Mots-clés : charte informatique, salarié, avocat, cybersurveillance
Un employeur peut-il surveiller l'utilisation faite par son salarié des ressources informatiques de l'entreprise ?
Le développement de l’utilisation des moyens informatiques au sein de l’entreprise a été effectué dans le but d’obtenir un gain de productivité. Cependant, ainsi que l’a fort justement relevé Monsieur BOUCHET, vice président de la CNIL, dans son rapport portant sur la cybersurveillance sur les lieux de travail (février 2004), « le recours de plus en plus systématique aux nouvelles technologies de réseaux a des incidences considérables sur les rapports employés-employeurs ».En effet la numérisation de plus en plus systématique des informations détenues par les entreprises justifie le souhait de tout employeur de pouvoir surveiller l’activité de ses salariés afin de limiter tout à la fois le risque d’introduction de tout virus ou encore de tout logiciel espion, mais également le risque de piratage.
Enfin, aux risques économiques et informatiques encourus par l'entreprise notamment par la divulgation d'informations confidentielles et de la propagation de virus informatiques s'ajoute le risque juridique devoir répondre des agissements délictueux de son salariés (la loi HADOPI n’en étant qu’un nouvel exemple).
Cependant le développement des communications par l’entremise du réseau internet entraine inexorablement la transmission de messages dont le contenu peut revêtir un contenu relevant de la vie privée du salarié. Le point d’équilibre entre la nécessaire protection des intérêts de l’entreprise, et la fondamentale protection de la vie privée du salarié est donc difficile à atteindre.
La Cour de cassation, le 2 octobre 2001 (Arrêt NIKON), avait ainsi posé le principe selon lequel : "le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l'employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas ou l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur".
Toutefois, depuis, cette jurisprudence a connu des évolutions. Ainsi dans un arrêt plus récent en date du 9 Juillet 2008 (Cass. Soc. 9 Juillet 2008, n°06-45.800), la Cour de Cassation a semblé renverser cette orientation à deux égards.
De façon explicite, d’abord, la Chambre sociale énonce que les connexions internet du salarié sont présumées être de nature professionnelle, de sorte que l’employeur peut les rechercher pour les identifier. Dès lors l’historique de navigation du salarié serait, par principe, accessible à l’employeur, hors la présence du salarié.
Il convient cependant d’être prudent sur la portée réelle de cet arrêt. En effet, les connexions visées semblent être réduites à celles établies par le salarié pendant son temps de travail. En l’absence de nouvelle décision précisant le régime des connexions hors le temps de travail, seules les premières sont expressément considérées comme « présumées avoir un caractère professionnel » et peuvent être recherchées par l'employeur aux fins de les identifier, hors de la présence du salarié.
Cependant, et afin d’éviter d’interminables palabres sur la nature raisonnable de l’utilisation de l’outil informatique par la salarié, la Jurisprudence n’hésite pas à s’appuyer sur le contenu de la charte informatique établie par l’entreprise.
La notion de charte informatique est encadrée par les dispositions générales de l’article L. 1121-1 du Code du Travail qui précise que « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. ». Par ailleurs l’article 1222-4 du même code ajoute qu’ « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. »
A plusieurs reprises, il a été jugé qu'une faute du salarié au regard de l'utilisation qu'il faisait de son accès Internet professionnel ne peut être retenue que si l'employeur lui avait rappelé les limites d'utilisation de ce matériel (voir notamment Cour d'Appel de Paris, 16 novembre 2001).
· d’informer le salarié sur les limites d’utilisation d’un matériel informatique
· d’informer le salarié de l’existence de moyens de surveillance,
· de donner un caractère normatif opposable au salarié aux règles d’utilisation prédéfinies.
Selon la CNIL, la rédaction d'une charte a "pour objectif d'assurer une parfaite information des utilisateurs, de sensibiliser les salariés ou les agents publics aux exigences de sécurité, d'appeler leur attention sur certains comportements de nature à porter atteinte à l'intérêt collectif de l'entreprise ou de l'Administration" (H. Bouchet, La cybersurveillance des salariés : CNIL, mars 2004, p. 4). La Cour de Cassation a eu l’occasion de préciser que des violations de règles insérées dans une charte informatique pouvaient constituer des fautes graves de la part du salarié (Cour de Cassation Chambre sociale 21 déc. 2006 n° de pourvoi 05-41.165, J.-H. Pettre c/ sté Ad 2 One SA).
La qualité de la rédaction de la charte informatique est donc essentielle, tant sur les aspects juridiques que techniques.
Cependant, n’ayant été consacrée par aucun texte, la charte informatique ne revêt aucun statut particulier et dérogatoire, et demeure donc soumis aux dispositions générales du Code du Travail. Ainsi sa mise en place doit notamment respecter les dispositions de l’article 1222-4 du code du travail (précité).
Pour rendre la charte opposable aux salariés, il existe trois solutions :
1°) leur demander de la signer ;
2°) l’annexer au contrat de travail ;
3°) l’intégrer au règlement intérieur.
Cette dernière solution paraît naturellement préférable, le règlement intérieur faisant l'objet d'un affichage et d'une remise en mains propres aux nouveaux salariés. Il convient cependant de veiller au respect des dispositions de l’article L.2323-32 du Code du Travail qui dispose : « [Le comité d'entreprise] est aussi informé et consulté, préalablement à la décision de mise en œuvre de traitements automatisés de gestion du personnel et sur toute modification de ceux-ci.
Le comité d'entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés. »
En effet, les organes représentatifs du personnel doivent être consultés non seulement, préalablement à la mise en place d'un système de traitement de données mais également préalablement à "tout projet important d'introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d'avoir des conséquences sur l'emploi, la qualification, la rémunération, la formation ou les conditions de travail du personnel"
Enfin, un dispositif de cybersurveillance n'étant autre qu'un traitement automatisé des données personnelles, il relève de la loi Informatique et Liberté du 6 janvier 1978. Ce texte impose la déclaration préalable auprès de la CNIL de tout traitement automatisé d'informations nominatives, entendues tant comme des données personnelles que professionnelles, qui permettent l'identification directe ou indirecte d'une personne.
Cette déclaration a été facilitée par l'ouverture d’un service de déclaration en ligne sur le site Internet de la CNIL (http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/). L'employeur doit y préciser la finalité des données collectées ainsi que leur durée de conservation qui ne doit pas être excessive.
La Charte Informatique paraît actuellement le moyen le plus simple et le plus rigoureux pour permettre tout à la fois d’informer tout utilisateur des moyens informatiques de l’entreprise ou d’une administration, des droits et obligations qu’il détient à raison même de cette utilisation, et de sanctionner tous manquements.
Guillaume BARDON
Avocat à TOURS