Le COVID-19 a poussé des millions de personnes à travailler à domicile, et une multitude d'entreprises proposant des logiciels de suivi des travailleurs se sont précipitées pour présenter leurs produits aux employeurs à travers le pays.
Les services semblent souvent relativement inoffensifs. Certains fournisseurs facturent leurs outils comme des logiciels de «suivi automatique du temps» ou «d'analyse du lieu de travail». D'autres vendent aux entreprises préoccupées par les violations de données ou le vol de propriété intellectuelle. Nous appellerons ces outils, collectivement, «bossware». Tout en visant à aider les employeurs, Bossware met en danger la confidentialité et la sécurité des travailleurs en enregistrant chaque clic et chaque frappe, en collectant secrètement des informations pour les poursuites judiciaires et en utilisant d'autres fonctionnalités d'espionnage qui vont bien au-delà de ce qui est nécessaire et proportionné pour gérer une main-d'œuvre.
Ce n'est pas OK. Quand une maison devient un bureau, elle reste une maison. Les travailleurs ne devraient pas être soumis à une surveillance non consensuelle ou se sentir obligés d'être contrôlés chez eux pour conserver leur emploi.
Que peuvent-ils faire?
Bossware vit généralement sur un ordinateur ou un smartphone et dispose de privilèges pour accéder aux données sur tout ce qui se passe sur cet appareil. La plupart des bossware collectent plus ou moins tout ce que fait l'utilisateur. Nous avons examiné des supports marketing, des démos et des avis clients pour avoir une idée du fonctionnement de ces outils. Il y a trop de types individuels de surveillance à énumérer ici, mais nous essaierons de décomposer les façons dont ces produits peuvent surveiller en catégories générales.
Le type de surveillance le plus large et le plus courant est le «suivi des activités». Cela comprend généralement un journal des applications et des sites Web que les employés utilisent. Il peut inclure à qui ils envoient un e-mail ou un message, y compris des lignes d'objet et d'autres métadonnées, et tout message qu'ils publient sur les réseaux sociaux. La plupart des bossware enregistrent également les niveaux de saisie du clavier et de la souris. Par exemple, de nombreux outils donnent une ventilation minute par minute du nombre de types et de clics d'un utilisateur, en utilisant cela comme un proxy pour la productivité. Un logiciel de surveillance de la productivité tentera d'assembler toutes ces données dans de simples tableaux ou graphiques qui donnent aux gestionnaires une vue d'ensemble de ce que font les travailleurs.
Chaque produit que nous avons examiné a la capacité de prendre fréquemment des captures d'écran de l'appareil de chaque travailleur, et certains fournissent des flux vidéo directs et en direct de leurs écrans. Ces données d'image brutes sont souvent regroupées dans une chronologie, de sorte que les patrons peuvent revenir en arrière dans la journée d'un travailleur et voir ce qu'ils faisaient à un moment donné. Plusieurs produits agissent également comme un enregistreur de frappe , enregistrant chaque frappe effectuée par un travailleur, y compris les e-mails non envoyés et les mots de passe privés. Certains ont même laissé les administrateurs intervenir et prendre le contrôle à distance du bureau d'un utilisateur. Ces produits ne font généralement pas de distinction entre l'activité professionnelle et les informations d'identification de compte personnel, les données bancaires ou les informations médicales.
InterGuard annonce que son logiciel «peut être installé silencieusement et à distance, de sorte que vous pouvez mener des enquêtes secrètes [sur vos employés] et recueillir des preuves à toute épreuve sans alarmer le suspect».
Certains bossware vont encore plus loin, atteignant le monde physique autour de l'appareil d'un travailleur. Les entreprises qui proposent des logiciels pour appareils mobiles incluent presque toujours le suivi de localisation à l'aide de données GPS . Au moins deux services – StaffCop Enterprise et CleverControl – permettent aux employeurs d' activer secrètement des webcams et des microphones sur les appareils des employés .
Il existe, en gros, deux manières de déployer le bossware: en tant qu'application visible par le travailleur (et peut-être même contrôlable par), ou en tant que processus d'arrière-plan secret que les travailleurs ne peuvent pas voir. La plupart des entreprises que nous avons examinées offrent aux employeurs la possibilité d'installer leurs logiciels dans les deux sens.
Surveillance visible
Parfois, les travailleurs peuvent voir le logiciel qui les surveille. Ils peuvent avoir la possibilité d'activer ou de désactiver la surveillance, souvent représentée par «pointage d'entrée» et «pointage de sortie». Bien entendu, le fait qu'un travailleur ait désactivé la surveillance sera visible pour son employeur. Par exemple, avec Time Doctor, les travailleurs peuvent avoir la possibilité de supprimer des captures d' écran particulières de leur session de travail. Cependant, la suppression d'une capture d'écran supprimera également le temps de travail associé, de sorte que les travailleurs ne reçoivent un crédit que pour le temps pendant lequel ils sont surveillés.
Les travailleurs peuvent avoir accès à une partie ou à la totalité des informations recueillies à leur sujet. Crossover, la société derrière WorkSmart, compare son produit à un tracker de fitness pour le travail sur ordinateur. Son interface permet aux travailleurs de voir les conclusions du système sur leur propre activité présentées dans un tableau de graphiques et de tableaux.
Différentes sociétés de bossware offrent différents niveaux de transparence aux travailleurs. Certains donnent aux travailleurs accès à la totalité ou à la plupart des informations dont leurs gestionnaires disposent. D'autres, comme Teramind , indiquent qu'ils sont allumés et collectent des données, mais ne révèlent pas tout ce qu'ils collectent. Dans les deux cas, l'utilisateur peut souvent ne pas savoir quelles données exactement sont collectées, sans demandes spécifiques adressées à son employeur ou sans examen minutieux du logiciel lui-même.
Surveillance invisible
La majorité des entreprises qui créent des logiciels de surveillance visibles fabriquent également des produits qui tentent de se cacher des personnes qu'elles surveillent. Teramind, Time Doctor, StaffCop et d'autres créent un bossware conçu pour être aussi difficile à détecter et à supprimer que possible. Sur le plan technique, ces produits sont indiscernables des stalkerware . En fait, certaines entreprises demandent aux employeurs de configurer spécifiquement un logiciel antivirus avant d'installer leurs produits, afin que l'antivirus du travailleur ne détecte pas et ne bloque pas l'activité du logiciel de surveillance.
Une capture d'écran du flux d'inscription de TimeDoctor, qui permet aux employeurs de choisir entre la surveillance visible et invisible.
Ce type de logiciel est commercialisé dans un but précis: surveiller les travailleurs. Cependant, la plupart de ces produits ne sont en réalité que des outils de surveillance à usage général. StaffCop propose une version de leur produit spécialement conçue pour surveiller l'utilisation d'Internet par les enfants à la maison, et ActivTrak déclare que leur logiciel peut également être utilisé par les parents ou les responsables de l'école pour surveiller l'activité des enfants. Les avis des clients sur certains logiciels indiquent que de nombreux clients utilisent effectivement ces outils en dehors du bureau.
La plupart des entreprises qui proposent une surveillance invisible recommandent de ne l'utiliser que pour les appareils appartenant à l'employeur. Cependant, beaucoup offrent également des fonctionnalités telles que l'installation à distance et «silencieuse» qui peuvent charger des logiciels de surveillance sur les ordinateurs des employés, à leur insu, alors que leurs appareils sont à l'extérieur du bureau . Cela fonctionne parce que de nombreux employeurs ont des privilèges administratifs sur les ordinateurs qu'ils distribuent. Mais pour certains travailleurs, l'ordinateur portable de l'entreprise qu'ils utilisent est leur seul ordinateur, de sorte que la surveillance de l'entreprise est toujours présente. Il existe un grand potentiel d'utilisation abusive de ce logiciel par les employeurs, les responsables de l'école et les partenaires intimes. Et les victimes peuvent ne jamais savoir qu'elles sont soumises à une telle surveillance.
Le tableau ci-dessous présente les fonctionnalités de surveillance et de contrôle disponibles auprès d'un petit échantillon de fournisseurs de bossware. Cette liste n'est pas exhaustive et peut ne pas être représentative de l'industrie dans son ensemble; nous avons examiné les entreprises mentionnées dans les guides de l'industrie et les résultats de recherche qui disposaient de matériel de marketing informatif destiné au public.
Tableau: Fonctionnalités de surveillance courantes des produits bossware
|
Surveillance de l'activité (applications, sites Web) |
Captures d'écran ou enregistrements d'écran |
Keylogging |
Activation de la webcam / microphone |
Peut être rendu "invisible" |
|
|
ActivTrak |
|||||
|
CleverControl |
confirmé |
||||
|
DeskTime |
|||||
|
Hubstaff |
|||||
|
Interguard |
|||||
|
StaffCop |
confirmé |
||||
|
Teramind |
|||||
|
TimeDoctor |
|||||
|
Examinateur de travail |
|||||
|
WorkPuls |
Caractéristiques de plusieurs produits de surveillance des travailleurs, basés sur le matériel marketing des entreprises. 9 des 10 entreprises que nous avons examinées offraient des logiciels de surveillance «silencieux» ou «invisibles», qui peuvent collecter des données à l'insu des travailleurs.
Quelle est la fréquence du bossware?
Le secteur de la surveillance des travailleurs n'est pas nouveau, et il était déjà assez important avant le déclenchement d'une pandémie mondiale. Bien qu'il soit difficile d'évaluer à quel point le bossware est commun, il est sans aucun doute devenu beaucoup plus courant car les travailleurs sont obligés de travailler à domicile en raison du COVID-19. Awareness Technologies, propriétaire d'InterGuard, a affirmé avoir augmenté sa clientèle de plus de 300% au cours des premières semaines suivant l'épidémie. De nombreux fournisseurs que nous avons examinés exploitent COVID-19 dans leurs présentations marketing aux entreprises.
Certaines des plus grandes entreprises du monde utilisent bossware. Les clients Hubstaff incluent Instacart, Groupon et Ring. Time Doctor revendique 83 000 utilisateurs; ses clients incluent Allstate, Ericsson, Verizon et Re / Max. ActivTrak est utilisé par plus de 6 500 organisations, dont l'Université d'État de l'Arizona, l'Université Emory et les villes de Denver et Malibu. Des entreprises comme StaffCop et Teramind ne divulguent pas d'informations sur leurs clients, mais prétendent servir des clients dans des secteurs tels que la santé, la banque, la mode, la fabrication et les centres d'appels. Les commentaires des clients sur les logiciels de surveillance donnent plus d'exemples de la façon dont ces outils sont utilisés.
Soyons clairs: ce logiciel est spécialement conçu pour aider les employeurs à lire les messages privés des travailleurs à leur insu ou sans leur consentement. Dans tous les cas, c'est inutile et contraire à l'éthique.
Nous ne savons pas combien de ces organisations choisissent d'utiliser la surveillance invisible, car les employeurs eux-mêmes n'ont pas tendance à en faire la publicité. De plus, il n'existe pas de moyen fiable pour les travailleurs eux-mêmes de le savoir, car tant de logiciels invisibles sont explicitement conçus pour échapper à la détection. Certains travailleurs ont des contrats qui autorisent certains types de surveillance ou en empêchent d'autres. Mais pour de nombreux travailleurs, il peut être impossible de dire s'ils sont surveillés. Les travailleurs qui s'inquiètent de la possibilité d'une surveillance peuvent être plus sûrs de supposer que tout appareil fourni par l'employeur les suit.
À quoi servent les données?
Les fournisseurs de Bossware commercialisent leurs produits pour une grande variété d'utilisations. Certains des plus courants sont le suivi du temps, le suivi de la productivité, le respect des lois sur la protection des données et la prévention du vol de propriété intellectuelle. Certains cas d'utilisation peuvent être valables: par exemple, les entreprises qui traitent des données sensibles ont souvent l'obligation légale de s'assurer que les données ne sont pas divulguées ou volées sur les ordinateurs de l'entreprise. Pour les travailleurs hors site, cela peut nécessiter un certain niveau de surveillance sur l'appareil. Mais un employeur ne devrait entreprendre aucune surveillance à des fins de sécurité à moins qu'il ne puisse montrer qu'elle est nécessaire, proportionnée et spécifique aux problèmes qu'il tente de résoudre.
Malheureusement, de nombreux cas d'utilisation impliquent que les employeurs exercent un pouvoir excessif sur les travailleurs. Peut-être que la plus grande classe de produits que nous avons examinée est conçue pour la «surveillance de la productivité» ou le suivi amélioré du temps, c'est-à-dire l'enregistrement de tout ce que les travailleurs font pour s'assurer qu'ils travaillent assez dur. Certaines entreprises considèrent leurs outils comme des avantages potentiels pour les dirigeants et les travailleurs . Recueillir des informations sur chaque seconde de la journée d'un travailleur n'est pas seulement bon pour les patrons, prétendent-ils – cela aide aussi soi-disant le travailleur. D'autres fournisseurs, comme Work Examiner et StaffCop , se vendent directement aux gestionnaires qui ne font pas confiance à leur personnel. Ces entreprises recommandent souvent de lier les mises à pied ou les primes à des indicateurs de performance dérivés de leurs produits.
Matériel marketing de la page d'accueil de Work Examiner, https://www.workexaminer.com/
Certaines entreprises commercialisent également leurs produits comme des outils punitifs ou comme des moyens de rassembler des preuves pour d'éventuelles poursuites judiciaires. InterGuard annonce que son logiciel «peut être installé silencieusement et à distance, de sorte que vous pouvez mener des enquêtes secrètes [sur vos employés] et recueillir des preuves à toute épreuve sans alarmer le suspect». Ces preuves, poursuit-il, peuvent être utilisées pour lutter contre les «poursuites pour licenciement injustifié». En d'autres termes, InterGuard peut fournir aux employeurs une quantité astronomique d'informations privées, secrètement recueillies pour tenter de faire échec aux recours légaux des travailleurs contre un traitement injuste.
Aucun de ces cas d'utilisation, même les moins dérangeants évoqués ci-dessus, ne justifie la quantité d'informations que bossware collecte habituellement. Et rien ne justifie de cacher le fait que la surveillance est en cours.
La plupart des produits prennent des captures d'écran périodiques, et peu d'entre eux permettent aux travailleurs de choisir lesquels partager. Cela signifie que des informations médicales, bancaires ou autres informations personnelles sensibles sont capturées avec des captures d'écran d'e-mails professionnels et de médias sociaux. Les produits qui incluent des enregistreurs de frappe sont encore plus invasifs et finissent souvent par capturer des mots de passe sur les comptes personnels des employés.
Description de Work Examiner de sa fonction Keylogging, soulignant spécifiquement sa capacité à capturer des mots de passe privés
Malheureusement, la collecte excessive d'informations n'est souvent pas un accident, c'est une fonctionnalité. Work Examiner annonce spécifiquement la capacité de son produit à capturer des mots de passe privés. Une autre société, Teramind, rend compte de chaque information saisie dans un client de messagerie, même si ces informations sont supprimées par la suite. Plusieurs produits analysent également des chaînes de texte à partir de messages privés sur les réseaux sociaux afin que les employeurs puissent connaître les détails les plus intimes des conversations personnelles des travailleurs.
Soyons clairs: ce logiciel est spécialement conçu pour aider les employeurs à lire les messages privés des travailleurs à leur insu ou sans leur consentement. Dans tous les cas, c'est inutile et contraire à l'éthique.
Que pouvez-vous faire?
En vertu de la législation américaine actuelle, les employeurs ont trop de latitude pour installer des logiciels de surveillance sur les appareils qu'ils possèdent. De plus, rien ne les empêche de contraindre les travailleurs à installer des logiciels sur leurs propres appareils (tant que la surveillance peut être désactivée en dehors des heures de travail). Différents États ont des règles différentes sur ce que les employeurs peuvent et ne peuvent pas faire. Mais les travailleurs ont souvent un recours légal limité contre les logiciels de surveillance intrusifs.
Cela peut et doit changer. Alors que les législatures des États et nationales continuent d'adopter des lois sur la confidentialité des données des consommateurs , elles doivent également établir des protections pour les travailleurs vis-à-vis de leurs employeurs. Commencer:
- La surveillance des travailleurs – même sur des appareils appartenant à l'employeur – devrait être nécessaire et proportionnée.
- Les outils doivent minimiser les informations qu'ils collectent et éviter d'aspirer les données personnelles telles que les messages privés et les mots de passe.
- Les travailleurs devraient avoir le droit de savoir exactement ce que leurs gestionnaires collectent.
- Et les travailleurs ont besoin d'un droit d'action privé pour pouvoir poursuivre les employeurs qui enfreignent ces protections légales de la vie privée.
Entre-temps, les travailleurs qui savent qu'ils sont soumis à une surveillance – et se sentent à l'aise de le faire – devraient engager des conversations avec leurs employeurs. Les entreprises qui ont adopté le bossware doivent réfléchir à leurs objectifs et devraient essayer de les atteindre de manière moins intrusive. Bossware incite souvent les mauvais types de productivité, par exemple, en forçant les gens à secouer leur souris et à taper toutes les quelques minutes au lieu de lire ou de réfléchir. Une surveillance constante peut étouffer la créativité, diminuer la confiance et contribuer à l'épuisement professionnel. Si les employeurs sont préoccupés par la sécurité des données, ils devraient envisager des outils spécifiquement adaptés aux menaces réelles et qui minimisent les données personnelles prises dans le processus.
De nombreux travailleurs ne se sentiront pas à l'aise de s'exprimer ou pourraient soupçonner que leurs employeurs les surveillent en secret. S'ils ne sont pas conscients de l'étendue de la surveillance, ils doivent considérer que les appareils de travail peuvent tout collecter, de l'historique Web aux messages privés en passant par les mots de passe. Si possible, ils doivent éviter d'utiliser des appareils de travail à des fins personnelles. Et si les travailleurs sont invités à installer un logiciel de surveillance sur leurs appareils personnels, ils peuvent être en mesure de demander à leurs employeurs un appareil distinct et spécifique au travail à partir duquel les informations privées peuvent être plus facilement isolées.
Enfin, les travailleurs peuvent ne pas se sentir à l'aise pour parler de leur surveillance par souci de rester en emploi à une époque de chômage record . Un choix entre une surveillance invasive et excessive et le chômage n'est pas vraiment un choix.
Le COVID-19 nous a tous soumis à un nouveau stress et il est susceptible de changer fondamentalement notre façon de travailler également. Cependant, nous ne devons pas le laisser inaugurer une nouvelle ère de surveillance encore plus omniprésente. Nous vivons plus que jamais grâce à nos appareils. Il est donc plus important que jamais que nous ayons le droit de préserver la confidentialité de notre vie numérique – vis-à-vis des gouvernements, des entreprises technologiques et de nos employeurs.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/06/inside-invasive-secretive-bossware-tracking-workers le Tue, 30 Jun 2020 23:38:59 +0000.