit largement diffusé auprès des collègues, clients, fournisseurs, sous-traitants… Sans aucun contrôle.
En pratique il faudrait une adresse email pro qui correspond au poste, et qui ne serait donc pas une donnée personnelle. Par exemple que ton compte Google pro soit relié à une adresse de type « compta@entreprise.com » ou « ingénieur_backend_n°12@entreprise.com ».
Il me semble impossible de trouver une solution de communication universelle qui plaise à tout le monde. Peut-être un autre parent d'élève refuse d'accepter la GPL par exemple ? Ou les CGV/CGU d'un opérateur téléphonique ?
Tu peux peut-être demander à l'école de te communiquer les conversations par une voie officielle, et sans avoir cherché je pense que le seul moyen de contact obligatoire en France est d'avoir une adresse postale. Donc tu demandes qu'on t'imprime les conversations et qu'on te les envoie par la Poste. Comme ça tout le monde est content. Ça peut faire un moyen de pression pour militer pour un moyen de communication plus éthique.
En pratique bien sûr, ma solution est nulle.
[^] # Re: Quelques petites réflexions en passant, qui ne valent pas grand chose
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 7.
Il n'est pas nécessaire de l'accepter pour avoir le droit d'utiliser le logiciel. La GPL donne irrévocablement le droit à tout le monde d'utiliser le logiciel sans aucune restriction. Ce droit est accordé par choix de l'auteur, sans contrepartie, donc pas besoin d'accepter quoi que ce soit.
Pour utiliser un logiciel sous GPL, la seule chose à accepter, c'est de l'utiliser. Mais il n'existe aucun cas où on n'a pas le droit de l'utiliser, enfin pas à cause de la licence en tout cas.
[^] # Re: Quelques petites réflexions en passant, qui ne valent pas grand chose
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
D'ailleurs ce n'est pas spécifique à la GPL, en fait c'est une caractéristique nécessaire pour qualifier un logiciel de libre, que ce soit selon les critères de la FSF ou selon ceux de Debian (ou de l'OSI puisque ce sont les mêmes) : un logiciel qu'on ne peut utiliser qu'en ayant accepté quoi que ce soit n'est pas libre.
[^] # Re: Quelques petites réflexions en passant, qui ne valent pas grand chose
Posté par arnaudus . Évalué à 4.
Quid de la clause de non-garantie? (Clause qui est probablement illégale en France de toutes manières. )
[^] # Re: Quelques petites réflexions en passant, qui ne valent pas grand chose
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5. Dernière modification le 02 septembre 2023 à 12:26.
Ce n'est pas à accepter avant de pouvoir utiliser le logiciel, c'est une information. Et si c'est illégal, eh bien ça ne s'applique pas, c'est aussi simple que ça.
# Phishing
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 4.
Ma petite expérience avec ce genre de problèmatique. L'hébergeur (physique : ensicaen) de l'institution dans laquelle je travaille (laboratoire : umr6252) pour l'université de Caen en étant (probablement) employé par un ministère a décidé voici quelques années de sous-traiter son système informatique à mirosoft. Comme l'ensicaen impose à tous les personnels hébergés d'employer une adresse de courriel qu'elle fournie, nous recevons un message nous sommant de cliquer sur une url pour y recréer un compte. L'url renvoie sur une page d'un site en …microsoft.com affichant fièrement les logos de l'ensicaen. Typique d'un cas de phishing. On y trouve deux boîtes de dialogue. L'une avec notre identifiant à l'ensicaen en nom.prenom, et l'autre demandant d'entrer son mot de passe employé pour les services de l'ensicaen. Autant dire que je n'ai pas donné suite.
En revanche, j'ai envoyé un courriel aux services numérique du premier ministre de l'époque pour interroger sur cette transformation. Ainsi que des demandes d'avis. Effet ou pas, le déploiement de la solution microsot s'est trouvé suspendu pendant un an. D'après les bruits de couloir ce qui avait été prévu s'était avéré illégal et il a fallu changer les dispositions d'hébergement des données.
Entre temps j'avais configuré mon adresse de courriel @ensicaen pour prévenir tous mes correspondants de ce que je ne revcevrais plus les messages envoyés.
Finalement, ce qui devait arriver arriva. L'ancienne boîte fut fermée, et la nouvelle pas vraiment ouverte : les messages y atterrissaient, mon avertissement n'était plus envoyé, et je ne pouvais bien entendu pas récupérer de messages. J'ai donc fait des scripts envoyant des données chiffrées par paquets de ~10MB dans la boîte ; dans l'idée qu'une fois remplie elle enverrait au moins à mes correspondants un message d'erreur. Peine perdue. Le puits était sans fond ; ou presque.
Environ un an plus tard, un délégué mirosoft de l'ensicaen m'appela pour me signaler que je n'avais pas transmis mes identifiants à leurs associés et que ma boîte contenait environ un teraoctet de messages. Il accepta de tout effacer et de me faire suivre mes courriels à l'avenir.
Ça dura environ un an. Les courriels ont à nouveau cessé de m'être transmis. Peut-être devrais-je à nouveau m'envoyer des données chiffrées ?
Revenons à l'affaire des CLUF et autres contrats avec des entités malveillantes : comme je n'accepte même pas de lire les fichiers qui me sont envoyés dans les formats privateurs (je les balance immédiatement à la corbeille), sauf sous la contrainte il sera délicat de m'en faire avaler (du CLUF).
En revanche, j'ai pu remarquer que les liens envoyés par mes collègues, contraints de leur plein gré à employer les outils microsot, étaient systématiquement espionnés. Mais qui en ce bas monde se préoccupe encore de légalité ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.