Informatique
Page 1 sur 1
Informatique
Sylvain2 Lun 6 Mai 2013 - 17:04
Mise en place d’un contrôle
Modalités - La mise en place de dispositifs de contrôle impliquant une surveillance des salariés * doit se faire dans le respect d’un certain nombre de principes :
- les restrictions aux droits et libertés des personnes résultant du dispositif mis en place doivent être justifiées par la nature de la tâche à accomplir et proportionnées au but recherché (c. trav. art. L. 1121-1) ;
- la vie privée * doit être respectée (c. civ. art. 9) ;
- les salariés doivent préalablement être informés sur les dispositifs permettant la collecte d’informations les concernant personnellement (c. trav. art. L. 1222-4) ;
- le comité d’entreprise (CE) doit être informé et consulté préalablement à la décision de mise en œuvre des moyens ou techniques permettant un contrôle de l’activité des salariés (c. trav. art. L. 2323-32) [voir Comité d’entreprise (consultation) *] ;
- enfin, si le contrôle implique un traitement automatisé de données personnelles, il doit, en principe, faire l’objet d’une déclaration de fichiers * à la CNIL préalablement à sa mise en service.
Toute personne utilisatrice des réseaux de communications électroniques doit être informée de manière claire et complète par le responsable du traitement ou son représentant (loi 78-17 du 6 janvier 1978, art. 37) :
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;
- des moyens dont elle dispose pour s’y opposer.
Tolérance d’un usage raisonnable à titre privé - La CNIL considère que toute interdiction absolue d’utilisation à des fins non professionnelles de l’ordinateur, de la messagerie électronique et d’Internet est excessive et qu’un usage raisonnable doit être admis (rapports de la CNIL des 28 mars 2001 et 5 février 2002) .
Règlement intérieur ou charte informatique
Mesures dont le non-respect entraîne une sanction - Les règles relatives à l’utilisation de l’informatique et les contrôles mis en place pour en assurer le respect sont à inscrire dans le règlement intérieur (ou un document qui lui est annexé, comme, par exemple, une charte informatique) dans la mesure où leur non-respect peut entraîner des sanctions disciplinaires.
Le règlement intérieur peut aussi contenir des dispositions restreignant le pouvoir, par exemple, de consultation par l’employeur des mails d’un salarié (cass. soc. 26 juin 2012, n° 11-15310 FSPB) (voir ci-après) .
Procédure d’adoption - L’employeur qui adopte une charte informatique doit donc suivre la même procédure que pour l’adoption ou la modification du règlement intérieur .
Une charte informatique permet d’informer les salariés (Guide pour les employeurs et les salariés, CNIL 2010) :
- que des procédures disciplinaires sont susceptibles d’être engagées sur la base des dispositifs de contrôle de l’utilisation d’Internet ;
- sur le principe retenu pour différencier les e-mails professionnels des e-mails personnels (ex. : qualification par l’objet, création d’un répertoire spécifique dédié au contenu privé, etc.) et les fichiers professionnels des fichiers personnels ;
- des modalités d’accès de l’employeur aux données stockées sur l’environnement informatique d’un salarié absent.
Une charte informatique permet aussi de rappeler l’obligation de confidentialité qui pèse sur les administrateurs réseaux.
Sanction disciplinaire du salarié - L’employeur qui a inscrit les différentes règles relatives à l’utilisation des outils informatiques dans un document, quelle que soit sa dénomination, adopté en suivant la procédure applicable au règlement intérieur peut sanctionner le salarié du seul fait qu’il ne le respecte pas (cass. soc. 15 décembre 2010, n° 09-42691 D) (voir Sanctions disciplinaires *). Faute d’un tel document, il peut néanmoins sanctionner le salarié qui contrevient à ces règles mais, en cas de contentieux, il doit être en mesure de prouver que le travail a été affecté par un usage abusif de l’ordinateur ou encore que les fichiers en cause sont illicites, faute de quoi la sanction est injustifiée (cass. soc. 8 décembre 2009, n° 08-42097 D ; cass. soc. 16 mai 2007, n° 05-43455 D) .
La seule conservation sur son poste informatique de fichiers contenant des photos à caractère pornographique sans caractère délictueux ne constitue pas, en l’absence de constatation d’un usage abusif affectant son travail, un manquement du salarié aux obligations résultant de son contrat susceptible de justifier son licenciement (cass. soc. 8 décembre 2009, n° 08-42097 D) . En revanche, si la charte informatique, intégrée au règlement intérieur, interdit aux salariés de conserver sur leur ordinateur des fichiers à caractère pornographique, l’employeur peut sanctionner le salarié qui contrevient à cette interdiction. En l’espèce, le licenciement pour faute grave du salarié fautif a été jugé valable (cass. soc. 15 décembre 2010, n° 09-42691 D) .
Surveillance depuis un poste informatique
Pour la CNIL, l’utilisation d’un logiciel « keylogger » ne peut être justifiée en entreprise qu’en présence d’un fort impératif de sécurité (ex. : lutte contre la divulgation de secrets industriels) et sous réserve, dans ce cas, que ce logiciel soit accompagné d’une information spécifique des personnes concernées.
Ce type d’outil permet d’exercer une surveillance constante et permanente sur l’activité professionnelle des salariés mais aussi sur leur activité personnelle résiduelle effectuée à partir du poste informatique. Ainsi, les données enregistrées peuvent concerner aussi bien les courriels émis ou reçus, les conversations de messageries instantanées ou des informations personnelles sensibles telles qu'un numéro de carte bancaire ou les mots de passe des salariés lorsqu'ils accèdent, pendant leur temps de pause, à leur compte d’adresse électronique personnelle, d’où la position de la CNIL sur ce type d’outil (« www.cnil.fr » ; information du 20 mars 2013) .
Les outils informatiques « keylogger » permettent notamment d’enregistrer toutes les frappes effectuées sur un clavier, les écrans consultés, etc.
Contrôle des connexions Internet
Légitimité du contrôle - L’employeur peut fixer les conditions et limites de l’utilisation d’Internet, lesquelles ne constituent pas, en soi, des atteintes à la vie privée des salariés (Guide pour les employeurs et les salariés, CNIL 2010) .
L’employeur peut mettre en place des dispositifs de filtrage de sites non autorisés (ex. : sites révisionnistes, à caractères pornographique, pédophile, d’incitation à la haine raciale, etc.). Il peut également fixer des limites dictées par l’exigence de sécurité de l’entreprise telles que l’interdiction de télécharger des logiciels, de se connecter à un forum ou d’utiliser le « chat », ou encore d’accéder à une boîte aux lettres personnelle par Internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter, etc. (Guide pour les employeurs et les salariés, CNIL 2010 ).
Connexions présumées professionnelles - Les connexions établies par un salarié sur des sites Internet sont présumées avoir un caractère professionnel dès lors qu’elles sont effectuées :
- pendant son temps de travail ;
- grâce à l’ordinateur mis à sa disposition par l’employeur pour l’exécution de son travail.
En conséquence, l’employeur peut procéder à un contrôle de ces connexions en l’absence du salarié (cass. soc. 9 juillet 2008, n° 06-45800, BC V n° 150) .
Un employeur avait motivé un licenciement pour faute grave en se fondant sur des éléments relatifs à des connexions Internet recueillis à l’occasion d’un contrôle et d’une expertise du disque dur de l’ordinateur professionnel d’un salarié. Ces deux inspections avaient été réalisées en l’absence de l’intéressé et sans que celui-ci en ait été informé au préalable. Pour les juges, l’employeur pouvait ainsi apporter la preuve d’une faute grave. Le licenciement était donc bien fondé, en l’espèce, sur une faute grave (cass. soc. 9 juillet 2008, n° 06-45800, BC V n° 150) .
Un salarié qui a listé ses sites favoris sur Internet ne peut pas invoquer les règles applicables aux fichiers personnels. Dans ce cas, ce sont les conditions d’accès aux connexions Internet qui s’appliquent. Ainsi, l’employeur peut, en l’absence d’un salarié, prendre connaissance des connexions que ce dernier a faites pendant son temps de travail et grâce à son ordinateur professionnel car ces connexions sont présumées professionnelles (cass. soc. 9 février 2010, n° 08-45253 D) .
Accès aux mails
Contrôle de l’utilisation de la messagerie - Des exigences de sécurité, de prévention ou de contrôle de l’encombrement du réseau peuvent conduire les entreprises à mettre en place des outils de contrôle de la messagerie (Guide pour les employeurs et les salariés, CNIL 2010) .
Il peut s’agir d’outils de mesure de la fréquence, de la taille des messages électroniques, d’outils d’analyse des pièces jointes (ex. : détection des virus, filtres antispam destinés à réduire les messages non sollicités, etc.) (Guide pour les employeurs et les salariés, CNIL 2010) .
Les délégués du personnel (DP) peuvent faire jouer leur droit d’alerte sur les conditions de consultation des messageries électroniques des salariés (cass. soc. 17 juin 2009, n° 08-40274, BC V n° 153)
Mails protégés par le secret des correspondances - Le salarié a droit, y compris au temps et au lieu de travail, au respect de l’intimité de sa vie privée (cass. soc. 2 octobre 2001, n° 99-42942, BC V n° 291) . Cela implique, en particulier, le secret des correspondances. L’employeur ne peut pas dès lors, sans violation de cette liberté fondamentale, prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci, même au cas où l’employeur a interdit une utilisation non professionnelle de l’ordinateur (cass. soc. 12 octobre 2004, n° 02-40392, BC V n° 245) .
Accès aux mails personnels via un huissier - En principe, l’employeur ne peut pas, sous peine de violer le secret des correspondances, prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail (voir ci-avant) .
Toutefois, un employeur peut demander au juge l’intervention d’un huissier pour accéder aux données contenues dans l’ordinateur qu’il a mis à la disposition d’un salarié (à savoir : utiliser la procédure prévue par l’article 145 du code de procédure civile). En effet, le respect de la vie personnelle du salarié ne constitue pas, en lui-même, un obstacle à l’application de l’article 145 du code de procédure civile, dès lors que le juge constate que la mesure qu’il ordonne :
- procède d’un motif légitime (ex. : soupçons d’actes de concurrence déloyale) (cass. soc. 23 mai 2007, n° 05-17818, BC V n° 84 ; cass. soc. 10 juin 2008, n° 06-19229, BC V n° 129) ;
- est nécessaire à la protection des droits de l’employeur.
De plus, l’huissier doit conduire sa mission en présence du salarié.
Le principe du secret des correspondances appliqué aux mails privés des salariés doit donc se concilier avec les moyens procéduraux dont dispose l’employeur via l’article 145 du code de procédure civile.
Il faut bien distinguer cette procédure de recours à un huissier, garantissant l’intervention et le contrôle du juge avec les possibilités de recours inhérentes à une procédure juridictionnelle, d’une investigation à laquelle l’employeur procéderait unilatéralement et personnellement. Cette dernière reste interdite.
Mails professionnels et accès de l’employeur - L’employeur peut, en l’absence du salarié, ouvrir les mails que celui-ci n’a pas identifiés comme personnels. En effet, dans ce cas, ces mails sont considérés comme étant professionnels (cass. soc. 26 juin 2012, n° 11-15310 FSPB) (voir ci-après) .
Toutefois, le règlement intérieur de l’entreprise peut contenir des dispositions restreignant le pouvoir de consultation de l’employeur, en le soumettant à d’autres conditions. Quand un règlement intérieur impose la présence du salarié pour accéder à sa messagerie professionnelle sans établir de distinction entre ses mails personnels ou ses mails professionnels, les juges décident que l’employeur ne peut contrôler les mails du salarié qu’en sa présence, que ceux-ci soient identifiés comme étant personnels ou pas (cass. soc. 26 juin 2012, n° 11-15310 FSPB) .
Distinction entre mails personnels et mails professionnels - Un message envoyé ou reçu depuis le poste de travail mis à disposition par l’employeur revêt un caractère professionnel, sauf s’il est identifié comme étant personnel (cass. soc. 2 octobre 2001, n° 99-42942, BC V n° 291 ; cass. soc. 30 mai 2007, n° 05-43102 D) .
C’est au salarié d’identifier les messages qui sont personnels, étant précisé que le salarié ne doit pas transformer des messages de nature professionnelle en correspondance « privée ». À défaut d’une telle identification, les messages sont présumés être professionnels. La nature personnelle d’un message peut figurer dans l’objet du message ou dans le nom du répertoire dans lequel il est stocké (Guide pour les employeurs et les salariés, CNIL 2010) .
Dès lors, si des mails ne sont pas identifiés par le salarié comme étant personnels et qu’ils sont, dans sa messagerie professionnelle, sans signe distinctif, ils peuvent être régulièrement ouverts par l’employeur (cass. soc. 18 octobre 2011, n° 10-26782 D) .
Utilisation des adresses mails
Une adresse électronique à caractère professionnel est une donnée à caractère personnel. La loi « Informatique et libertés » doit donc être respectée par ceux qui l’utilisent, par exemple, pour de la prospection syndicale (communiqué CNIL 12 avril 2012, « www.cnil.fr » ; délib. CNIL 2012-048 du 16 février 2012)
Accès aux fichiers
Fichiers professionnels et accès de l’employeur - Les dossiers et fichiers présents sur l’ordinateur des salariés, ou encore les documents qu’ils détiennent dans leur bureau, ont nécessairement un caractère professionnel quand ils ne les ont pas identifiés comme personnels. Il en résulte que l’employeur a légitimement accès à ces dossiers, fichiers ou documents professionnels, sans qu’il soit nécessaire que le salarié concerné soit présent (cass. soc. 18 octobre 2006, n os 04-47400 et 04-48025, BC V n° 308 ; cass. soc. 21 octobre 2009, n° 07-43877, BC V n° 226 ; cass. soc. 15 décembre 2009, n° 07-44264, BC V n° 284) .
Autre conséquence de cette règle : un salarié ne peut pas empêcher volontairement son employeur d’accéder à son ordinateur (ex. : grâce à un procédé de cryptage). Un tel comportement peut justifier, selon les circonstances, un licenciement pour faute grave (cass. soc. 18 octobre 2006, n° 04-48025, BC V n° 308) .
Fichiers personnels protégés sous conditions - Au nom du respect de la vie privée, les fichiers identifiés comme personnels par le salarié sur le disque dur de son ordinateur sont, en principe, inviolables. Cette inviolabilité est néanmoins soumise à conditions : l’employeur peut toutefois accéder à ces fichiers en présence de l’intéressé ou après l’avoir dûment appelé. Hors cette présence ou cet appel, il ne peut le faire que si un risque ou un événement particulier le justifie (ex. : la découverte de photos érotiques dans un tiroir du bureau d’un salarié ne constitue pas un tel risque ou un événement particulier) (cass. soc. 17 mai 2005, n° 03-40017, BC V n° 165) .
Par ailleurs, la possibilité pour l’employeur d’accéder aux fichiers personnels de ses salariés contenus dans le disque de leur ordinateur doit, par principe, être prévue par le règlement intérieur. Les modalités principales d’information du salarié visé par le contrôle doivent aussi y être inscrites. Par exception, un tel contrôle est possible sans inscription au règlement intérieur et sans information préalable en cas de risque ou d’événement particulier. Cette exception est d’interprétation stricte (CNIL, 26 e rapport d’activité) .
Distinction fichiers professionnels / fichiers personnels - Sont considérés comme professionnels les fichiers détenus sur l’ordinateur professionnel d’un salarié :
- quand ni le code d’accès à l’ordinateur connu des informaticiens de l’entreprise et destiné à empêcher l’intrusion de personnes étrangères à celle-ci dans le réseau informatique, ni l’intitulé des répertoires et, notamment, celui nommé avec le prénom du salarié ne permettent de les identifier comme personnels (cass. soc. 8 décembre 2009, n° 08-44840 D) ;
- intitulés « essais divers, essais divers B, essais divers restaurés » (cass. soc. 15 décembre 2009, n° 07-44264, BC V n° 284) ;
- trouvés dans un répertoire nommé avec les initiales du salarié, lequel comportait un sous-répertoire nommé « personnel » et un sous-répertoire nommé avec le nom de famille de ce salarié (cass. soc. 21 octobre 2009, n° 07-43877, BC V n° 226) ;
- quand les fichiers incriminés se trouvaient sur le disque dur de l’ordinateur dans un dossier intitulé « mes documents » (cass. soc. 10 mai 2012, n° 11-13884 FPB) .
La dénomination donnée par un salarié au disque dur de son ordinateur professionnel ne peut conférer un caractère personnel à l’intégralité des données qu’il contient. Ainsi, la dénomination « D:/données personnelles » du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur. En l’espèce, des fichiers qui n’étaient pas identifiés comme étant « privés », selon les préconisations de la charte informatique, avaient pu être régulièrement ouverts par l’employeur (cass. soc. 4 juillet 2012, n° 11-12502 D) .
Accès à une clé USB
Dès lors qu’une une clé USB est connectée à un ordinateur professionnel, elle est accessible à l’employeur. Celui-ci peut donc consulter les fichiers qu’elle contient quand ceux-ci n’ont pas été identifiés comme personnels. Le cas échéant, l’employeur peut invoquer les éléments ainsi trouvés à l’appui d’une sanction. Dans cette affaire, l’employeur avait pu licencier un salarié pour faute grave après avoir découvert, sur la clé USB connectée à l’ordinateur de l’intéressé, des informations confidentielles relatives à l’entreprise et des documents personnels de collègues et du dirigeant. Peu importe que ces éléments aient été recueillis en l’absence du salarié, puisque, par hypothèse, la clé USB était un outil professionnel (cass. soc. 12 février 2013, n° 11-28649 FSPB) .
Réseaux sociaux et liberté d’expression
Le paramétrage d’un compte sur un réseau social permet de déterminer si les propos qui y sont publiés ont un caractère public. Par exemple, quand les propos en cause sont diffusés sur des comptes ouverts par un salarié sur des réseaux sociaux mais que ceux-ci ne sont accessibles qu’aux seules personnes agréées par l’intéressé, en nombre très restreint et formant ainsi une communauté d’intérêts, ils n’ont pas de caractère public. Dans ce cadre, le salarié concerné ne peut pas être condamné pour injures publiques (cass. civ., 1 re ch., 10 avril 2013, n° 11-19530 FSPBI) . Il convient toutefois de garder en mémoire que des injures non publiques peuvent également donner lieu à des poursuites judiciaires (c. pén. art. R. 621-2) .
Preuves
Preuve par un courriel - L’employeur peut s’appuyer sur un courriel du salarié pour, par exemple, établir sa faute, à condition de l’avoir obtenu de façon licite et loyale (c. proc. civ. art. 9) . Tel n’est pas le cas quand il s’appuie sur un courriel que le salarié avait identifié comme personnel puisque, dans cette hypothèse, il y a violation du secret des correspondances. Le licenciement fondé sur la teneur d’un tel courriel est, en conséquence, sans cause réelle et sérieuse. L’employeur peut toutefois se prévaloir du contenu d’un courriel qui a été porté à sa connaissance par son destinataire (cass. soc. 2 juin 2004, n° 03-45269, BC V n° 152) .
Autre condition à l’utilisation d’un courriel comme moyen de preuve : l’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité (c. civ. art. 1316-1) . En pratique, il appartient donc à l’employeur de produire aussi tous les éléments permettant d’établir que le salarié en cause est bien l’auteur du courriel incriminé (notamment : historique du ou des envois incriminés et attestations) (cass. soc. 2 juin 2004, n° 03-45269, BC V n° 152) .
Des courriels qui ne sont pas identifiés comme étant personnels mais dont le contenu est privé (ex. : la correspondance amoureuse du salarié) ne peuvent pas être produits dans leur intégralité par l’employeur devant les juges afin de prouver, en l’espèce, la volonté de l’intéressé de démissionner ou la réalité de ses horaires de travail (cass. soc. 18 octobre 2011, n° 10-25706 D) .
Preuve via un fichier informatique - Si l’employeur entend s’appuyer sur des fichiers professionnels présents sur l’ordinateur d’un salarié pour établir sa faute (cass. soc. 18 octobre 2006, n° 04-47400, BC V n° 308) , les conditions générales de licéité de la preuve évoquées ci-dessus doivent aussi être respectées :
- l’employeur doit s’être procuré ces fichiers par un moyen licite et loyal ;
- le salarié en cause doit être identifié comme étant la personne qui a créé ces fichiers (cass. soc. 2 octobre 2001, n° 99-42942, BC V n° 291 ; cass. soc. 17 mai 2005, n° 03-40017, BC V n° 165) .
Quand l’ouverture de fichiers professionnels permet la découverte de courriers eux-mêmes professionnels, ceux-ci ne revêtent pas un caractère privé et peuvent donc être retenus pour engager une procédure disciplinaire (cass. soc. 15 décembre 2009, n° 07-44264, BC V n° 284) .
À l’inverse, si l’employeur peut toujours consulter les fichiers qui n’ont pas été identifiés comme personnels par le salarié (voir ci-avant) , il ne peut pas les utiliser pour le sanctionner s’ils s’avèrent relever de sa vie privée (cass. soc. 5 juillet 2011, n° 10-17284 D) .
Modalités - La mise en place de dispositifs de contrôle impliquant une surveillance des salariés * doit se faire dans le respect d’un certain nombre de principes :
- les restrictions aux droits et libertés des personnes résultant du dispositif mis en place doivent être justifiées par la nature de la tâche à accomplir et proportionnées au but recherché (c. trav. art. L. 1121-1) ;
- la vie privée * doit être respectée (c. civ. art. 9) ;
- les salariés doivent préalablement être informés sur les dispositifs permettant la collecte d’informations les concernant personnellement (c. trav. art. L. 1222-4) ;
- le comité d’entreprise (CE) doit être informé et consulté préalablement à la décision de mise en œuvre des moyens ou techniques permettant un contrôle de l’activité des salariés (c. trav. art. L. 2323-32) [voir Comité d’entreprise (consultation) *] ;
- enfin, si le contrôle implique un traitement automatisé de données personnelles, il doit, en principe, faire l’objet d’une déclaration de fichiers * à la CNIL préalablement à sa mise en service.
Toute personne utilisatrice des réseaux de communications électroniques doit être informée de manière claire et complète par le responsable du traitement ou son représentant (loi 78-17 du 6 janvier 1978, art. 37) :
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;
- des moyens dont elle dispose pour s’y opposer.
Tolérance d’un usage raisonnable à titre privé - La CNIL considère que toute interdiction absolue d’utilisation à des fins non professionnelles de l’ordinateur, de la messagerie électronique et d’Internet est excessive et qu’un usage raisonnable doit être admis (rapports de la CNIL des 28 mars 2001 et 5 février 2002) .
Règlement intérieur ou charte informatique
Mesures dont le non-respect entraîne une sanction - Les règles relatives à l’utilisation de l’informatique et les contrôles mis en place pour en assurer le respect sont à inscrire dans le règlement intérieur (ou un document qui lui est annexé, comme, par exemple, une charte informatique) dans la mesure où leur non-respect peut entraîner des sanctions disciplinaires.
Le règlement intérieur peut aussi contenir des dispositions restreignant le pouvoir, par exemple, de consultation par l’employeur des mails d’un salarié (cass. soc. 26 juin 2012, n° 11-15310 FSPB) (voir ci-après) .
Procédure d’adoption - L’employeur qui adopte une charte informatique doit donc suivre la même procédure que pour l’adoption ou la modification du règlement intérieur .
Une charte informatique permet d’informer les salariés (Guide pour les employeurs et les salariés, CNIL 2010) :
- que des procédures disciplinaires sont susceptibles d’être engagées sur la base des dispositifs de contrôle de l’utilisation d’Internet ;
- sur le principe retenu pour différencier les e-mails professionnels des e-mails personnels (ex. : qualification par l’objet, création d’un répertoire spécifique dédié au contenu privé, etc.) et les fichiers professionnels des fichiers personnels ;
- des modalités d’accès de l’employeur aux données stockées sur l’environnement informatique d’un salarié absent.
Une charte informatique permet aussi de rappeler l’obligation de confidentialité qui pèse sur les administrateurs réseaux.
Sanction disciplinaire du salarié - L’employeur qui a inscrit les différentes règles relatives à l’utilisation des outils informatiques dans un document, quelle que soit sa dénomination, adopté en suivant la procédure applicable au règlement intérieur peut sanctionner le salarié du seul fait qu’il ne le respecte pas (cass. soc. 15 décembre 2010, n° 09-42691 D) (voir Sanctions disciplinaires *). Faute d’un tel document, il peut néanmoins sanctionner le salarié qui contrevient à ces règles mais, en cas de contentieux, il doit être en mesure de prouver que le travail a été affecté par un usage abusif de l’ordinateur ou encore que les fichiers en cause sont illicites, faute de quoi la sanction est injustifiée (cass. soc. 8 décembre 2009, n° 08-42097 D ; cass. soc. 16 mai 2007, n° 05-43455 D) .
La seule conservation sur son poste informatique de fichiers contenant des photos à caractère pornographique sans caractère délictueux ne constitue pas, en l’absence de constatation d’un usage abusif affectant son travail, un manquement du salarié aux obligations résultant de son contrat susceptible de justifier son licenciement (cass. soc. 8 décembre 2009, n° 08-42097 D) . En revanche, si la charte informatique, intégrée au règlement intérieur, interdit aux salariés de conserver sur leur ordinateur des fichiers à caractère pornographique, l’employeur peut sanctionner le salarié qui contrevient à cette interdiction. En l’espèce, le licenciement pour faute grave du salarié fautif a été jugé valable (cass. soc. 15 décembre 2010, n° 09-42691 D) .
Surveillance depuis un poste informatique
Pour la CNIL, l’utilisation d’un logiciel « keylogger » ne peut être justifiée en entreprise qu’en présence d’un fort impératif de sécurité (ex. : lutte contre la divulgation de secrets industriels) et sous réserve, dans ce cas, que ce logiciel soit accompagné d’une information spécifique des personnes concernées.
Ce type d’outil permet d’exercer une surveillance constante et permanente sur l’activité professionnelle des salariés mais aussi sur leur activité personnelle résiduelle effectuée à partir du poste informatique. Ainsi, les données enregistrées peuvent concerner aussi bien les courriels émis ou reçus, les conversations de messageries instantanées ou des informations personnelles sensibles telles qu'un numéro de carte bancaire ou les mots de passe des salariés lorsqu'ils accèdent, pendant leur temps de pause, à leur compte d’adresse électronique personnelle, d’où la position de la CNIL sur ce type d’outil (« www.cnil.fr » ; information du 20 mars 2013) .
Les outils informatiques « keylogger » permettent notamment d’enregistrer toutes les frappes effectuées sur un clavier, les écrans consultés, etc.
Contrôle des connexions Internet
Légitimité du contrôle - L’employeur peut fixer les conditions et limites de l’utilisation d’Internet, lesquelles ne constituent pas, en soi, des atteintes à la vie privée des salariés (Guide pour les employeurs et les salariés, CNIL 2010) .
L’employeur peut mettre en place des dispositifs de filtrage de sites non autorisés (ex. : sites révisionnistes, à caractères pornographique, pédophile, d’incitation à la haine raciale, etc.). Il peut également fixer des limites dictées par l’exigence de sécurité de l’entreprise telles que l’interdiction de télécharger des logiciels, de se connecter à un forum ou d’utiliser le « chat », ou encore d’accéder à une boîte aux lettres personnelle par Internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter, etc. (Guide pour les employeurs et les salariés, CNIL 2010 ).
Connexions présumées professionnelles - Les connexions établies par un salarié sur des sites Internet sont présumées avoir un caractère professionnel dès lors qu’elles sont effectuées :
- pendant son temps de travail ;
- grâce à l’ordinateur mis à sa disposition par l’employeur pour l’exécution de son travail.
En conséquence, l’employeur peut procéder à un contrôle de ces connexions en l’absence du salarié (cass. soc. 9 juillet 2008, n° 06-45800, BC V n° 150) .
Un employeur avait motivé un licenciement pour faute grave en se fondant sur des éléments relatifs à des connexions Internet recueillis à l’occasion d’un contrôle et d’une expertise du disque dur de l’ordinateur professionnel d’un salarié. Ces deux inspections avaient été réalisées en l’absence de l’intéressé et sans que celui-ci en ait été informé au préalable. Pour les juges, l’employeur pouvait ainsi apporter la preuve d’une faute grave. Le licenciement était donc bien fondé, en l’espèce, sur une faute grave (cass. soc. 9 juillet 2008, n° 06-45800, BC V n° 150) .
Un salarié qui a listé ses sites favoris sur Internet ne peut pas invoquer les règles applicables aux fichiers personnels. Dans ce cas, ce sont les conditions d’accès aux connexions Internet qui s’appliquent. Ainsi, l’employeur peut, en l’absence d’un salarié, prendre connaissance des connexions que ce dernier a faites pendant son temps de travail et grâce à son ordinateur professionnel car ces connexions sont présumées professionnelles (cass. soc. 9 février 2010, n° 08-45253 D) .
Accès aux mails
Contrôle de l’utilisation de la messagerie - Des exigences de sécurité, de prévention ou de contrôle de l’encombrement du réseau peuvent conduire les entreprises à mettre en place des outils de contrôle de la messagerie (Guide pour les employeurs et les salariés, CNIL 2010) .
Il peut s’agir d’outils de mesure de la fréquence, de la taille des messages électroniques, d’outils d’analyse des pièces jointes (ex. : détection des virus, filtres antispam destinés à réduire les messages non sollicités, etc.) (Guide pour les employeurs et les salariés, CNIL 2010) .
Les délégués du personnel (DP) peuvent faire jouer leur droit d’alerte sur les conditions de consultation des messageries électroniques des salariés (cass. soc. 17 juin 2009, n° 08-40274, BC V n° 153)
Mails protégés par le secret des correspondances - Le salarié a droit, y compris au temps et au lieu de travail, au respect de l’intimité de sa vie privée (cass. soc. 2 octobre 2001, n° 99-42942, BC V n° 291) . Cela implique, en particulier, le secret des correspondances. L’employeur ne peut pas dès lors, sans violation de cette liberté fondamentale, prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci, même au cas où l’employeur a interdit une utilisation non professionnelle de l’ordinateur (cass. soc. 12 octobre 2004, n° 02-40392, BC V n° 245) .
Accès aux mails personnels via un huissier - En principe, l’employeur ne peut pas, sous peine de violer le secret des correspondances, prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail (voir ci-avant) .
Toutefois, un employeur peut demander au juge l’intervention d’un huissier pour accéder aux données contenues dans l’ordinateur qu’il a mis à la disposition d’un salarié (à savoir : utiliser la procédure prévue par l’article 145 du code de procédure civile). En effet, le respect de la vie personnelle du salarié ne constitue pas, en lui-même, un obstacle à l’application de l’article 145 du code de procédure civile, dès lors que le juge constate que la mesure qu’il ordonne :
- procède d’un motif légitime (ex. : soupçons d’actes de concurrence déloyale) (cass. soc. 23 mai 2007, n° 05-17818, BC V n° 84 ; cass. soc. 10 juin 2008, n° 06-19229, BC V n° 129) ;
- est nécessaire à la protection des droits de l’employeur.
De plus, l’huissier doit conduire sa mission en présence du salarié.
Le principe du secret des correspondances appliqué aux mails privés des salariés doit donc se concilier avec les moyens procéduraux dont dispose l’employeur via l’article 145 du code de procédure civile.
Il faut bien distinguer cette procédure de recours à un huissier, garantissant l’intervention et le contrôle du juge avec les possibilités de recours inhérentes à une procédure juridictionnelle, d’une investigation à laquelle l’employeur procéderait unilatéralement et personnellement. Cette dernière reste interdite.
Mails professionnels et accès de l’employeur - L’employeur peut, en l’absence du salarié, ouvrir les mails que celui-ci n’a pas identifiés comme personnels. En effet, dans ce cas, ces mails sont considérés comme étant professionnels (cass. soc. 26 juin 2012, n° 11-15310 FSPB) (voir ci-après) .
Toutefois, le règlement intérieur de l’entreprise peut contenir des dispositions restreignant le pouvoir de consultation de l’employeur, en le soumettant à d’autres conditions. Quand un règlement intérieur impose la présence du salarié pour accéder à sa messagerie professionnelle sans établir de distinction entre ses mails personnels ou ses mails professionnels, les juges décident que l’employeur ne peut contrôler les mails du salarié qu’en sa présence, que ceux-ci soient identifiés comme étant personnels ou pas (cass. soc. 26 juin 2012, n° 11-15310 FSPB) .
Distinction entre mails personnels et mails professionnels - Un message envoyé ou reçu depuis le poste de travail mis à disposition par l’employeur revêt un caractère professionnel, sauf s’il est identifié comme étant personnel (cass. soc. 2 octobre 2001, n° 99-42942, BC V n° 291 ; cass. soc. 30 mai 2007, n° 05-43102 D) .
C’est au salarié d’identifier les messages qui sont personnels, étant précisé que le salarié ne doit pas transformer des messages de nature professionnelle en correspondance « privée ». À défaut d’une telle identification, les messages sont présumés être professionnels. La nature personnelle d’un message peut figurer dans l’objet du message ou dans le nom du répertoire dans lequel il est stocké (Guide pour les employeurs et les salariés, CNIL 2010) .
Dès lors, si des mails ne sont pas identifiés par le salarié comme étant personnels et qu’ils sont, dans sa messagerie professionnelle, sans signe distinctif, ils peuvent être régulièrement ouverts par l’employeur (cass. soc. 18 octobre 2011, n° 10-26782 D) .
Utilisation des adresses mails
Une adresse électronique à caractère professionnel est une donnée à caractère personnel. La loi « Informatique et libertés » doit donc être respectée par ceux qui l’utilisent, par exemple, pour de la prospection syndicale (communiqué CNIL 12 avril 2012, « www.cnil.fr » ; délib. CNIL 2012-048 du 16 février 2012)
Accès aux fichiers
Fichiers professionnels et accès de l’employeur - Les dossiers et fichiers présents sur l’ordinateur des salariés, ou encore les documents qu’ils détiennent dans leur bureau, ont nécessairement un caractère professionnel quand ils ne les ont pas identifiés comme personnels. Il en résulte que l’employeur a légitimement accès à ces dossiers, fichiers ou documents professionnels, sans qu’il soit nécessaire que le salarié concerné soit présent (cass. soc. 18 octobre 2006, n os 04-47400 et 04-48025, BC V n° 308 ; cass. soc. 21 octobre 2009, n° 07-43877, BC V n° 226 ; cass. soc. 15 décembre 2009, n° 07-44264, BC V n° 284) .
Autre conséquence de cette règle : un salarié ne peut pas empêcher volontairement son employeur d’accéder à son ordinateur (ex. : grâce à un procédé de cryptage). Un tel comportement peut justifier, selon les circonstances, un licenciement pour faute grave (cass. soc. 18 octobre 2006, n° 04-48025, BC V n° 308) .
Fichiers personnels protégés sous conditions - Au nom du respect de la vie privée, les fichiers identifiés comme personnels par le salarié sur le disque dur de son ordinateur sont, en principe, inviolables. Cette inviolabilité est néanmoins soumise à conditions : l’employeur peut toutefois accéder à ces fichiers en présence de l’intéressé ou après l’avoir dûment appelé. Hors cette présence ou cet appel, il ne peut le faire que si un risque ou un événement particulier le justifie (ex. : la découverte de photos érotiques dans un tiroir du bureau d’un salarié ne constitue pas un tel risque ou un événement particulier) (cass. soc. 17 mai 2005, n° 03-40017, BC V n° 165) .
Par ailleurs, la possibilité pour l’employeur d’accéder aux fichiers personnels de ses salariés contenus dans le disque de leur ordinateur doit, par principe, être prévue par le règlement intérieur. Les modalités principales d’information du salarié visé par le contrôle doivent aussi y être inscrites. Par exception, un tel contrôle est possible sans inscription au règlement intérieur et sans information préalable en cas de risque ou d’événement particulier. Cette exception est d’interprétation stricte (CNIL, 26 e rapport d’activité) .
Distinction fichiers professionnels / fichiers personnels - Sont considérés comme professionnels les fichiers détenus sur l’ordinateur professionnel d’un salarié :
- quand ni le code d’accès à l’ordinateur connu des informaticiens de l’entreprise et destiné à empêcher l’intrusion de personnes étrangères à celle-ci dans le réseau informatique, ni l’intitulé des répertoires et, notamment, celui nommé avec le prénom du salarié ne permettent de les identifier comme personnels (cass. soc. 8 décembre 2009, n° 08-44840 D) ;
- intitulés « essais divers, essais divers B, essais divers restaurés » (cass. soc. 15 décembre 2009, n° 07-44264, BC V n° 284) ;
- trouvés dans un répertoire nommé avec les initiales du salarié, lequel comportait un sous-répertoire nommé « personnel » et un sous-répertoire nommé avec le nom de famille de ce salarié (cass. soc. 21 octobre 2009, n° 07-43877, BC V n° 226) ;
- quand les fichiers incriminés se trouvaient sur le disque dur de l’ordinateur dans un dossier intitulé « mes documents » (cass. soc. 10 mai 2012, n° 11-13884 FPB) .
La dénomination donnée par un salarié au disque dur de son ordinateur professionnel ne peut conférer un caractère personnel à l’intégralité des données qu’il contient. Ainsi, la dénomination « D:/données personnelles » du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur. En l’espèce, des fichiers qui n’étaient pas identifiés comme étant « privés », selon les préconisations de la charte informatique, avaient pu être régulièrement ouverts par l’employeur (cass. soc. 4 juillet 2012, n° 11-12502 D) .
Accès à une clé USB
Dès lors qu’une une clé USB est connectée à un ordinateur professionnel, elle est accessible à l’employeur. Celui-ci peut donc consulter les fichiers qu’elle contient quand ceux-ci n’ont pas été identifiés comme personnels. Le cas échéant, l’employeur peut invoquer les éléments ainsi trouvés à l’appui d’une sanction. Dans cette affaire, l’employeur avait pu licencier un salarié pour faute grave après avoir découvert, sur la clé USB connectée à l’ordinateur de l’intéressé, des informations confidentielles relatives à l’entreprise et des documents personnels de collègues et du dirigeant. Peu importe que ces éléments aient été recueillis en l’absence du salarié, puisque, par hypothèse, la clé USB était un outil professionnel (cass. soc. 12 février 2013, n° 11-28649 FSPB) .
Réseaux sociaux et liberté d’expression
Le paramétrage d’un compte sur un réseau social permet de déterminer si les propos qui y sont publiés ont un caractère public. Par exemple, quand les propos en cause sont diffusés sur des comptes ouverts par un salarié sur des réseaux sociaux mais que ceux-ci ne sont accessibles qu’aux seules personnes agréées par l’intéressé, en nombre très restreint et formant ainsi une communauté d’intérêts, ils n’ont pas de caractère public. Dans ce cadre, le salarié concerné ne peut pas être condamné pour injures publiques (cass. civ., 1 re ch., 10 avril 2013, n° 11-19530 FSPBI) . Il convient toutefois de garder en mémoire que des injures non publiques peuvent également donner lieu à des poursuites judiciaires (c. pén. art. R. 621-2) .
Preuves
Preuve par un courriel - L’employeur peut s’appuyer sur un courriel du salarié pour, par exemple, établir sa faute, à condition de l’avoir obtenu de façon licite et loyale (c. proc. civ. art. 9) . Tel n’est pas le cas quand il s’appuie sur un courriel que le salarié avait identifié comme personnel puisque, dans cette hypothèse, il y a violation du secret des correspondances. Le licenciement fondé sur la teneur d’un tel courriel est, en conséquence, sans cause réelle et sérieuse. L’employeur peut toutefois se prévaloir du contenu d’un courriel qui a été porté à sa connaissance par son destinataire (cass. soc. 2 juin 2004, n° 03-45269, BC V n° 152) .
Autre condition à l’utilisation d’un courriel comme moyen de preuve : l’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité (c. civ. art. 1316-1) . En pratique, il appartient donc à l’employeur de produire aussi tous les éléments permettant d’établir que le salarié en cause est bien l’auteur du courriel incriminé (notamment : historique du ou des envois incriminés et attestations) (cass. soc. 2 juin 2004, n° 03-45269, BC V n° 152) .
Des courriels qui ne sont pas identifiés comme étant personnels mais dont le contenu est privé (ex. : la correspondance amoureuse du salarié) ne peuvent pas être produits dans leur intégralité par l’employeur devant les juges afin de prouver, en l’espèce, la volonté de l’intéressé de démissionner ou la réalité de ses horaires de travail (cass. soc. 18 octobre 2011, n° 10-25706 D) .
Preuve via un fichier informatique - Si l’employeur entend s’appuyer sur des fichiers professionnels présents sur l’ordinateur d’un salarié pour établir sa faute (cass. soc. 18 octobre 2006, n° 04-47400, BC V n° 308) , les conditions générales de licéité de la preuve évoquées ci-dessus doivent aussi être respectées :
- l’employeur doit s’être procuré ces fichiers par un moyen licite et loyal ;
- le salarié en cause doit être identifié comme étant la personne qui a créé ces fichiers (cass. soc. 2 octobre 2001, n° 99-42942, BC V n° 291 ; cass. soc. 17 mai 2005, n° 03-40017, BC V n° 165) .
Quand l’ouverture de fichiers professionnels permet la découverte de courriers eux-mêmes professionnels, ceux-ci ne revêtent pas un caractère privé et peuvent donc être retenus pour engager une procédure disciplinaire (cass. soc. 15 décembre 2009, n° 07-44264, BC V n° 284) .
À l’inverse, si l’employeur peut toujours consulter les fichiers qui n’ont pas été identifiés comme personnels par le salarié (voir ci-avant) , il ne peut pas les utiliser pour le sanctionner s’ils s’avèrent relever de sa vie privée (cass. soc. 5 juillet 2011, n° 10-17284 D) .
Sylvain2- Messages : 937
Age : 49
Date d'inscription : 15/01/2010 -
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum