Le service en ligne développé en interne par le concepteur européen de logiciels « SAP Interactive Broadcast » aurait été victime d’une fuite de données. Le syndicat allemand du secteur des services Ver.di soupçonne d’une activité d’espionnage des employés. Mais qu’en est-il vraiment ?
Une traçabilité à établir
Le service en ligne est utilisé pour une réunion du personnel et du comité d’entreprise. Il est possible de poser des questions ou encore de voter via ce service qui dispose d’une fonction audio et vidéo.
Selon le syndicat, l’interface du service indique que les questions sont anonymes par défaut, mais des soupçons de fuites ont été observés. D’après les informations du syndicat Ver.di, des questions et des comportements de votes auraient été attribués à des individus concernés. Les données ont été par la suite automatiquement téléchargées sur les ordinateurs des participants et accessibles au personnel. De telles informations devraient être anonymes, mais elles ont été dévoilées et deviennent accessibles à tout le personnel selon le syndicat. Selon un membre du comité d’entreprise de Ver.di, Andréas Hahn, « la traçabilité triviale est à établir. Un programmeur expérimenté aurait pu repérer le problème au premier coup d’œil ».
Après le signalement par le syndicat aux services internes de cybersécurité de SAP, la faille a été corrigée.
Soupçons de surveillance des employés
Le comité d’entreprise de SAP qui a gagné les victoires aux dernières élections a adopté une attitude offensive et de confrontation avec SAP, le premier éditeur de logiciel européen. Ver.di a demandé qu’une enquête soit menée sur l’incident. La conseillère d’entreprise Ver.di. SAP soupçonne une surveillance des employés en affirmant que « La protection des données personnelles doit être sécurisée et garantie en priorité, tout comme le droit garanti à la liberté d’expression dans les entreprises. Là où ce n’est pas garanti, les employés deviennent des employés surveillés. »
Le syndicat a haussé le ton en exigeant par la voix de sa conseillère que la durée de la traçabilité sur « les évènements internes qui ont en ont été affectés » doit être transparente. Et que la suppression des données soit effectuée de manière vérifiable. Les détails techniques du fonctionnement du service sont exigés par Ver.di. Selon l’avocat d’entreprises SAP pour Ver.di, « l’employeur doit clarifier pleinement l’incident de fuites de données ».
La protection des données est une priorité selon SAP
Selon l’éditeur de logiciel SAP, il y a eu un problème de confidentialité. Un contournement des mesures de sécurité a été possible, mais a été découvert. SAP a remédié à ce problème de contournement théorique.
L’éditeur de logiciels a déclaré que « la protection de données est une priorité absolue de SAP et nous respectons la vie privée de chaque individu »
Une vérification et une mise à jour des outils internes sont régulièrement effectuées selon l’éditeur. Ver.di attend fermement les résultats de l’enquête interne bien que l’éditeur affirme que « les exigences techniques de sécurité pertinentes soient bien mises en œuvre » pour rassurer le syndicat.