Je propose de créer un sujet de Q/R pour tout ce qui touche à ce point
Je ne suis absolument pas expert donc ce n'est pas moi qui viendrait répondre à toutes vos questions par contre
 
Je commence le sujet : nous souhaiterions mettre des photos d'ID dans notre annuaire ... est ce que cela implique de faire signer quelque chose aux gens ? Suffit t'il de leur laisser la possibilité de choisir de le faire ou non, de pouvoir la supprimer/modifier n'importe quand et d'expliquer que celle-ci ne sera pas stockée en interne une fois effacée ?

Je pense qu'il serait bon de  
 * nommer un "responsable" auprès de qui faire les demandes de suppressions/modification (pas un service mais bien une personne physique !)
 * définir une procédure pour modifier/supprimer (délais, nom du responsable cité plus haut, ...)
 * donner la possibilité aux gens d’apparaître ou pas en photo (impossible d'obliger)
 * indiquer les conditions que doit remplir chaque photo (de face uniquement ou 3/4, voir profil toléré, sobre ou pas, lunette de soleil/couvre-chef autorisé ou pas, photo en intérieur (look travail) obligatoire ou photo plus libre tolérée ...)
 * consulter les CHSCT et CE au préalable (on va pas les vexer et les mettre devant le fait accompli) avec toutes les clauses citées ci-dessus.
 
Un dossier bien ficelé AVANT la mise en place évite de revenir sur des contestations multiples et emmerdantes à gérer APRES la mise en place
 
On n'oublie surtout pas que pour le stockage en interne, tous ceux qui accèdent à la photo peuvent la télécharger et la stocker individuellement (ne serait-ce que par une capture d'écran et un détourage).
 
Il est quelquefois agréable, avec certaines tailles d'entreprises, de pouvoir mettre un visage sur un nom, une voix, un mail mais attention ...

Un autre sujet :

Un email dans la boite d'une personne dont il n'est pas le supérieur et pouvant entraîner des sanctions a été découvert par un DSI en manipulant sur un ordinateur.
Il me semble que seul le supérieur ou la direction (d'ailleurs le terme direction est flou qui concerne t il vraiment ?) peut lire les messages d'un employé (je ne parle pas des messages "personnels" ou le fonctionnement est encore différent) ?

Si c'est effectivement le cas, l'employé incriminé peut il se retourner contre l'entreprise car la personne qui a découvert, lu et informé sa direction n'en avait normalement pas le droit ?

edit : il y a eu ouverture de pièce jointe par le DSI après être tombé par hasard sur le message en question à l'ouverture de la boite mail et dont le contenu en visualisation direct lui a semblé suspect

Nous les photos d'annuaire, on fait signé un document pour le droit à l'image. L'utilisateur est libre ou non de signer...

Si je me souviens bien, il faut que l'employé soit présent lors de l'ouverture du mail ainsi que la direction. Il faut aussi voir les informations présentes dans la charte informatique de ton entreprise.
Donc pour moi le DSI n'en avait pas le droit. Déjà a t'il demandé l'accord de l'utilisateur avant l'ouverture des mails ? Quel était l'objet du mail ? Professionel ? Bref beaucoup de questions, il faut voir les jurisprudence aussi.  
 
A confirmer ou invalider par quelqu'un qui s'y connait peut être mieux que moi.
 
Edit :  
 

http://www.cnil.fr/documentation/f [...] essagerie/

Une autre question, comme stipulé au dessus, on peut lire qu'un employeur est en droit de consulter la messagerie d un employé, en dehors des emails identifiés comme "Personnel"

Je n'arrive pas à trouver ce qu'englobe le terme employeur Est-ce étendu au supérieur hiérarchique ? Aux cadres dirigeants ? Au directeur général ? etc etc

Si quelqu'un a un texte ou une jurisprudence là dessus

 
A mon avis ce sont les personnes a qui le directeur/président/gérant a donné le droit de consulter la boite, soit directement soit par les textes régissant les accès informatiques dans l'entreprise: un responsable allant voir la boite d'un de ses commerciaux, un informaticien consultant une messagerie pour du support, etc...

 
 
Nouvelle question qui concerne cette fois-ci l'obligation de loger les accès internet fait à travers le réseau d'entreprise que ce soit par des personnes internes ou des guest
Il me semble qu'il y a une obligation légale d'avoir 12 mois de rétention à ce niveau là, quelqu'un saurait m'en dire plus ? Combien de temps, qu'est ce qu on doit fournir etc etc
Est-ce que c'est quelque chose qui rentre dans le périmètre du RGPD ?
 
J'aimerai également mettre en place un serveur syslog pour récupérer et archiver les log de pare feu et controleur WiFi si vous avez des conseils ?
 
   
 

Il y a cet page là qui est bien faite et assez synthétique :
https://www.wifiabord.fr/stockage-d [...] ementation
ou
https://www.cdse.fr/wifi-et-conservation-des-donnees

Sinon le texte de loi est ici :
https://www.legifrance.gouv.fr/affi [...] 0000801164

Et oui, ce sont des données qui rentrent dans le périmètre de la règlementation RGPD.

Merci je vais lire ça

edit : pour les 2 premiers ça concerne du WiFi public, c'est pas vraiment le périmètre, là ma question porte plus sur des invités nominatifs à notre entreprise (accès validé par "sponsoring" à une personne spécifiquement, pas en libre accès) mais aussi sur les employés

Les règles sont à peu près les mêmes, tant que tu mets à disposition un accès vers internet.
 
Après en entreprise tu as aussi les questions des règles d'usage qui sont décrites dans la Charte Informatique (à faire signer).

Intéressant ce topic, Micky78. Du reste, au sujet de ta première question (annuaire de photos), aujourd'hui, tu as la RGPD pour y répondre Dommage qu'à l'époque, ça n'existait pas encore.
 
Pour la durée de conservation des logs wifi, c'est une autre loi passée avant la RGPD qui régie ça. Toutefois, vu qu'il y a dans le tas des données persos, la RGPD est de la partie.