[Doctrine] Atelier Droit du travail et Nouvelles technologies (Partenariat ADIJ - Commissions ouvertes du Barreau de Paris) : Actualité sur la cybersurveillance

En vertu du lien de subordination unissant l'employeur et le salarié, et, en particulier, du pouvoir de direction de l'employeur qui en découle, ce dernier bénéficie d'un pouvoir de contrôle de l'activité de ses salariés. Ce pouvoir de surveillance doit être mis en perspective avec deux évolutions majeures.

La première évolution est celle de l'entreprise et du travail. En effet, la surveillance, à l'heure du travail immatériel dans une société de l'information et de la communication, ne peut plus être traitée de la même manière que lorsqu'il appartenait au contremaître de s'assurer que le travail des ouvriers était effectué correctement. Aujourd'hui "le salarié n'est plus sous les ordres de quelqu'un. Il est surveillé par la machine, à la limite par lui-même, par tous et par personne" (1). La cybersurveillance donne donc à l'employeur une puissance théorique de contrôle (2) bien supérieure à celle qu'il était susceptible d'exercer auparavant. En effet, la cybersurveillance recouvre deux types de contrôles :

- "Cybersurveiller", c'est contrôler l'activité du salarié grâce et par le biais des nouvelles technologies de l'information et de la communication. Sont, ici, visés le développement des procédés de vidéosurveillance, de contrôle d'accès à l'entreprise, en particulier par des procédés de biométrie, et de géo-localisation.

- Mais "cybersurveiller", c'est, également, contrôler l'outil de travail, ainsi que ces conditions d'utilisation. Il s'agit alors pour l'employeur de contrôler l'utilisation que fait le salarié du téléphone (autocommutateurs, systèmes d'écoutes téléphoniques) et, surtout, de l'outil informatique (utilisation d'internet, courriers électroniques, fichiers informatiques...)

La seconde évolution est celle des droits et libertés individuelles, qui se sont progressivement affirmés et enrichis, de sorte qu'aujourd'hui, la vie privée du salarié est protégée au sein même de l'entreprise. Avec la numérisation de l'information, se développe un important risque d'accès indu à cette information que l'entreprise cherche à minimiser. A cette fin, elle met en place des dispositifs de surveillance des systèmes informatiques, dispositifs qui sont susceptibles de porter atteinte aux libertés individuelles de ses salariés. La CNIL, notamment, à travers son rapport relatif à la cybersurveillance sur les lieux de travail des 5 février 2002 et 18 décembre 2003 (mis à jour en mars 2004), a influé grandement sur le législateur et les juges, qui élaborent donc progressivement un régime de la cybersurveillance, avec pour ligne directrice la nécessaire conciliation des risques en termes de sécurité de l'accès à l'information et de la protection de la vie privée des salariés.

I. Le régime légal de la cybersurveillance

A. Les règles procédurales encadrant la cybersurveillance : le principe de transparence

Il s'agit de s'assurer que le contrôle que va exercer l'employeur ne se fait pas à l'insu des salariés.

- Obligation de l'employeur vis-à-vis des représentants du personnel : consultation préalable du CE

L'employeur a l'obligation d'informer le comité d'entreprise avant de mettre en oeuvre des traitements automatisés de gestion du personnel et sur toute modification de ceux-ci (C. trav., art. L. 432-2-1, al.2 N° Lexbase : L6403AC7).

En vertu de l'article L. 432-2, alinéa1er, du Code du travail (N° Lexbase : L6402AC4), le comité d'entreprise doit, également, être consulté préalablement à tout projet important d'introduction de nouvelles technologies, lorsqu'elles sont susceptibles d'avoir des conséquences sur l'emploi, la qualification, la rémunération, la formation ou les conditions de travail du personnel.

Enfin, il doit l'informer et le consulter "préalablement à la décision de mise en oeuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des employés"" (C. trav., art. L. 432-2-1).

Le comité d'entreprise peut, donc, via ces procédures, "donner son avis sur la pertinence et sur la proportionnalité entre les moyens techniques utilisés et le but recherché par l'entreprise". (Circ. DRT, 15 mars 1993 N° Lexbase : L2670HDA).

- Obligation de l'employeur vis-à-vis des salariés : information préalable du salarié

Cette obligation est posée par l'article L. 121-8 du Code du travail (N° Lexbase : L5450ACT), qui dispose "qu'aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n'a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi". Cette obligation découle plus largement de l'obligation de loyauté dans l'exécution du contrat de travail. De la même manière, la CNIL précise que les salariés doivent être informés individuellement et préalablement de la mise en place d'un dispositif de cybersurveillance.

Les salariés doivent, notamment, être informés des objectifs poursuivis par le dispositif, des destinataires des données et des modalités d'exercice de leur droit d'accès, de rectification et d'opposition.

Enfin, la Chambre sociale de la Cour de cassation considère que "si l'employeur a le droit de contrôler et de surveiller l'activité de son personnel durant le temps de travail, il ne peut mettre en oeuvre un dispositif de contrôle qui n'a pas été porté préalablement à la connaissance des salariés" (3) et précise qu'il en va ainsi même lorsque le dispositif est matériellement visible (4).

Comment satisfaire à cette obligation d'information ?

En l'absence de précisions jurisprudentielles, cette information doit pouvoir se faire par note de service distribuée à l'ensemble du personnel, attenante à la feuille de paie, ou apparaître sur l'écran de l'ordinateur au moment de son démarrage. Le simple affichage dans l'entreprise ne semble pas, en revanche, suffire.

Nous verrons que d'autres outils, négociés ou définis unilatéralement au niveau de l'entreprise, doivent permettre de satisfaire, également, à cette obligation. Certains d'entre eux seraient même à privilégier dans la perspective d'une meilleure information des salariés.

- Obligation de déclaration à la CNIL

La loi du 6 janvier 1978 (loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés N° Lexbase : L8794AGS), modifiée par la loi du 6 août 2004 (loi n° 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel N° Lexbase : L0722GTW), impose de déclarer à la CNIL toute mesure de collecte et de traitement d'informations nominatives.

Ainsi, lorsque l'entreprise met en place des logiciels permettant de surveiller les connexions des salariés à internet ou bien lorsqu'elle organise un système d'écoutes téléphoniques, elle doit faire une déclaration à la CNIL. En revanche, la mise en place d'enregistrements de vidéosurveillance ne nécessite pas d'effectuer une telle déclaration, ces enregistrements n'étant pas considérés comme des informations nominatives. Cette déclaration peut se faire sur le site internet de la CNIL. Les entreprises ayant désigné un Correspondant Informatique et Libertés en sont dispensées.

B. La recherche d'un équilibre entre nécessité de surveillance de l'activité des salariés et respect des libertés individuelles : le principe de proportionnalité

Pour que le système de cybersurveillance mis en place dans l'entreprise soit licite, le contrôle exercé par l'employeur doit poursuivre un intérêt légitime. Par exemple : exigence de sécurité, nécessité d'éviter un usage abusif de l'informatique à des fins personnelles, surveillance d'un poste de travail dangereux...

Le dispositif de cybersurveillance envisagé doit, également, respecter le principe de proportionnalité. Ce principe trouve sa source dans l'article L. 120-2 du Code du travail (N° Lexbase : L5441ACI). L'application de la règle de proportionnalité implique un triple examen : critère de pertinence (il s'agit de se demander si le moyen choisi est bien propre à atteindre le but visé) ; critère de nécessité (ne peut-on pas atteindre le même objectif avec un moyen plus respectueux de la liberté ?) ; critère de proportionnalité (les effets de la mesure ne sont-ils pas disproportionnés par rapport au résultat escompté ?)

La proportionnalité s'apprécie par rapport aux libertés fondamentales et, notamment, au droit au respect de la vie privée. Ce droit est affirmé et protégé par l'article 9 du Code civil (N° Lexbase : L3304ABY) et par l'article 8 de la Convention européenne de sauvegarde des droits de l'Homme (N° Lexbase : L4798AQR).

Mais que recouvre réellement le droit à la vie privée au travail ?

Dans un cadre où l'utilisation des nouvelles technologies est généralisée, il devient difficile de différencier ce qui relève de la vie professionnelle et ce qui appartient à l'intimité de la vie privée du salarié.

- S'agissant des informations révélées par courrier électronique, l'arrêt "Nikon" (5) a posé comme principe que "le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l'employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur".

Deux conditions doivent être réunies pour bénéficier du droit au respect du secret des correspondances s'agissant des courriers électroniques. D'une part, on ne peut parler de correspondances qu'en présence de deux personnes identifiables. Le principe ne s'applique donc pas à la consultation de site internet. D'autre part, pour bénéficier de cette protection, les courriers électroniques doivent être clairement identifiés comme étant personnels. Certaines juridictions du fond ont déjà considéré que les messages intitulés "photos de vacances" ou "enfants" étaient des messages identifiés comme personnels.

- S'agissant des informations révélées par l'ordinateur, il convient de se demander si l'employeur est libre d'examiner le contenu de l'ordinateur du salarié. La Cour de cassation a décidé que tout document ou fichier non identifié comme personnel est présumé professionnel et peut donc être ouvert par l'employeur hors de la présence de l'intéressé.

Cette solution a été récemment appliquée dans un arrêt du 16 mai 2007 (7). Au visa des articles 8 de la Convention européenne de sauvegarde des droits de l'Homme, 9 du Code civil et L. 120-2 du Code du travail, la Cour décide que "les fichiers dont le contenu était reproché au salarié n'avaient pas été identifiés par lui comme personnels, ce dont il résultait que l'employeur pouvait en prendre connaissance sans qu'il soit présent ou appelé". La Cour de cassation réserve, toutefois, à l'employeur la possibilité de procéder à l'ouverture des fichiers personnels du salarié figurant dans le disque dur de l'ordinateur "en présence du salarié ou celui-ci dûment appelé" (8). Cette exigence est une application du principe du contradictoire.

Mais, si le salarié refuse, après convocation effective, de se présenter, l'employeur peut, alors, procéder à l'ouverture des fichiers. Pour éviter le risque d'un contentieux, l'employeur doit se ménager des preuves de cette convocation. Il est, également, souhaitable de se faire accompagner par des témoins qui ne relèvent pas de la direction. Pour paralyser toute contestation, l'employeur peut aussi solliciter du juge des requêtes une mesure d'instruction préventive, en application de l'article 145 du NCPC (N° Lexbase : L2260AD3). La Cour de cassation a récemment admis que l'employeur puisse demander au juge qu'il désigne un huissier aux fins d'accéder au contenu de l'ordinateur mis à la disposition du salarié, y compris à ses courriers personnels (9). Toutefois, pour être recevable, l'employeur doit justifier de motifs légitimes et la mesure être nécessaire à la protection de ses droits.

C. Sanctions encourues par l'employeur en cas de non-respect du régime légal de la cybersurveillance

- Sanctions pénales : délit d'entrave en cas de non-consultation du comité d'entreprise, délit d'atteinte à la vie privée, sanction très lourde en cas de non-respect des formalités de déclaration à la CNIL, puisque l'employeur s'expose à une peine d'emprisonnement de 5 ans et d'une amende de 300 000 euros (C. pén., art. 226-16 N° Lexbase : L4476GTX).

- Sanction civile : l'employeur peut être condamné au paiement de dommages-intérêts en fonction du préjudice subi par le salarié.

- Illicéité de la preuve : risque, dans l'hypothèse où une sanction a été prise par l'employeur sur la base d'agissements fautifs du salarié établis grâce au procédé de cybersurveillance, que la preuve soit considérée comme illicite devant les juridictions civiles et soit écartée des débats.

Ainsi, l'employeur ne peut prendre connaissance des messages personnels d'un salarié et la preuve issue d'une telle intrusion dans la vie privée de l'employé est illicite.

II. La recherche d'un équilibre dans l'utilisation des différents dispositifs de cybersurveillance

A. Contrôle de l'outil de travail et de ses conditions d'utilisation

S'agissant des contrôles de l'utilisation des outils informatiques, tels que le contrôle de l'usage d'internet, le contrôle des courriers électroniques et des fichiers informatiques, l'employeur peut y procéder s'il respecte les conditions d'information, de consultation et de déclaration énoncées précédemment. Le critère qui va déterminer si l'employeur peut, ou non, accéder aux informations dont le support est informatique est celui de l'identification du courriel ou du fichier informatique comme étant "personnel".

En toute hypothèse :

- L'utilisation de la messagerie et d'internet par le salarié doit rester raisonnable : elle ne doit pas porter atteinte au bon fonctionnement de l'entreprise. Ainsi, la Chambre sociale de la Cour de cassation approuve la cour d'appel de Paris, à propos de fichiers informatiques qui n'avaient pas été identifiés par le salarié comme étant personnel, d'avoir "retenu que le stockage, la structuration, le nombre conséquent de ces fichiers et le temps dès lors consacré à eux par le salarié attestaient d'une méconnaissance, par lui, de son obligation d'exécuter les fonctions lui incombant en utilisant le matériel dont il était doté pour l'accomplissement de ses tâches, et a pu en déduire que ce comportement empêchait son maintien dans l'entreprise pendant la durée du préavis et constituait une faute grave, peu important une absence, sur un tel point, de mise en garde, de charte informatique ou de règlement intérieur" (10).

- L'entreprise conserve le droit, sous réserve du respect des obligations précédemment énoncées, d'exercer un contrôle global sur l'activité des salariés en installant un dispositif de filtrage afin d'interdire l'accès à certains sites, évaluation des flux de messages entrants et sortants, ouverture de fichiers professionnels...

- L'utilisation que fait le salarié de sa messagerie doit être licite. Cela pose le problème de la tenue, par le salarié dans ses courriels, de propos injurieux, diffamatoires, racistes ou antisémites. La Cour de cassation a jugé, à cet égard, que le fait pour un salarié d'utiliser la messagerie électronique de l'entreprise pour émettre, dans des conditions permettant d'identifier l'employeur, un message électronique contenant des propos antisémites est, nécessairement, constitutif d'une faute grave rendant impossible le maintien du salarié dans l'entreprise (11).

Concernant le contrôle de l'utilisation des téléphones fixes et portables sur les lieux de travail, la CNIL a défini une procédure de déclaration simplifiée pour le traitement des données relatives à l'utilisation des téléphones fixes et portables sur les lieux de travail. Cette déclaration simplifiée s'applique aux traitements mis en oeuvre pour gérer la dotation en matériel téléphonique et la maintenance du parc téléphonique, pour gérer l'annuaire téléphonique interne, pour gérer techniquement la messagerie interne de l'entreprise, gérer le remboursement des services téléphoniques utilisés à titre privé par les employés, et pour maîtriser les dépenses liées à l'utilisation des services de téléphonie.

Sont, en revanche, exclus, tous les traitements incluant la mise en place d'un dispositif permettant l'écoute ou l'enregistrement d'une communication, ou la localisation d'un salarié à partir de l'usage de son téléphone mobile. Dans ce cadre, peuvent seules être collectées et traitées les données liées à l'identité de l'utilisateur du service de téléphonie, sa situation professionnelle et l'utilisation faite des services de téléphonie (numéro appelé, service utilisé, opérateur appelé, durée, date et heure de l'appel).

L'écoute et l'enregistrement des conversations téléphoniques sur le lieu de travail sont a priori interdits. Ils constituent même un délit pénal, compte-tenu des risques d'atteinte à la vie privée des salariés. Toutefois, une écoute ou un enregistrement ponctuels des conversations téléphoniques sont possibles dans des cas limités et pouvant être justifiés et selon des modalités strictement encadrées : elles ne peuvent être réalisées qu'en cas de nécessité reconnue et doivent être proportionnées aux objectifs poursuivis. Ainsi, il est possible de procéder à des enregistrements de conversations téléphoniques dans un but de formation et de contrôle.

En toute hypothèse, l'employeur devra, dans un souci de transparence, respecter les prescriptions relatives à l'information des salariés. C'est à cette seule condition que la preuve issue d'enregistrements de conversations téléphoniques sera licite.

Les fichiers de journalisation permettent, quant à eux, d'identifier et d'enregistrer toutes les connexions et tentatives de connexion à un système automatisé d'information dans le but de garantir une utilisation normale des ressources des systèmes d'information. Ils n'ont pas, en principe, à faire l'objet d'une déclaration à la CNIL, excepté lorsqu'est mis en place un logiciel d'analyse des différents journaux, permettant de collecter des informations individuelles poste par poste, destiné à contrôler l'activité des utilisateurs.

B. Contrôle de l'activité des salariés

- Contrôle des salariés par vidéosurveillance

S'agissant de l'installation d'un système de vidéosurveillance, une condition supplémentaire vient s'ajouter à celles précédemment évoquées. En effet, la loi n° 95-73 du 21 janvier 1995, d'orientation et de programmation relative à la sécurité, dite "Loi Pasqua" (N° Lexbase : L8331AIE), prévoit, en son article 10, que l'installation d'un système de vidéosurveillance dans un lieu ouvert au public exposé à des risques particuliers d'agression ou de vol est subordonnée à une autorisation préfectorale. Il s'agira, tout particulièrement, des centres commerciaux, des stations-service, des banques et des bijouteries.

Les demandes d'autorisation sont soumises à une commission départementale composée de cinq membres : un magistrat, un membre du tribunal administratif, un maire, un représentant de la Chambre de commerce et d'industrie et une personne qualifiée choisie par le préfet. La durée de conservation des enregistrements est fixée par l'autorisation, dans la limite d'un mois. Le silence gardé pendant 2 mois vaut décision de rejet. Lorsqu'elle est donnée, l'autorisation est valable pour 5 ans (12).

De façon générale, la mise en place du système de vidéosurveillance ne doit pas avoir pour seul but le contrôle de l'activité des salariés et les enregistrements effectués à l'insu du salarié ne constituent pas un mode de preuve licite. Toutefois, l'employeur peut mettre en place des procédés de surveillance sans en informer au préalable le comité d'entreprise et les salariés dans les locaux où les salariés ne travaillent pas. Ainsi, est licite la preuve issue d'un système de vidéosurveillance installé par l'employeur dans un entrepôt de marchandises (13) ou dans des locaux auxquels les salariés n'ont pas accès (14).

Le décret n° 2007-916 du 15 mai 2007 a créé une Commission nationale de la vidéosurveillance (N° Lexbase : L5527HXY). Cette commission a un rôle d'avis, d'orientation et de contrôle concernant le développement de la vidéosurveillance. A l'heure où le nombre de caméras sur la voie publique va être considérablement augmenté, cette commission devra être garante des libertés : liberté individuelle, droit à l'intimité de la vie privée, droit à l'image, droit à l'oubli, transparence.

- Contrôle des salariés par biométrie

Le juge judiciaire est très réticent à admettre le contrôle des salariés par biométrie : ce mode de contrôle ne peut se justifier que par une finalité sécuritaire ou protectrice de l'activité exercée dans les locaux identifiés. Opérant un contrôle de proportionnalité sévère, le TGI de Paris décide que l'utilisation d'empreintes digitales afin d'assurer un contrôle du temps de travail met en cause le corps humain et porte atteinte aux libertés individuelles (15).

La position de la CNIL a évolué. Elle s'est prononcée de manière défavorable à l'égard de la mise en place de systèmes de contrôle du temps de travail par reconnaissance d'empreintes digitales ou de l'iris de l'oeil, en l'absence d'impératifs sécuritaires incontestables (16). En revanche, la CNIL a autorisé la mise en place de dispositifs d'accès à des locaux reposant sur la reconnaissance du contour de la main (17). Le critère retenu par la CNIL pour autoriser un tel dispositif réside dans le fait que ce type de biométrie (contour de la main) ne laisse pas de traces permettant l'identification des personnes.

Dans une communication du 28 décembre 2007 (18), la CNIL a précisé les principaux critères sur lesquels elle se fonde pour autoriser ou refuser le recours à des dispositifs reposant sur la reconnaissance des empreintes digitales avec stockage sur un terminal de lecture-comparaison ou sur un serveur.

Les dispositifs, qui doivent être fondés "sur un fort impératif de sécurité", doivent satisfaire aux quatre exigences suivantes :

- la finalité du dispositif doit être limitée au contrôle de l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme, tel que la protection de l'intégrité physique des personnes, de celle des biens et des installations ou encore de celles de certaines informations ;

- le système doit être proportionné à la finalité préalablement définie eu égard aux risques qu'il comporte en matière de protection des données à caractère personnel ;

- le dispositif doit permettre à la fois une authentification et/ou une identification fiable des personnes comportant toutes garanties de sécurité pour éviter la divulgation de données ;

- l'information des personnes concernées doit être réalisée dans le respect de la loi Informatique et Libertés, et, le cas échéant, du Code du travail.

- Géo-localisation des véhicules des salariés

Les systèmes de GPS permettent aujourd'hui un contrôle permanent des véhicules fournis aux salariés. De tels dispositifs peuvent être installés à des fins de gestion d'activité (transport, livraison...) mais, aussi, pour contrôler l'activité des salariés (analyse des déplacements, parcours, horaires...). Une déclaration doit être faite à la CNIL qui se charge de vérifier le respect des principes relatifs à la protection des données personnelles. De manière générale, l'utilisation de ces procédés de géo-localisation doit se faire dans le strict respect du principe de proportionnalité.

- Contrôle des salariés par la mise en place de dispositifs d'alerte éthique

De plus en plus d'entreprises conçoivent et adoptent des "chartes éthique" qui parfois mettent en place des systèmes d'alerte éthique. Ces systèmes concernent des initiatives des salariés dans le cadre de la lutte contre la corruption et, de façon plus générale, contre la délinquance dans l'entreprise. Les salariés sont libres de dénoncer, ou non, des actes répréhensibles dont ils auraient connaissance. Les systèmes d'alerte sont encadrés par la loi et placés sous la surveillance des juges.

La CNIL a admis un régime simplifié de déclaration de ces systèmes, en vue de permettre aux entreprises cotées en bourse aux Etats-Unis de respecter les dispositions de la loi dite "Sarbanes-Oxley" (c'est uniquement pour les traitements mis en oeuvre dans les domaines comptable et de l'audit). Lorsque le système d'alerte dépasse ces domaines, il y a lieu de respecter les dispositions de la loi du 6 janvier 1978. Les dispositions du Code du travail relatives à l'information des salariés et à la consultation du CE doivent évidemment être respectées.

Actualité sur les dispositifs d'alerte éthique : TGI Nanterre, 19 octobre 2007, Fédération des travailleurs de la Métallurgie CGT / Dassault Systèmes (19)

La société a mis en place une charte éthique, intitulée "Code of Business Conduct", qui comprend un dispositif d'alerte s'appliquant non seulement à tout manquement sérieux en matière comptable, financière ou de lutte contre la corruption, "mais, également, en cas de manquement grave aux autres principes décrits par ledit code lorsqu'est mis en jeu l'intérêt vital du groupe DS ou l'intégrité physique ou morale d'une personne (notamment en cas d'atteinte aux droits de propriété intellectuelle, de divulgation d'informations strictement confidentielles, de conflit d'intérêt, de délit d'initié, de discrimination, de harcèlement moral ou sexuel)".

Le tribunal a recherché si le dispositif instauré était contraire aux dispositions de la loi du 6 janvier 1978. Il décide, alors, que "la notion de manquements graves aux principes décrits dans le Code of Business Conduct', lorsqu'est mis en jeu l'intérêt vital du groupe DS ou l'intégrité physique ou morale d'une personne apparaît trop vaste ; que la mise en place par un employeur d'un dispositif destiné à organiser auprès de ses employés le recueil de données personnelles concernant les faits contraires aux règles de l'entreprise ou à la loi imputables à leurs collègues de travail doit rester très limitée dans la mesure où elle pourrait dégénérer en système organisé de délation professionnelle, qu'en effet un tel dispositif est susceptible d'encourager les dénonciations calomnieuses et de porter atteinte gravement aux salariés visés par des alertes en les stigmatisant ; qu'à cet égard, il sera relevé que la protection des droits de propriété intellectuelle, de la confidentialité, des intérêts de l'entreprise et du marché boursier, des victimes de discrimination ainsi que de harcèlement moral ou sexuel peut être assuré par d'autres moyens qu'un dispositif d'alerte, que, dès lors, l'extension du dispositif d'alerte à de tels faits apparaît disproportionné aux objectifs poursuivis [...]".

C. Le rôle des administrateurs informatiques

Les administrateurs de réseaux ont pour rôle de veiller à ce que le système fonctionne normalement et à la sécurité des réseaux. Ils sont donc naturellement amenés à accéder à l'ensemble des informations sur les utilisateurs (messageries, connexions à internet...). Ils ont généralement les moyens de prendre le contrôle du poste en lieu et place de l'utilisateur. Ils sont tenus au secret professionnel et sont soumis à une obligation de discrétion professionnelle. Toutefois, il convient de rappeler cette obligation de confidentialité dans le contrat de l'administrateur.

La CNIL précise donc "qu'aucune exploitation à des fins autres que celles liées au bon fonctionnement et à la sécurité des applications des informations, dont les administrateurs de réseaux peuvent avoir connaissance dans l'exercice de leurs fonctions, ne saurait être opérée, d'initiative ou sur ordre hiérarchique". En toute hypothèse, les conditions d'intervention des administrateurs de réseaux doivent être portées à la connaissance des employés au titre de l'obligation de transparence.

D. L'utilisation des TIC par les instances représentatives du personnel et les syndicats

Depuis la loi du 4 mai 2004 (loi n° 2004-391 du 4 mai 2004, relative à la formation professionnelle tout au long de la vie et au dialogue social N° Lexbase : L1877DY8), les organisations syndicales peuvent accéder à l'intranet et à la messagerie de l'entreprise à condition d'avoir préalablement négocié et conclu un accord d'entreprise. La finalité du traitement, fixée par l'accord d'entreprise, doit être strictement respectée.

Les employés doivent pouvoir exercer leur droit d'opposition à l'envoi de tout message syndical sur leur messagerie professionnelle. Les salariés doivent donc être informés préalablement de l'accord conclu et des modalités d'exercice de leur droit d'opposition. Ils doivent pouvoir exercer ce droit à tout moment, et, à ce titre, ce droit doit leur être rappelé dans chaque message. La CNIL préconise que l'intitulé de ces messages fasse clairement apparaître leur nature syndicale. Les échanges entre les employés et les organisations syndicales étant confidentiels, la CNIL considère que l'employeur ne doit pas pouvoir exercer de contrôle sur les listes de diffusion ainsi constituées.

III. Les outils permettant d'encadrer conventionnellement la cybersurveillance : règlement intérieur, charte informatique et code de conduite, accord collectif de travail

A. Encadrer la cybersurveillance par le règlement intérieur

Le contenu du règlement intérieur est strictement défini par la loi. Ainsi, il ressort de l'article L. 122-34 du Code du travail (N° Lexbase : L5547ACG) que "le règlement intérieur est un document écrit par lequel l'employeur fixe exclusivement :

- les mesures d'application de la réglementation en matière d'hygiène et de sécurité dans l'entreprise ou l'établissement, et notamment les instructions prévues à l'article L. 230-3 (N° Lexbase : L5947ACA) ; ces instructions précisent, en particulier lorsque la nature des risques le justifie, les conditions d'utilisation des équipements de travail, des équipements de protection individuelle, des substances et préparations dangereuses ; elles doivent être adaptées à la nature des tâches à accomplir ;

- les conditions dans lesquelles les salariés peuvent être appelés à participer, à la demande de l'employeur, au rétablissement de conditions de travail protectrices de la sécurité et de la santé des salariés dès lors qu'elles apparaîtraient compromises ;

- les règles générales et permanentes relatives à la discipline, et, notamment, la nature et l'échelle des sanctions que peut prendre l'employeur.

Il énonce, également, les dispositions relatives aux droits de la défense des salariés, tels qu'ils résultent de l'article L. 122-41 (N° Lexbase : L5579ACM) ou, le cas échéant, de la convention collective applicable.

Il rappelle les dispositions relatives à l'abus d'autorité en matière sexuelle, telles qu'elles résultent notamment des articles L. 122-46 (N° Lexbase : L5584ACS) et L. 122-47 (N° Lexbase : L5585ACT) du présent code.

Il rappelle également les dispositions relatives à l'interdiction de toute pratique de harcèlement moral".

Il s'agit donc de se demander si l'employeur peut insérer dans le règlement intérieur les normes qu'il aurait définies afin d'encadrer la cybersurveillance. Il semble bien que l'encadrement de la cybersurveillance touche à la fois aux conditions d'utilisation des équipements de travail et à la problématique de la sécurité au travail. En outre, la cybersurveillance concourt au respect des règles générales de discipline dans l'entreprise.

Le règlement intérieur peut donc contenir des dispositions relatives à la cybersurveillance dans l'entreprise. Il convient de rappeler que les dispositifs qu'il va prévoir et/ou encadrer doivent respecter le principe de proportionnalité. On peut, ainsi, y trouver des clauses relatives au contrôle électronique, à l'utilisation non professionnelle des PC, de l'internet, de l'intranet et de la messagerie électronique de l'entreprise, à la confidentialité des données de l'entreprise.

Cet outil est-il réellement efficace ? Quels intérêts présente-t-il ?

Le règlement intérieur présente l'avantage d'être un acte unilatéral laissant, ainsi, à l'entreprise la complète initiative en matière d'élaboration des normes. L'avis des représentants du personnel est requis sans que, toutefois, leur accord soit nécessaire. De plus, une fois qu'il a donné lieu à information des représentants du personnel et de l'inspecteur du travail ainsi qu'aux formalités de dépôt et de publicité, il s'impose automatiquement et est pleinement opposable aux salariés, sans avoir à rechercher si ce dernier y a souscrit lors de son engagement.

L'employeur est, ainsi, admis à sanctionner le salarié en cas de non-respect des dispositions du règlement intérieur concernant la cybersurveillance, sous réserve, toutefois, que les dispositifs de contrôle élaborés par le règlement intérieur aient bien fait l'objet d'une déclaration auprès de la CNIL. Le règlement intérieur constitue donc un outil approprié à la mise en place d'un certain nombre de règles relatives à la cybersurveillance dans l'entreprise. Toutefois, il demeure un outil incomplet. En effet, il ne permet pas de brasser l'ensemble de la réglementation de l'entreprise en matière de TIC et, plus particulièrement, de cybersurveillance.

B. La charte informatique : un outil spécifique à la gestion des TIC

Pour éviter les litiges, l'employeur peut fixer dans un document les conditions d'usage des outils informatiques dans l'entreprise. Ce document permet de fixer les règles internes de déontologie et de sécurité relatives à l'utilisation de l'informatique et des réseaux. Il permet, également, de répondre à l'exigence légale d'information, dès lors que le document a été porté à la connaissance des salariés et de leurs représentants.

La charte doit répondre aux objectifs suivants : assurer l'information des salariés utilisateurs de l'outil informatique (mesures de contrôle notamment) ; sensibiliser les salariés aux exigences de sécurité ; attirer leur attention sur les comportements de nature à porter atteinte à l'intérêt de l'entreprise.

Selon la CNIL, qui recommande la rédaction de telles "chartes" ou "codes de conduite", pour être efficaces, ces documents doivent présenter des vertus pédagogiques et ne pas se limiter au cumul de prohibitions de toutes sortes.

- Nature de la charte : note de service ou annexe au règlement intérieur ?

Le choix du support doit être guidé par le principe de proportionnalité. Ce choix est très important dans la mesure où il va déterminer la valeur juridique, donc le degré d'opposabilité du document aux salariés. La charte peut, ainsi, revêtir la forme d'une simple note de service ou, au contraire, être adjointe au règlement intérieur. Quel que soit le support choisi, et bien qu'elle n'ait pas la nature ni la valeur d'un accord collectif de travail, la charte doit être le fruit d'une concertation préalable entre l'employeur et les salariés de l'entreprise ou leurs représentants. C'est à cette condition uniquement qu'elle pourra déployer ses vertus pédagogiques.

- Etapes de mise en place de la charte d'utilisation des outils informatiques

- Consultation des représentants du personnel : consultés à trois titres : art. L. 432-2 (N° Lexbase : L6402AC4), art. L. 432-2, alinéa 3, consultation du CHSCT (cf. avis de la CNIL "les incidences d'une surveillance électronique sur la vie du salarié dans l'entreprise, sur l'idée qu'il se fait de la confiance qu'on lui accorde et sur l'estime de soi pourraient conduire à conférer une responsabilité particulière en ce domaine, au CHSCT afin que ces questions puissent être évoquées périodiquement" (20) ;

- Information préalable du personnel ;

- Formalités de dépôt ;

- Déclaration auprès de la CNIL.

- Contenu de la charte

Les contraintes mises en place par la charte et les intérêts protégés par cette dernière doivent se balancer pour respecter le principe de proportionnalité.

La charte devra comprendre, outre les moyens mis en place par l'employeur pour contrôler l'activité des salariés (traçabilité, contrôle d'accès, utilisation de certificats électroniques, processus d'horodatage, statut de l'administrateur réseau...), les infractions répréhensibles comme telles avec les sanctions correspondantes, ainsi que les moyens de preuves. Cependant, la charte ne pourra prévoir tous les cas d'infractions au règlement. Aussi doit-elle laisser une marge de manoeuvre à l'employeur, pour adapter les sanctions conformément aux stipulations de la charte et au règlement intérieur de l'entreprise.

Les principales clauses que l'on trouve dans une charte informatique sont les suivantes : utilisation des outils informatiques de la société (mot de passe, accès au réseau, existence d'un correspondant CNIL, rappel que les outils informatiques sont avant tout destinés à un usage professionnel) ; utilisation de la messagerie professionnelle ; utilisation des fichiers informatiques ; utilisation d'internet ; utilisation des logiciels ; procédure d'alerte ; contrôle et sauvegarde de données.

- L'efficacité de la charte

Le non-respect des dispositions de la charte autorise l'employeur à sanctionner le salarié en cause. Toutefois, les juges exigent que l'employeur rapporte la preuve que les salariés ont effectivement eu connaissance du contenu de la charte. Pour satisfaire à cette obligation, l'employeur peut envoyer la charte par courrier électronique ou par intranet, ce moyen ayant été reconnu comme un moyen de communication dans l'entreprise. Quelles sanctions l'employeur peut-il prendre à l'encontre du salarié qui contreviendrait aux dispositions de la charte ?

Un récent arrêt de la cour d'appel de Lyon nous offre un exemple de licenciement pour faute fondé sur le non-respect des dispositions d'une charte informatique (21). La cour décide, ainsi, que constitue une faute et justifie un licenciement, le fait pour un salarié d'avoir téléchargé des logiciels extra professionnels à caractère pornographique sur son ordinateur professionnel, alors que cela était prohibé par la charte informatique signée par le salarié et que ce dernier avait précédemment fait l'objet d'un blâme pour les mêmes faits. En l'espèce, le salarié a été engagé en qualité de médecin par la croix rouge française, il a été promu chef de service et a été licencié pour non-respect des principes de base de la charte informatique de la croix rouge française en téléchargeant des logiciels prohibés. La charte prévoyait, en effet, la possibilité pour l'employeur d'effectuer des contrôles et vérifications réguliers des outils informatiques ; la maintenance et le contrôle de ces outils qui ont été confiés à une société extérieure qui a établi que le salarié naviguait couramment sur des sites pornographiques et qu'un lien était possible entre la consultation de ces sites extra professionnels et un incident informatique survenu. Il s'ensuit que le salarié n'a pas respecté la charte signée par lui-même et a, ainsi, commis une faute, constituant une récidive de celle lui ayant valu un blâme précédemment, qui justifie son licenciement pour une cause réelle et sérieuse.

C. Négocier la cybersurveillance dans l'entreprise

La négociation des outils d'encadrement conventionnel de la cybersurveillance avec les syndicats représentatifs présente l'avantage de placer le salarié au coeur même du processus de définition des droits et devoirs en matière de cybersurveillance : il va, ainsi, pouvoir s'approprier les objectifs et les enjeux de ces questions.

Pour être efficace, cette négociation doit, nécessairement, avoir un caractère préalable à toute mise en place de système de cybersurveillance et collectif. Employeur et organisations syndicales vont, ainsi, rechercher un accord, non pas sur le principe du contrôle des salariés et de l'utilisation qu'ils font de l'outil informatique, mais sur les modalités et finalités de ce contrôle.

Dans la mesure où la cybersurveillance des salariés influe sur l'organisation du travail et touche aux libertés individuelles des salariés, il s'agit de privilégier une logique de sécurité et de prévention plutôt qu'une logique de sanction.

---

(1) Gérard Lyon-Caen, Les libertés publiques et l'emploi, Rapport pour le ministre du Travail, de l'Emploi et de la Formation professionnelle, décembre 1991, La Documentation Française.
(2) Jean-Emmanuel Ray, Organiser la Cybersurveillance, Les Cahiers du DRH, n° 115, novembre 2005.
(3) Cass. soc., 22 mai 1995, n° 93-44.078, Société Manulev service c/ M. Salingue, (N° Lexbase : A4033AAM), Bull. civ. V, n° 164.
(4) Cass. soc., 15 mai 2001, n° 99-42.937, Mme Claude Aymard c/ Cabinet Regimbeau (N° Lexbase : A4308ATQ), Bull. civ. V, n° 168.
(5) Cass. soc., 2 octobre 2001, n° 99-42.942, Société Nikon France c/ M. Frédéric Onof (N° Lexbase : A1200AWD), voir, notamment, J.-E. Ray, Courrier privé et courriel personnel, Dr. Soc., novembre 2001, p. 915.
(6) Cass. soc., 18 octobre 2006, n° 04-48.025, M. Jérémy Le Fur, F-P+B (N° Lexbase : A9621DRR), JCP éd. S, 2006, 1946, note J.-Y. Frouin.
(7) Cass. soc., 16 mai 2007, n° 05-43.455, M. Patrick Eve, F-D (N° Lexbase : A2484DWW).
(8) Cass. soc., 17 mai 2005, n° 03-40.017, M. Philippe Klajer c/ Société Cathnet-Science, FS-P+B+R+I (N° Lexbase : A2997DIT).
(9) Cass. soc., 23 mai 2007, n° 05-17.818, Société Datacep c/ M. Lionel Hansart, FS-P+B+R+I (N° Lexbase : A3963DWP), v., notamment, Stéphane Beal et Anna Ferreira, Accès aux messages électroniques personnels du salarié, JCP éd. S, 2007, 1537.
(10) Cass. soc., 16 mai 2007, n° 05-43.455, préc..
(11) Cass. soc., 2 juin 2004, n° 03-45.269, M. Marc X... c/ Société Spot image SA (N° Lexbase : A5260DCS).
(12) Décret n° 96-926 du 17 octobre 1996, JO 20 octobre 1996 ; circulaire du 22 octobre 1996 (N° Lexbase : L7964HG3), relative à l'application de l'article 10 de la loi n° 95-73 du 21 janvier 1995, d'orientation et de programmation relative à la sécurité (décret sur la vidéosurveillance), JO 7 décembre 1996, p. 17835.
(13) Cass. soc., 31 janvier 2001, n° 98-44.290, M. Alaimo c/ Société Italexpress (N° Lexbase : A2317AIN), Bull. civ. V. n° 28.
(14) Cass. soc., 19 avril 2005, n° 02-46.295, M. Patrick Lembert c/ Société Immodef, F-P+B (N° Lexbase : A9552DHA), Bull. civ. V. n° 141.
(15) TGI Paris, 1ère ch., sect. soc., 19 avril 2005, n° 05-003.82.
(16) Délib. CNIL n° 04-018, 8 avril 2004.
(17) Délib. CNIL n° 2005-169, 2005-185 et 2005-186, 5 juillet 2005.
(18) Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données du 28 décembre 2007, JCP éd. G, n° 2, 9 janvier 2008, act. 29.
(19) Ph. Waquet, Règlement Intérieur, charte d'éthique et système d'alerte A propos du jugement du 19 octobre 2007 du TGI de Nanterre, Semaine Sociale Lamy, 12 novembre 2007 n° 1328.
(20) La cybersurveillance sur les lieux de travail, Rapp. CNIL 5 février 2002, mise à jour 18 décembre 2003.
(21) CA Lyon, 26 janvier 2007.

© Reproduction interdite, sauf autorisation écrite préalable