Avec les multiples "alertes au virus", la sécurité informatique passe nécessairement par un contrôle plus ou moins étroit de l'utilisation de la messagerie. Les mesures se multiplient : conservation des données de trafic et de connexion, contrôle des expéditeurs de fichiers mails, des destinataires, du poids et de la propriété des pièces jointes. Cela va dans certains cas jusqu'à un filtrage des e-mails entrants ou sortants en fonction des objets et/ou mots du texte ou, ponctuellement, jusqu'à la prise de connaissance du code source et, par conséquent, du texte du message.

Surveillance de la messagerie électronique : les obligations légales

L'employeur a le droit de contrôler et de surveiller l'activité de ses salariés pendant le temps de travail. Il peut donc contrôler leur utilisation de la messagerie électronique. Mais il doit, en tout premier lieu, lorsqu'il envisage de mettre en place un système de contrôle, informer préalablement les salariés concernés (article L. 121-8 du Code du travail).

La CNIL (Commission Nationale de l'Informatique et des Libertés) recommande aux entreprises d'engager une négociation entre les employeurs et les salariés en cas de mise en place d'un système permettant le traçage des e-mails. En outre, elle souhaite que les mesures prises soient clairement exposées aux salariés ainsi, le cas échéant, qu'aux représentants du personnel.

Information et consultation

Le Code du travail prévoit une information et une consultation des institutions représentatives du personnel "sur les moyens ou les techniques permettant un contrôle de l'activité des salariés" (articles L. 432-2-1) ainsi qu'un contrôle a posteriori, concernant, de manière plus générale, les "atteintes aux libertés individuelles" (article L. 422-1-1).

La loi du 6 janvier 1978 ("informatique et libertés") impose, par ailleurs, que tout traitement automatique de données personnelles soit déclaré à la CNIL. Aussi, un système permettant le traitement des données de connexion avec l'identification des émetteurs et des destinataires de messages électroniques doit-il en général faire l'objet d'une déclaration.

Enfin, et en tout cas, le contrôle doit être "justifié par la nature des tâches" et "proportionné au but recherché". En d'autres termes, les entreprises ne doivent pas contrôler et conserver plus de données qu'elles en ont besoin pour assurer la sécurité du système et l'intégrité des données. Si dans certains secteurs (sociétés de bourse, par exemple), la conservation systématique de toutes le données de connexion (fichiers "logs") se justifie par l'obligation légale d'horodater les ordres et d'en conserver longtemps des traces, cette mesure ne se justifie pas dans tous les secteurs d'activité.

La délicate question de la lecture des courriels "personnels"

Dans son étude sur "internet et les réseaux numériques" du 2 juillet 1998, le Conseil d'Etat indiquait que la loi du 10 juillet 1991 relative au secret des correspondances émises par voie de télécommunication devait s'appliquer aux messages électroniques "sous réserve qu'ils aient un caractère privé".

Plus récemment (arrêt NIKON du 2 octobre 2001), la Cour de cassation a affirmé, au sujet des messages électroniques envoyés et reçus par les salariés à partir de l'ordinateur mis à leur disposition sur leur lieu de travail, que l'employeur ne peut en "prendre connaissance" si ces messages ont un caractère "personnel".

Bien séparer connexions et contenus

Il s'ensuit que le contrôle systématique du traffic, des données de connexion et des propriétés techniques des fichiers envoyés et reçus et de leurs pièces jointes ne présente a priori pas de difficulté dès lors que le système de contrôle a donné lieu aux formalités d'information et de déclaration, mais qu'en revanche, le contrôle systématique ou ponctuel de la source des messages transmis nécessite l'accord exprès des salariés, puisqu'elle contient le corps du message, lequel peut avoir un objet "personnel".

Les fonctionnalités des logiciels de contrôle devront, par conséquent, être soigneusement examinées sous l'angle juridique, pour apprécier, au cas par cas, si le contrôle technique opéré est proportionné au but poursuivi (disponibilité et intégrité des systèmes et des données).

Des procédures à connaître

Si l'employeur considère que l'usage privé, par un salarié, de la messagerie électronique est abusif, il peut s'appuyer sur des données d'ordre quantitatif ou la méconnaissance d'une procédure obligatoire (interdiction de télécharger des pièces jointes à un message émanant d'un correspondant inconnu, copie carbone systématique au supérieur hiérarchique, etc...).

En revanche, si l'administrateur réseau ou l'informaticien chargé d'assurer la maintenance vient à prendre connaissance de messages "personnels" dans le cadre d'un contrôle ou d'une intervention, le contenu de ces messages ne peut pas être utilisé à l'appui d'une sanction disciplinaire. Si des faits graves sont révélés à cette occasion et que des sanctions immédiates s'imposent (par exemple, en cas d'activité concurrente de la part du salarié), l'employeur peut obtenir du juge, dans le cadre d'une procédure sur requête (procédure rapide non contradictoire) la désignation d'un huissier pour qu'il constate la présence et le contenu des fichiers litigieux.

Article publié sur INDEXEL

Mise à jour à suivre.