La loi " informatique et libertés " du 6 janvier 1978 prévoit que tout traitement automatisé d’informations nominatives fait l’objet d’une déclaration préalable. De sorte que la mise en place d’un dispositif permettant le traitement de données de connexion avec l’identification des émetteurs et des destinataires doit généralement faire l’objet d’une déclaration auprès de la Commission.

Il convient, au demeurant, de garder à l’esprit que le fait de procéder ou de faire procéder à des traitements automatisés d’informations nominatives sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi du 6 janvier 1978 est puni de trois ans d’emprisonnement et de 45.000 euros d’amende.

Ø Informations et consultations des institutions représentatives

Le Code du travail prévoit, enfin :

- une information et une consultation des institutions représentatives du personnel " sur les moyens ou les techniques permettant un contrôle de l’activité des salariés " (article L. 432-2-1 du Code du travail),

- une information et une consultation du Comité d’Entreprise " préalablement à tout projet important d’introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d’avoir des conséquences sur l’emploi, la qualification, la rémunération, la formation ou les conditions de travail du personnel " … (article L. 432-2 du Code du travail).

- ainsi q’un contrôle a posteriori, concernant, de manière plus générale, les " atteintes aux libertés individuelles " (article L. 422-1-1 du Code du travail)

L’employeur qui ne satisfait pas à ces obligations s’expose non seulement à des poursuites pénales pour délit d’entrave, mais, le cas échéant, à l’impossibilité de pouvoir utiliser les fichiers obtenus par le dispositif de contrôle en tant qu’élément de preuve.

Une fois effectuées ces déclarations, informations et consultations préalables, l’employeur n’est pas pour autant tiré d’affaire.

Il doit se limiter à la production d’éléments dont il se trouve légalement en possession et qui, de plus, ne soient pas susceptibles d’être qualifiés de " correspondance " pouvant être couverte par le secret.

La licéité des moyens de preuve : La distinction entre les données techniques et le contenu des messages

La pertinence et l’efficacité des moyens de preuve utilisés dépendent, bien entendu, des faits que l’employeur entend prouver.

Par exemple, il souhaite démontrer qu’un salarié abuse de la liberté qui lui est laissée d’utiliser l’outil informatique à titre personnel, la production des fichiers " logs " peut être tout à fait pertinente, sans qu’il soit nécessaire de prendre connaissance des sites Internet visités ou du contenu des messages échangés.

Toujours à titre d’exemple, lorsqu’il s’agit de démontrer l’exercice d’une activité concurrente, la seule production en justice des données de connexion s’avère insuffisante. Il est, en ce cas, nécessaire d’éclairer la juridiction prud’homale saisie sur le contenu des informations échangées entre le salarié et les tiers.

Dans son étude adoptée le 2 juillet 1998, le Conseil d’Etat distingue très clairement les données personnelles transmises par voie de courrier électronique, constituant des correspondances au sens de la loi du 10 juillet 1991 des " fichiers logs " qui contiennent :

- les identifiants des machines (ip) de l’émetteur du message et du destinataire,

- les adresses auxquelles sont associées la date et l’heure de la connexion,

- ainsi que diverses informations techniques caractérisant le type d’usage.

Le Conseil d’Etat considère que les fichiers " logs " constituent " un gisement de données indirectement nominatives ", sans toutefois considérer qu’il convient de leur accorder la même protection que les messages eux-mêmes, assimilés à de la " correspondance ".

Dans son second rapport en date du 5 février 2002 sur " la cybersurveillance sur les lieux de travail ", la CNIL a recherché un équilibre entre les questions de sécurité, soulignées par les entreprises, et les questions de liberté et d’intimité de la vie privée, soulignées notamment par les organisations syndicales.

La CNIL, de la même manière que le Conseil d’Etat, distingue les données de connexion du contenu des messages électroniques qui, seul, est susceptible, dans certains cas, de constituer une " correspondance " (privée) au sens de la loi de 1991 et de la jurisprudence récente de la Cour de Cassation.

Recommandations pour la production de preuves numériques devant les juridictions prud’homales

L’employeur s’expose, on l’a bien compris, à ce que les éléments de preuve qu’il produit pour démontrer l’existence d’un grief justifiant une mesure disciplinaire ou un licenciement soient écartés par la juridiction prud’homale saisie (et, le cas échéant, par l’autorité administrative, s’il s’agit d’un salarié protégé) même s’il a pris le soin d’effectuer l’ensemble des déclarations et consultations préalables.

Afin de limiter ce risque, nous proposons, ci-après, une série de mesures ou de précautions à prendre :

La preuve des faits juridiques étant libre en matière prud’homale, les parties ont la liberté de choisir les procédés de preuve.

De sorte que l’employeur et le salarié peuvent convenir expressément, dans le cadre d’un acte écrit, qu’un fichier numérique réunissant certaines conditions puisse être utilisé comme mode de preuve de la transmission et de la conservation d’informations entre le salarié et des collègues, des supérieurs hiérarchiques ou des tiers à l’entreprise.

Cette convention peut être insérée, par exemple, dans le cadre d’une " charte d’utilisation ", parmi d’autres dispositions.

La force obligatoire de cette clause, comme des autres clauses de la charte, dépend de son mode d’élaboration et d’acceptation par des salariés.

Pour que cette convention ne soit pas contestable, la meilleure solution consiste soit à la négocier dans le cadre d’un accord collectif, soit - notamment dans les PME - à la soumettre à la signature de chaque salarié concerné.

Lorsque la charte d’utilisation des outils et réseaux informatiques est établie lors de la mise en place de nouvelles technologies et notamment de la mise en place d’un réseau intranet, son texte doit, selon nous, être préalablement porté à la connaissance du Comité d’Entreprise :

- si le projet est " important ", en application de l’article L. 432-2 du Code du travail,

- et, en toute hypothèse, sur le fondement de l’article L. 432-2-1, alinéa 3 du Code du travail, dès lors qu’il permet " un contrôle de l’activité des salariés ".

Si ces conditions sont réunies, la convention sur la preuve contenue dans la charte lie les parties de telle manière que le salarié ne peut, à priori, demander, en cas de contentieux, que les fichiers numériques ne puissent être pris en considération pour prouver des faits qui lui sont reprochés.

Cette méthode comporte toutefois des limites : on ne peut, en effet, déroger par des conventions particulières notamment, " aux lois qui intéressent l’ordre public ".

Il s’ensuit que la convention sur la preuve qui tendrait, notamment, à passer outre le secret des correspondances, protégé, notamment, par l’article 1 de la loi du 10 juillet 1991 sur les télécommunications, par les articles 432-9, alinéa 2 et 226-15 du Code pénal et par l’article 9 du Code civil, serait entachée de nullité absolue (sans toutefois que cette nullité puisse nuire à la validité des autres clauses, sauf stipulation en ce sens).

Aussi, convient-il, pour éviter que la convention sur la preuve ne puisse être déclarée nulle, d’exclure dans son champ d’application les correspondances privées telles que définies par la Cour de Cassation, à savoir les messages électroniques ayant un objet exclusivement personnel.

Le doute profitant au salarié en cas de contentieux prud’homal, que ce soit dans le cadre d’une procédure disciplinaire ou d’une procédure de licenciement pour cause réelle et sérieuse, l’employeur doit, même si la charge de la preuve ne repose théoriquement pas sur lui, fournir un effort important pour convaincre les juridictions prud’homales de la force probante des éléments produits.

Cet effort doit être augmenté lorsque sont produits, pour l’essentiel, des fichiers numériques censés établir, selon l’employeur, une faute du salarié. L’entreprise doit non seulement justifier de la pertinence des éléments de preuve produits, mais encore de leur fiabilité.

C’est, en effet, un reproche essentiel fait à la preuve numérique des faits, dès lors que, compte tenu de sa nature, il paraît possible de la " manipuler ".

Certains auteurs, s’ils rappellent le défaut de la preuve numérique à cet égard, indiquent toutefois que " la possibilité de falsifier un moyen de preuve soumis au juge n’est pas spécifique à l’e-mail. Cela constitue une caractéristique commune à tous les modes de preuve, autres que l’écrit parfait, que sont les lettres missives, les livres de commerce et autres écrits non signés, les copies, les témoignages, l’aveu ou le serment " en indiquant, au demeurant, que le soupçon de falsification est largement réduit, s’agissant des " e-mails " par la possibilité de produire des " e-mails concordants " envoyés et reçus par le salarié.

Quoi qu’il en soit, pour justifier de la fiabilité des fichiers numériques produits dans le cadre d’un contentieux, il nous paraît opportun de produire, avec le fichier, les données de connexion, de nature à justifier de la réalité, de la date et des données techniques relatives à l’échange des données entre deux ordinateurs.

Cette production jointe des données de connexion peut, au demeurant, être prévue dans le cadre de la convention sur la preuve précédemment évoquée.

S’agissant, en particulier, des messages électroniques échangés via l’Internet au moyen de logiciels de messagerie tels que " Outlook " ou " Outlook Express ", il est possible, en outre, d’éditer et d’imprimer les propriétés du message, lesquels contiennent des données techniques, dont la date, l’heure, l’ip des ordinateurs connectés, les réseaux par lesquels les données ont transité, ainsi qu’un numéro unique d’identification du message.

Le code peut être joint à l’impression du message électronique, afin de permettre un contrôle, notamment auprès des fournisseurs d’accès.

Toujours afin de renforcer la fiabilité de l’élément de preuve produit, il convient d’utiliser des logiciels de messagerie qui permettent une impression du message avec son en-tête (expéditeur, date et heure de l’émission, destinataire et objet du message), étant rappelé que si le contenu du message électronique peut être copié pour être édité dans un logiciel de traitement de texte, le message reçu ou envoyé ne peut pas, généralement, une fois stocké, être modifié.

Bien entendu, l’utilisation d’un système de certification et de signature numérique serait de nature à augmenter notablement la fiabilité de la preuve produite.

Mais sa mise en œuvre demeure, à ce jour, assez délicate, compte tenu notamment d’une interopérabilité assez réduite.

La CNIL rappelle que les fichiers de journalisation des connexions qui permettent d’identifier et d’enregistrer toutes les connexions ou tentatives de connexion à un système automatisé d’informations constituent une mesure de sécurité conforme à l’article 27 de la loi du 16 janvier 1978.

Mais si la collecte autorisée d’informations individuelles, poste par poste, notamment au moyen de la mise en œuvre d’un logiciel d’analyse des différents journaux de connexion permet de " fiabiliser " les preuves numériques dont l’employeur compte se prévaloir, il convient de rappeler que leur durée de conservation ne doit pas être excessive.

La CNIL considère qu’une durée de conservation de l’ordre de six mois ne paraît pas excessive au regard de la finalité de ces fichiers.

La conséquence pratique en est la suivante : lorsque les fichiers " logs " sont de nature à démontrer, par exemple, un usage abusif de la navigation sur le web, l’employeur doit agir dans les meilleurs délais, ne serait-ce que par un avertissement, dès lors qu’il ne pourra légalement produire en justice des fichiers de journalisation conservés bien au-delà de la période légale de conservation, puisque au-delà de la période de conservation, les fichiers sont censés être détruits …

Il nous paraît possible, pour éviter cette difficulté, de faire constater, par huissier, l’usage abusif ou interdit de l’accès aux réseaux informatiques ou des outils informatiques (sans autorisation judiciaire préalable), de sorte que ces constatations ainsi que les éditions des journaux de connexion, jointes au procès-verbal de constat pourront être conservées au-delà de la durée de conservation " normale ", dès lors que cette conservation sera considérée, en ce cas précis, comme justifiée et proportionnée à sa finalité, qui est d’établir des agissements fautifs d’un salarié nommément désigné.

Il convient, tout d’abord, de garder à l’esprit que, selon l’arrêt NIKON, le droit au respect de l’intimité de la vie privée du salarié " implique en particulier le secret des correspondances " et que " l’employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçu par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur ". Si l’employeur ne peut " prendre connaissance ", il peut encore moins produire en justice.

L’employeur peut, certes, se fonder utilement sur le rapport de la CNIL du 5 février 2002, dans le cadre duquel elle a considéré - en venant, en quelque sorte, limiter la portée de l’arrêt NIKON - que les messages électroniques ne peuvent être considérés comme personnels que s’ils contiennent " une indication manifeste dans l’objet du message ou dans le nom du répertoire et serait archivée ".

Il demeure que cette recommandation est susceptible, dans certains cas, de permettre aux salariés de protéger une activité illicite en indiquant un objet fantaisiste dans les messages électroniques ou en les stockant dans un répertoire intitulé " personnel " ou " confidentiel et personnel " …

Bien qu’il ne s’agisse pas d’une panacée, il n’est pas inutile, ne serait-ce qu’à titre pédagogique, de rappeler, dans la charte d’utilisation des outils et réseaux informatiques, que les outils informatiques et l’accès aux réseaux sont mis à leur disposition des salariés à titre professionnel, dans le but d’exercer leurs fonctions dans les meilleures conditions, en réservant un usage raisonnable de ces outils dans le strict cadre des nécessités de leur vie privée.

Rien ne nous paraît interdire, par ailleurs, que l’usage privé raisonnable de l’outil et des réseaux informatiques s’effectue dans des limites très précises.

Il est possible, par exemple, s’agissant de la navigation sur le word wide web, de mettre en place une " liste blanche " comportant un certain nombre sites autorisés, en interdisant l’accès aux autres sites.

S’agissant des échanges de messages électroniques, rien n’interdit, à notre avis, de limiter l’accès à l’Internet aux salariés pour lesquels cet accès est justifié par leurs fonctions, en réservant, le cas échéant, aux autres salariés le seul accès à l’intranet. L’accès aux réseaux informatiques ne constitue pas un droit. Il s’agit simplement d’un outil mis à la disposition des salariés dans le cadre de l’exécution de leur contrat de travail.

Il est également possible de prévoir, notamment dans le cadre d’une charte d’utilisation des accès aux réseaux informatiques, d’interdire d’utiliser le système de " copie cachée " afin de connaître les destinataires des messages électroniques transmis.

Il est également possible d’interdire aux salariés de faire suivre (forward) vers des tiers à l’entreprise les messages échangés sur le réseau intranet afin, notamment, de garantir la confidentialité des informations circulant dans l’entreprise.

Il est également possible, pour des raisons de sécurité, de prévoir une interdiction de consulter sur le lieu de travail les comptes de messagerie de type " webmail " (yahoo.fr, msn.fr, hotmail.fr …).

Ø Faire désigner un huissier

Lorsque l’employeur, un supérieur hiérarchique ou le " responsable informatique " découvre des messages émis ou reçus par un salarié et révélant une faute, il doit, tout d’abord, s’interroger sur la nature du fichier avant d’agir.

Non seulement la notion de " message personnel " ou de " correspondance privée " n’est pas encore clairement déterminée, mais encore les administrateurs réseau ou système sont, ainsi que le rappelle la CNIL, dans son rapport du 5 février 2002, tenus déontologiquement au secret.

Selon la CNIL, les administrateurs réseau et système sont " tenus au secret professionnel " et ne peuvent pas divulguer des informations ni être " contraints de le faire, sauf dispositions législatives particulières en ce sens ", ce qui laisse entendre qu’ils ne sont pas même en mesure de faire état à leur hiérarchie d’informations confidentielles sur les salariés dont ils pourraient avoir connaissance à l’occasion d’interventions ou de contrôles pour des raisons de sécurité.

La transmission d’informations sur les salariés à la hiérarchie ne paraît ni clairement interdite, ni autorisée

Quoi qu’il en soit, lorsque ces informations sont portées à la connaissance de l’employeur, il n’y a, à notre connaissance, qu’une seule solution : obtenir, le plus rapidement possible, une autorisation judiciaire, afin de voir désigner, sur requête (afin de ne pas alerter le salarié fautif) un huissier de justice qui procédera - à distance, par le réseau Internet ou, le cas échéant, sur l’ordinateur du salarié, notamment en l’absence de réseau intranet - en effectuant des impressions des fichiers litigieux, qui seront joints au procès-verbal de constat.

Mais, il convient d’agir extrêmement vite en ce cas, afin de ne pas se voir reprocher par le Conseil de Prud’hommes un délai trop important entre les faits et leur constatation, rendant moins probantes les constatations effectuées, sauf à prendre le maximum de précautions, en fournissant notamment des données techniques de nature à fiabiliser les éléments constatés.

En pratique, la saisie pure et simple du disque dur nous paraît une mesure excessive.

Elle est, en effet, de nature à priver le salarié de son outil de travail, circonstance qu’il pourra invoquer par la suite, pour stigmatiser l’attitude de l’employeur.

La meilleure méthode consiste, selon nous, à faire autoriser l’huissier à effectuer des copies des fichiers ou répertoires litigieux sur le support le plus fiable et le plus durable possible (par exemple sur un CD non réinscriptible), support qui pourra être joint en original au procès-verbal établi par l’Officier Ministériel.

Il pourra être utile, également, de faire missionner l’huissier afin qu’il procède, pendant ses constatations, à l’impression sur papier des fichiers numériques et notamment des messages électroniques comportant des informations dont l’employeur souhaite se prévaloir, lesquelles impressions seront jointes au procès-verbal.

***

Le droit de la preuve numérique demeure un droit en gestation, de sorte que la pratique et les expérimentations effectuées par les entreprises ne peuvent être considérées comme définitivement acquises.

Quoi qu’il en soit, l’établissement d’une charte d’utilisation des outils et réseaux informatiques nous paraît, en l’état du droit positif, éminemment souhaitable, compte tenu de la particularité de la situation de chaque entreprise à cet égard.

Les chartes d’utilisation, pour peu qu’elles soient rédigées avec soin, ont pour avantage non seulement d’être un guide à valeur pédagogique (autant pour le DRH que pour les salariés) mais également de limiter les risques liés aux multiples exigences de la loi, notamment lorsqu’il s’agit de respecter le droit à l’information et à l’intimité des salariés.

Avec l'aimable autorisation des CAHIERS du DRH (éditions LAMY)