Nombreux sont les salariés qui travaillent avec un ordinateur, ont un accès à Internet et disposent d’une messagerie. Tout cela fait très peur aux employeurs qui peuvent craindre que le salarié passe davantage de temps à surfer qu’à travailler, ou encore que des documents ou informations confidentielles s’échappent de l’entreprise. Mais les craintes sont également liées aux risques d’infection par des virus pouvant gravement endommager un système ou un réseau informatique. Malgré les légitimes raisons qui pourraient être invoquées par l’employeur, ici aussi, la jurisprudence et la CNIL ont fixé les frontières qui ne pouvaient être franchies. Si l’employeur peut réglementer l’utilisation des moyens informatiques mis à disposition des salariés, il doit respecter certaines limites dans le contrôle mis en œuvre.
La réglementation de l’utilisation des moyens informatiques
Ici aussi les mêmes principes de transparence, de justification et de proportionnalité développés dans la première partie de cet article sont applicables. Lorsque l'entreprise met en place des logiciels permettant de surveiller les connexions des salariés (sites visités, temps passé, messages envoyés), ils doivent être déclarés à la CNIL, les salariés doivent être informés et le CE consulté. Il faut toutefois signaler un arrêt de la Cour de cassation très étonnant et très critiquable de ce point de vue. Dans cette affaire, le salarié d’une banque consultait, par pure curiosité personnelle, des comptes sans aucune relation avec ses tâches professionnelles. Il est licencié pour faute grave. Le salarié reprochait à l'employeur d'avoir mis en place un système de surveillance électronique sans avoir informé les représentants du personnel et les salariés. La Cour de cassation approuve la cour d'appel d'avoir considéré que le salarié avait méconnu, par de tels agissements, le devoir de discrétion et le secret bancaire.
Elle estime que « le fait pour une banque de mettre en place un système d'exploitation intégrant un mode de traçage permettant d'identifier les consultants de comptes ne peut être assimilé ni à la collecte d'une information professionnelle au sens de l'article L. 121-8 [L 1222-4] du code du travail, ni au recours à une preuve illicite, le travail effectué par utilisation de l'informatique ne pouvant avoir pour effet de conférer l'anonymat aux tâches effectuées par les salariés » Cass. soc. 18 juill. 2000 n° 98-43485 Il est de plus en plus fréquents que de véritables chartes Internet soient élaborées au sein des entreprises afin notamment de réglementer l’utilisation à des fins autres que professionnelles de la messagerie et de l’accès à Internet. En effet, si l’interdiction absolue de tout usage personnel est théoriquement possible, elle n’apparaît pas réaliste. La CNIL préconise que les consultations à titre personnel ne dépassent pas un délai raisonnable et que les consultations ponctuelles de sites Internet ne concernent, sur le lieu de travail, que des sites dont le contenu n'est pas contraire à l'ordre public et aux bonnes mœurs. La Cour de cassation a jugé que « les connexions établies par un salarié sur des sites Internet pendant son temps de travail grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumées avoir un caractère professionnel de sorte que l’employeur peut les rechercher aux fins de les identifier, hors de sa présence ». Cass. soc. 9 juillet 2008 n° 06-45800 (P) Au cours de la consultation sur cette charte, ou tout document en faisant office, le CE pourra utilement se référer aux conclusions de la CNIL en la matière qui a consacré deux rapports à la cybersurveillance des salariés.
Elle préconise que soit élaboré et présenté un bilan annuel « informatique et libertés » à l'occasion de la discussion du bilan social soumis au comité d'entreprise. Ce bilan pourrait comporter les mesures de sécurité qui conduisent à conserver trace de l'activité des utilisateurs ou de l'usage qu'ils font des technologies de l'information et de la communication. La commission propose la désignation d'un « délégué à la protection des données et à l'usage des nouvelles technologies dans l'entreprise ». Ce délégué pourrait être plus particulièrement chargé des questions relevant des mesures de sécurité, du droit d'accès et de la protection des données personnelles sur le lieu de travail. Interlocuteur des responsables de l'entreprise ou de l'administration ainsi que des instances représentatives du personnel et des salariés ou agents publics, ce délégué pourrait devenir un « correspondant informatique et libertés » dans l'entreprise sur ces questions. En tout état de cause, même si l’employeur a fortement réglementé, voire interdit l’utilisation à des fins non professionnelles des outils informatiques, et notamment de la messagerie, son pouvoir de contrôle se heurte au respect de la vie privée du salarié. Cela est particulièrement vrai en ce qui concerne les mails et les fichiers personnels du salarié.
La protection des messages et fichiers personnels
Tout ce qui n’est pas identifié comme personnel est présumé professionnel, ce qui se traduit par la possibilité pour l’employeur d’en prendre connaissance quand il le souhaite, même en dehors de la présence du salarié. C’est ce qui ressort de 2 arrêts de la Cour de cassation rendus le même jour. « Les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors sa présence ». Cass. soc. 18 octobre 2006 n° 04-48025 (P) « Les documents détenus par le salarié dans le bureau de l’entreprise mis à sa disposition sont, sauf lorsqu’il les identifie comme étant personnels, présumés avoir un caractère professionnel, en sorte que l’employeur peut y avoir accès hors sa présence ». Cass. soc. 18 octobre 2006 n° 04-47400 (P).
La protection des messages personnels des salariés
Travaillant sur un ordinateur, qui n’a jamais expédié ou reçu un mail sans rapport aucun avec le travail ? Quand bien même cela serait strictement interdit, l’employeur ne pourrait arguer de cette interdiction pour prendre connaissance du contenu de ces mails. En effet, le salarié est protégé par le principe du secret des correspondances émises par la voie des télécommunications, dont la violation tombe sous le coup des articles 226-15 du code pénal. Les sanctions encourues sont un an d’emprisonnement et 45000 € d’amende. La chambre sociale de la Cour de cassation s'est prononcée pour la première fois dans la célèbre affaire « Nikon ». Les juges ont énoncé que tout salarié « a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l'employeur ne peut dès lors, sans violation de cette liberté fondamentale, prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur ». Cass. soc. 2 octobre 2001 n° 99-42942 (P) Elle a d’ailleurs confirmé le principe dans une affaire plus récente au sujet de la mise à pied d’un salarié qui avait entretenu une correspondance de nature personnelle avec une ancienne salariée de l’entreprise pendant son temps de travail en utilisant la messagerie électronique de l’entreprise.
L’employeur avait eu connaissance de cette correspondance en consultant l’ordinateur mis à la disposition du salarié par l’entreprise. La Cour de cassation, reprenant mot pour mot le principe posé par l’arrêt « Nikon », casse la décision de la Cour d’appel n’ayant pas accueilli la demande d’annulation de la sanction infligée au salarié. Cass. soc. 12 octobre 2004 n° 02-40392 (P) Par cet arrêt, les juges semblent affirmer l'inviolabilité de la correspondance et des fichiers informatiques personnels des salariés. Seuls les messages personnels sont protégés, ce qui signifie a contrario que les messages professionnels ne le sont pas. Dès lors se pose la question de l’identification des messages personnels.
Dans les chartes Internet qui nous ont été soumises, la solution trouvée par les employeurs, s’inspirant des recommandations de la CNIL, est d’obliger les salariés à mentionner le caractère personnel du message dans l’objet même du message. Les mentions « personnel » ou encore « privé » sont les plus fréquemment retenues. La conséquence est que si le message n’est pas identifié, d’une manière ou d’une autre, comme étant personnel, l’employeur peut en prendre connaissance et ne pourra être poursuivi pour violation de la correspondance. Un autre tempérament à apporter à la protection des droits des salariés dans ce domaine concerne les pouvoirs et attributions des administrateurs réseaux. Ces derniers ont pour rôle de veiller à assurer le fonctionnement normal et la sécurité des réseaux et systèmes informatiques dans l'entreprise. Ils sont donc conduits par leurs fonctions même à avoir accès à l'ensemble des informations relatives aux utilisateurs (messagerie, connexions à Internet, etc.).
Signalons qu’ils sont tenus au secret professionnel, ils ne doivent pas divulguer des informations qu'ils auraient été amenés à connaître dans le cadre de leurs fonctions et, en particulier, lorsque celles-ci sont couvertes par le secret des correspondances ou relèvent de la vie privée des utilisateurs et ne mettent en cause ni le bon fonctionnement technique des applications, ni leur sécurité, ni l'intérêt de l'entreprise. Ils ne sauraient non plus être contraints de le faire. Telles sont les conclusions que l’on peut lire dans le rapport de la CNIL de février 2002 concernant la cybersurveillance sur les lieux de travail. A cet égard, la cour d'appel de Paris a précisé « qu'il est dans la fonction des administrateurs de réseaux d'assurer le fonctionnement normal de ceux-ci ainsi que leur sécurité ce qui entraîne, entre autre, qu'ils aient accès aux messageries et à leur contenu, ne serait-ce que pour les débloquer ou éviter des démarches hostiles ». CA Paris, 11e ch sect. A, 17 déc. 2001, n° 00/07565, F. H. et V. c/ Min. public.
Les fichiers contenus sur le disque dur de l’ordinateur
Ici aussi les fichiers clairement identifiés comme personnels sont protégés, toutefois à un moindre degré que les messages personnels. L’affaire qui a permis à la Cour de cassation de poser les principes en la matière est la suivante : Un salarié a été licencié pour faute grave au motif qu’à la suite de la découverte de photos érotiques dans un tiroir de son bureau, il avait été procédé à une recherche sur le disque dur de son ordinateur qui avait permis de trouver un ensemble de dossiers totalement étrangers à ses fonctions figurant notamment sous un fichier intitulé « perso ». Pour la cour d’appel, le licenciement pour faute grave est pleinement justifié.
Elle a constaté que l’employeur lorsqu’il a ouvert les fichiers de l’ordinateur du salarié, ne l’a pas fait dans le cadre d’un contrôle systématique qui aurait été effectué en son absence. Le contrôle a été fait à l’occasion de la découverte des photos érotiques n’ayant aucun lien avec l’activité du salarié, ce qui constituait, aux yeux des magistrats, des circonstances exceptionnelles l’autorisant à contrôler le contenu du disque dur de l’ordinateur même en l’absence du salarié. La Cour de cassation censure l’appréciation des magistrats de la cour d’appel en posant les principes qui permettent à l’employeur de prendre connaissance des fichiers personnels contenus dans l’ordinateur du salarié. Pour elle, « sauf risque ou événement particulier, l’employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé ». Elle décide dans ce cas « que l’ouverture des fichiers personnels, effectuée hors la présence de l’intéressé, n’était justifiée par aucun risque ou événement particulier ». Cass. soc. 17 mai 2005 n° 03- 40017 (P).
La notion de risque ou d’événement particulier devra être précisée par la jurisprudence, mais gageons que de questions de sécurité, comme par exemple des infections virales seront admises par les juges. A l’instar des courriels, seuls les fichiers identifiés comme personnel sont protégés contre les intrusions inopinées de l’employeur. Les fichiers professionnels ne bénéficient, a priori, d’aucune protection, ce qui peut être problématique si l’ordinateur n’est pas protégé par un mot de passe personnel dont seul le salarié a la connaissance. Dans une affaire très remarquée, un salarié d'une société spécialisée en informatique avait été licencié pour faute grave pour avoir utilisé à des fins personnelles, pendant son temps de travail, l'ordinateur mis à sa disposition par l'employeur pour des raisons professionnelles, en se connectant sur des sites Internet à caractère pornographique. L'employeur produisait aux débats un disque dur (mémoire de stockage de l'ordinateur) comme étant celui du salarié licencié mais n'ayant pas été placé sous scellés, et donc ayant pu être manipulé postérieurement aux faits litigieux. L'employeur soutenait également que sa politique interne très stricte, basée sur le principe du respect de la personne, interdisait tous les agissements attentatoires aux bonnes moeurs et à la dignité humaine. Or, non seulement l'employeur n'apportait pas la preuve de ses affirmations mais les pièces produites étaient soit non datées, soit datées postérieurement aux faits reprochés. Ainsi, le conseil de prud'hommes jugea-il que le licenciement était sans cause réelle et sérieuse. Cons. prud'h. Nanterre sect. encadrement, 16 juill. 1999, n° 98/01372, Rice c/ SA Cie IBM L'intérêt de ce jugement est notamment de poser la question de la conservation ou de la manipulation des outils informatiques qui, en l'espèce, ne pouvaient pas être considérés comme des moyens de preuve fiable à l'appui du licenciement.
Dans un arrêt récent, la Cour de cassation fixe en quelque sorte la procédure à suivre par l’employeur qui veut se ménager la preuve incontestable des agissements répréhensibles du salarié. Un employeur suspectant des actes de concurrence déloyale de la part d’un salarié demande au juge l’autorisation de procéder à la saisie du contenu de l’ordinateur du salarié. L’employeur se fonde sa demande sur l’article 145 du nouveau code de procédure civile énonçant que : « S'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé ».
Pour la Cour de cassation, « le respect de la vie personnelle du salarié ne constitue pas en lui-même un obstacle à l’application des dispositions de l’article 145 du nouveau code de procédure civile dès lors que le juge constate que les mesures qu’il ordonne procèdent d’un motif légitime et sont nécessaires à la protection des droits de la partie qui les a sollicitées ». En l’occurrence, « l’employeur avait des motifs légitimes de suspecter des actes de concurrence déloyale et il résultait de ses constatations que l’huissier avait rempli sa mission en présence du salarié ». Cass. soc. 23 mai 2007 n° 05-17818 (P) L’autorisation sollicitée auprès du juge se faisant sans que la partie adverse en soit informée, cette dernière n’a pas le temps de faire disparaître les preuves compromettantes. Si cette procédure présente un intérêt certain pour l’employeur, elle pourrait également être utilisée par les salariés quand les preuves nécessaires à leur succès sont en possession de l’employeur et qu’elles pourraient s’évaporer.