La cybersurveillance des salariés – D1.1 et D1.3 –

Réflexions sur 6 thèmes par groupe de 3 ou 4, le 11 février

 

 

Depuis la fin des années 1990, l’essor des NTIC (Nouvelles Technologie de l’information et de la communication) dans les entreprises a eu pour conséquence une utilisation croissante d’internet et des systèmes de messageries par les salariés. Evidemment cette utilisation est d’abord à des fins professionnelles mais plus surprenant est le fait qu’un grand nombre de salariés les utiliseraient aussi à des fins personnelles.

En 2000, 2/3 des sociétés américaines utilisaient déjà un système de cybersurveillance des salariés et près de 60% inspectaient les e-mails sortant en juin 2005. Depuis octobre 2000, en Grande-Bretagne, les employeurs sont autorisés à surveiller les courriers électroniques de leurs salariées.

Quelle est la situation en France ? C’est ce que nous allons essayer de voir dans la suite…

 

       I.            Point de vue de l’employeur

Dans le but d’améliorer les performances de leur entreprise, les dirigeants ont de plus en plus recours aux nouvelles technologies. Aujourd’hui une grande partie de la richesse immatérielle d’une société se trouve dans le système d’information de l’entreprise : données sensibles stratégiques, commerciales, savoir-faire, … Plus grave encore que la perte de productivité due à l’utilisation personnelle des NTIC, on trouve le risque d’intrusion, de vol de données, de cyberattaque,… La diffusion d’informations sensibles ou confidentielles et le risque de fraude constituent des problèmes auxquels font face toutes les entreprises actuelles. Revenu à la mode avec les récentes affaires d’espionnage industriel, il est de première importance pour le patron de s’assurer qu’aucun salarié non-autorisé n’ait accès à des données sensibles susceptible d’être volées.

Nous parlions tout à l’heure de perte de productivité ; selon une étude réalisée par Olfeo entre 2008 et 2009, sur 1h40 d’utilisation quotidienne d’internet au travail, un salarié consacrerait environ 1h à un usage non-professionnel. Les entreprises n’encadrant pas l’usage d’internet verraient leur productivité journalière chuté de près de 15% !

L’utilisation sans cesse croissante de l’internet 2.0, des boites de messageries, des forums, des tchats, des clefs USB, disques durs externes, ordinateurs portables, smartphone,… sont autant des facteurs qui tendent à disperser les données et à les rendre plus accessibles à des personnes al-intentionnées.

L’employeur souhaite donc exercer un contrôle de l’usage des NTIC dans son entreprise et de l’usage des réseaux par les salariés, ces droits de surveillance et de contrôle sur l’activité et la productivité du salarié lui sont reconnus dans le cadre de son pouvoir de direction.

Par ailleurs, l’employeur est responsable de ce qui se passe dans son entreprise et en cas de comportement répréhensible d’un salarié, c’est la responsabilité juridique voire pénale de l’entreprise qui peut être engagée. Par exemple, un salarié qui téléchargerait illégalement des fichiers, qui irait sur des sites interdit, qui mènerait des actions allant à l’encontre de la loi sur la protection des données personnelles ou de la sécurité informatique mettrait directement en danger son employeur. Ainsi « détenir une image ou sa représentation » est puni de trois ans de prison et 75 000 euros d’amende. Or les images illicites téléchargées par un salarié peuvent être sauvegardées sur le serveur de l’entreprise. Le responsable de l’entreprise doit également assurer la sécurité des données sous peine d’une peine de cinq ans d’emprisonnement et 300 000 euros d’amende.

     II.            Point de vue du salarié

 

Il apparait donc nécessaire d’un point de vue de l’entreprise de surveiller le comportement de sas salariés. Mais les menaces pour la vie privées sont réelles :

La loi déclare : « Nul ne peut être surveillé à son insu ». Or si les NTIC sont une menace pour la sécurité d’une entreprise, elles sont aussi un moyen de la protéger. En effet, elles permettent de conserver des traces des flux d’informations directement ou indirectement personnelles : cookies, autocommutateurs téléphoniques, logiciels de contrôle et d’enregistrement de boîtes de mails ou des sites visités, logiciel de filtrage, outils de géolocalisation des salariés nomades,…

Se pose le problème de l’administrateur système qui a la responsabilité des procédures de contrôle et de surveillance des réseaux. En effet, ce dernier, plus que quiconque, peut avoir accès aux données personnelles des autres salariés.

Le rapport de la CNIL publié en 2004 parle de secret professionnel ; l’administrateur réseaux ne doit pas révéler de manière systématique à la hiérarchie des données qu’il jugerait personnelles. A moins, bien sûr, que celle-ci ne menace la sécurité de l’entreprise.

Il est primordial de mettre en place une charte de « bonne conduite » afin que chaque salarié connaisse ses droits mais aussi ses interdits. A-t-il le droit d’envoyer des mails privés ? D’aller sur facebook ? …

 

III. Les fondements juridiques de la cyber surveillance :

 

  1. La surveillance des locaux et du personnel :

Toute mise en place d’un système de surveillance et de contrôle de l’activité des salariés ne peut se faire que si les représentants du personnel ont été préalablement consultés et les salariés avertis selon le principe de transparence.

En particulier, les procédés de contrôle doivent être justifiés par la tâche à accomplir (principe de proportionnalité).Les systèmes de vidéosurveillance doivent être déclarés à la CNIL dès lors que les images sont enregistrées ou conservées.

La CNIL a ainsi prononcé une sanction pécuniaire de 10 000 € à l’encontre d’une société ayant filmé ses salariés à leur poste de travail sans les en avoir averti.

  1. La surveillance des correspondances électroniques et échanges :

En principe, le matériel mis à la disposition des salariés est destiné à un usage professionnel. Cependant, comme pour la correspondance postale, les mails ont un caractère privé.

L’employeur dispose d’un droit de contrôle des mails professionnels ; par contre il ne peut prendre connaissance des informations contenues dans le mail personnel qu’avec l’accord du salarié ou en cas de motif grave ou légitime.

L’arrêt « Nikon » de la Cour de Cassation du 2 octobre 2001 précise que le salarié a droit, même sur son lieu de travail, au respect de l’intimité de sa vie privée et au secret des correspondances, y compris si l’usage non professionnel des TIC est interdit.

Les arrêts du 23 mai 2007 et du 10 juin 2008 reconnaissent à l’employeur le droit, sous conditions (sous contrôle d’un huissier avec présence du salarié), d’accéder à la messagerie personnelle d’un salarié soupçonné de concurrence déloyale, sans qu’il s’agisse de violation du secret de la correspondance privée.

  1. La surveillance des fichiers et des répertoires personnels :

 

Le pouvoir de contrôle de l’employeur est précisé dans deux arrêts récents :

Selon l’arrêt de la Cour de cassation du 17 mai 2005, l’employeur ne peut ouvrir les fichiers contenus dans les répertoires personnels des ordinateurs en dehors de la présence du salarié sauf s’il existe un risque avéré. Cette décision est à rapprocher des cas jugés concernant les fouilles irrégulières dans les effets personnels des salariés.

Les Arrêts de la Cour de cassation du 18/10/2006 précisent que les documents, fichiers et dossiers et outils détenus par le salarié au travail sont présumés avoir un caractère professionnel sauf s’ils sont identifiés comme personnels, l’employeur peut y avoir accès.

D’autre part, un salarié ne peut crypter ses dossiers personnels sans autorisation de son employeur.

Néanmoins l’application de cette règle peut être problématique quand le caractère privé ou personnel de l’outil informatique n’apparaît pas explicitement, par exemple l’utilisation d’un outil de sauvegarde externe.

  1. La surveillance des réseaux

Pour des motifs de sécurité ou pour des raisons légales ou règlementaires, la surveillance des réseaux s’avère nécessaire avec la consultation des mails reçus et envoyés, le suivi des adresses des sites visités, la durée de la connexion, les fichiers téléchargés, les mots de passe, l’enregistrement des opérations effectuées par le salarié sur son poste de travail, utilisation de logiciel de prise en main à distance, la téléphonie sous IP…

L’arrêt du 9 juillet 2008 réaffirme le caractère professionnel des connexions établies par un salarié sur son lieu de travail pendant son temps de travail.

La loi du 6 janvier 1978 prévoit l’obligation d’informer le salarié lors de la collecte d’informations personnelles : Le salarié doit être averti des moyens de contrôle direct sinon il s’agit d’une atteinte à sa vie privée et les représentants du personnel doivent être informés, le principe de proportionnalité doit être respecté.

Le système de traçabilité doit être déterminé a priori, les fichiers de journalisation (enregistrement des opérations effectuées par les salariés) doivent être déclarés à la CNIL.

La durée de conservation des données doit être précisée.

  1. Les écoutes téléphoniques :

L’usage du téléphone à des fins personnelles sur le lieu de travail est généralement admis à condition qu’il ne soit pas abusif. Les respects de la vie privée et de la liberté individuelle doivent être garantis. Les fichiers mis en oeuvre dans le cadre de la téléphonie fixe et mobile avec usage d’un autocommutateur doivent être déclarés à la CNIL. Il est interdit de contrôler les appels des représentants du personnel et représentants syndicaux.

En outre, l’enregistrement des conversations téléphoniques sur le lieu de travail doit faire l’objet d’une information préalable du personnel et doit être proportionné aux objectifs poursuivis. Les écoutes téléphoniques à l’insu du salarié sont donc considérées comme illicites ; en revanche, la simple surveillance des communications téléphoniques à partir des relevés de facturation peut être exercée même en l’absence d’information préalable du salarié : voir l’arrêt de la Cour de Cassation du 29 janvier 2008 .

  1. Les mesures techniques de protection

La loi sur les Droits d’Auteur et les Droits Voisins dans la Société de l’Information du 1/08/2006 autorise la mise en place de mesures techniques de protection pour éviter les copies ou téléchargement d’œuvres protégées.

D’une manière générale, la justice est méfiante vis à vis des preuves résultant de moyens de surveillance électronique ; des cas de licenciement pour faute grave ont été transformés en licenciement pour cause réelle et sérieuse.

L’utilisation du courrier électronique ne semble pas constituer un moyen de preuve pour justifier une sanction ou un licenciement mais il semblerait que la jurisprudence évolue : le mail commence à être reconnu comme preuve de la naissance d’une obligation.

 

Article rédigé avec HESSAS Amine, RAMLA Youcef & JEDRECY Thomas

 

 

 

 

 

 

 

 

 

 

 

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s