Beaucoup de salariés se demandent ce que leur employeur peut réellement voir dans Microsoft Teams. La question mêle vie privée, droit du travail et pratiques informatiques des entreprises.
Claire, responsable produit, a découvert des rapports d’activité qui l’ont surprise lors d’un audit interne. La suite examine les types de données, les contrôles disponibles et les règles applicables au salarié connecté.
A retenir :
- Journaux de conversations, appels et réunions conservés par l’entreprise
- Enregistrements automatiques lors d’une réunion avec robot d’enregistrement
- Données de présence, durée en ligne et statuts d’absence consignés
- Fichiers partagés sur SharePoint et OneDrive indexés par l’administration
Données visibles par l’employeur dans Microsoft Teams
Par l’observation des pratiques, on distingue plusieurs types de données accessibles par l’administration. Selon Microsoft, les journaux d’appels, les messages et les enregistrements peuvent être conservés pour audit. Ces éléments conduisent naturellement à s’interroger sur les limites juridiques et les paramètres de confidentialité.
Élément
Ce que peut voir l’employeur
Signalement aux participants
Conversations privées et de canal
Journalisation complète et recherches eDiscovery possibles
Historique conservé, pas d’alerte permanente
Appels vocaux et vidéo
Durée, participants et métadonnées des appels
Enregistrement signalé si activé par politique
Enregistrements de réunion
Fichiers d’enregistrement stockés sur OneDrive ou SharePoint
Bannière ou annonce audio lors du démarrage
Fichiers partagés
Indexation dans SharePoint et accès par les administrateurs
Permissions visibles dans l’interface
Présence et activité
Statut en ligne, durée active et statuts d’absence
Pas d’alerte utilisateur pour chaque relevé
Exemples de données :
- Journaux d’activité détaillés par utilisateur
- Enregistrements audio et vidéo stockés sur OneDrive
- Métadonnées d’appel et durée des réunions
- Fichiers partagés via SharePoint indexés
Chats et journalisation des messages Teams
Ce H3 détaille la journalisation des chats et la rétention des messages par l’entreprise. Les administrateurs ayant des rôles spécifiques dans Office 365 peuvent utiliser eDiscovery pour extraire des conversations. Selon Microsoft, cette extraction obéit à des politiques définies par l’organisation et à des droits d’accès restreints.
Claire a raconté comment un message informel a été retrouvé lors d’un audit de projet, ce qui a surpris l’équipe. Cette anecdote illustre la nécessité de séparer les comptes personnels des comptes fournis par l’employeur.
« J’ai cru que mes messages privés restaient confidentiels, puis l’administrateur m’a envoyé un extrait pour vérification »
Alice D.
Appels, réunions et API d’enregistrement
Ce H3 explique le fonctionnement de l’API UpdateRecordingStatus et son usage en entreprise. Selon Microsoft, un bot peut rejoindre une réunion pour déclencher un enregistrement et avertir les participants par bannière ou annonce audio. La bannière visible évite l’enregistrement secret, mais les fichiers restent stockés et accessibles aux administrateurs.
Politique
Notification
Usage courant
Conservation
Enregistrement automatique
Bannière et message audio
Audits internes, compte-rendu
Stockage sur OneDrive ou SharePoint
Enregistrement volontaire
Notification visible
Formations, webinaires
Conservation selon politique
Archivage eDiscovery
Pas de bannière spécifique
Recherches juridiques
Conservation définie par l’entreprise
Enregistrements client
Consentement recommandé
Preuves commerciales
Accès restreint
Paramètres et protections de la vie privée sur Teams et Office 365
Après l’inventaire des données, examinons les paramètres et protections offerts aux utilisateurs. Les réglages sur Windows, les autorisations de caméra et de microphone, et l’application Authenticator jouent un rôle clef. Ces contrôles permettent au salarié de limiter certaines expositions techniques avant d’aborder le cadre légal.
Contrôles utilisateur et autorisations sur Windows et Azure
Ce H3 précise comment configurer les autorisations locales et cloud pour limiter l’accès aux périphériques. Sur un poste personnel, il est possible d’empêcher Teams d’utiliser la caméra ou le micro dans les paramètres de Windows. Selon la CNIL, ces précautions améliorent la protection mais n’agissent pas sur les comptes fournis par l’employeur.
Il est recommandé d’utiliser un compte personnel pour les échanges privés et un compte professionnel pour les échanges liés au travail. L’usage du navigateur pour Teams peut réduire certaines intégrations système, tout en conservant des fonctionnalités essentielles.
Contrôles disponibles :
- Bloquer l’accès caméra et micro dans Windows
- Gérer les permissions des applications dans Azure AD
- Activer l’Authenticator pour la double authentification
- Utiliser un compte personnel pour la vie privée
Rôles administratifs et rapports dans Office 365
Ce H3 aborde les rôles qui permettent d’afficher les rapports d’utilisation dans Office 365. Les administrateurs généraux ou de service Teams peuvent générer des rapports et accéder aux journaux. Selon Microsoft, l’accès aux rapports est conditionné aux rôles et aux politiques définies par l’organisation.
Pour illustrer, une PME a configuré des rapports Power BI pour suivre l’usage des plateformes et optimiser la charge. Cette pratique montre la complémentarité entre Power BI et les logs exportés d’Office 365.
Cadre légal, droits des salariés et bonnes pratiques en télétravail
Après avoir vu les outils et permissions, il convient d’examiner le cadre légal applicable aux contrôles en télétravail. Selon le Code du travail, les modalités de contrôle doivent être précisées dans l’accord collectif ou la charte de l’employeur. Ces règles limitent l’usage des dispositifs intrusifs et obligent l’information préalable des salariés.
Surveillance légale et obligations de l’employeur
Ce H3 décrit ce que l’employeur peut légalement faire et ce qu’il doit informer aux salariés. L’employeur peut contrôler les activités liées au travail durant les heures de travail et conserver des preuves professionnelles. Selon la CNIL, l’usage de logiciels d’espionnage reste très encadré et l’employé doit être informé de leur déploiement.
Pour vérifier une éventuelle interception, il est utile de regarder le certificat SSL dans le navigateur et d’analyser les routes réseau. Ce geste simple permet de détecter un proxy d’entreprise ou une inspection TLS intrusive.
« Mon manager m’a expliqué que les heures de connexion étaient mesurées pour réguler les charges »
Marc L.
Mesures concrètes pour se protéger au quotidien
Ce H3 propose des actions pratiques et des règles de comportement pour limiter l’exposition des données personnelles. Utilisez un VPN pour chiffrer le trafic et masquer votre adresse IP lorsque vous travaillez hors du réseau de l’entreprise. Protégez vos documents privés en les conservant hors des espaces partagés comme SharePoint ou OneDrive si nécessaire.
Mesures recommandées :
- Activer VPN sur les réseaux publics pour chiffrer le trafic
- Séparer comptes personnels et professionnels
- Vérifier les certificats SSL du réseau de l’employeur
- Limiter le partage de documents sensibles sur OneDrive
« Installer un VPN m’a aidée à travailler sereinement depuis des cafés et trains »
Élodie R.
« L’entreprise nous a informés avant d’activer l’outil de monitoring, et cela a apaisé les équipes »
Jonathan B.
Source : Microsoft, « Privacy in Microsoft Teams », Microsoft ; CNIL, « Vie privée au travail », CNIL ; Gouvernement, « Contrôle du télétravail », gouvernement.fr.