L'utilisation à des fins personnelles par le salarié de l'ordinateur mis à sa disposition pour l'exercice de son activité professionnelle est généralement tolérée, tant par les entreprises ou administrations que par la jurisprudence. Cette utilisation ne doit pas, bien entendu, porter atteinte à la sécurité du système et/ou du réseau, ni à la productivité de l'entreprise et doit demeurer « raisonnable »[1].

Il est vivement conseillé à l'employeur d'encadrer juridiquement l'utilisation de l'ordinateur mis à la disposition des salariés, de l'Internet et de la messagerie électronique dans un acte écrit, en prévoyant des limitations précises de cette utilisation.

Les principaux risques et les mesures pouvant être mises en œuvre pour protéger les intérêts légitimes de l'entreprise

- Le risque pénal

L'employeur peut engager sa responsabilité pénale en raison de l'usage de ses outils informatiques fait par ses salariés, lorsque ceux-ci téléchargent ou diffusent des contenus illicites, tels que des fichiers à caractère pédophile, diffusent des messages à caractère violent, incitant à la haine raciale ou portant atteinte à la dignité humaine ou encore effectuent des téléchargement illégaux (musique, films, logiciels etc.).

La jurisprudence retient de manière restrictive la responsabilité pénale de l'employeur (que ce soit une personne physique ou morale) en raison du principe selon lequel une personne physique, même si elle est salariée d'une entreprise, est pénalement responsable des infractions qu'elle commet. Cependant, si l'entreprise a connaissance des agissements du salarié et ne prend aucune mesure, elle risque de se voir poursuivie pour complicité, voire recel des fichiers au contenu illicite.

Par ailleurs, pour se conformer à son obligation de protection des données à caractère personnel, l'employeur doit prendre toutes précautions utiles pour préserver la sécurité des données et notamment empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès (article 34 de la loi Informatique et Libertés du 6 janvier 1978). La violation de cette obligation est sanctionnée pénalement[2].

- Le risque civil

L'employeur peut, de manière générale, engager sa responsabilité à l'égard les tiers[3] des conséquences de l'usage de ses outils informatiques fait par ses salariés, par exemple lorsque ceux-ci mettent en ligne (par ex. sur un site web qu'ils ont créé) des éléments constitutifs de contrefaçon, d'atteinte à la vie privée ou à la réputation de tiers, ou lorsqu'un salarié introduit un virus sur le serveur de l'entreprise contaminant les systèmes des clients ou partenaires de l'entreprise.

L'employeur ne peut s'exonérer de sa responsabilité que s'il démontre que le salarié a agi en dehors de ses fonctions, sans autorisation et à des fins étrangères à ses attributions[4]. Or la jurisprudence considère que le salarié n'agit pas hors de ses fonctions dès lors qu'il agit au temps, au lieu et à l'occasion de son travail. En clair, il est très difficile pour l'employeur de s'exonérer, en pareil cas, de sa responsabilité.

- Le filtrage et la cybersurveillance

Afin d'assurer une protection des intérêts légitime de l'entreprise et de limiter le risque de voir sa responsabilité engagée, l'employeur peut notamment mettre en place des dispositifs techniques interdisant l'accès à des sites non autorisés, interdire l'utilisation de messageries instantanées, le téléchargement de logiciels, etc. Concernant la messagerie électronique, il peut mettre en place des outils pour analyser les pièces jointes ou mesurer la fréquence ou la taille des messages.

La mise en place de ces dispositifs dits de « cybersurveillance » nécessite une consultation préalable des institutions représentatives du personnel (article L. 2323-32 du code du travail) ainsi qu'une information individuelle des salariés (article L. 1222-4 du code du travail), ainsi que, en cas de contrôle individuel des salariés, une déclaration à la CNIL (voir ci-dessous).

L'utilité de la charte informatique

La charte d'utilisation des outils informatiques est pratiquement indispensable :

- pour informer précisément les salariés sur leurs droits et leurs obligations (elle doit être portée à leur connaissance de façon individuelle),

- afin d'encadrer précisément le rôle des différents responsables (DSI, RSI, administrateur réseaux, CIL, etc.),

- afin de guider l'employeur s'il est conduit à sanctionner les fautes et abus éventuels d'un salarié, tout en respectant un droit assez complexe et en préservant la confidentialité des données à caractère personnel et des libertés (Il est conseillé de l'annexer au règlement intérieur et de la notifier individuellement à chaque salarié).

La charte informatique permet, le cas échéant, de prévenir les conflits, notamment en encadrant strictement les procédures d'accès aux courriels (distinction entre les courriels personnels des courriels professionnels) et, plus généralement, aux fichiers enregistrés, émis et reçus par le salarié.

Le respect de la réglementation sur les données à caractère personnel

L'employeur doit en outre faire les déclarations nécessaires auprès de la CNIL, lorsque les dispositifs de contrôle de l'utilisation des outils informatiques impliquent des traitements automatisés de données personnelles nécessitant de telles déclarations (déclaration normale ou simplifiée). Contrairement à une idée largement répandue, ce ne sont pas les fonctionnalités principales du logiciel qu'il convient de prendre en considération, mais les traitements de données qui sont effectués, en pratique, par le logiciel. La CNIL a précisé, en effet, que. les systèmes de journalisation (proxys, caches, firewalls…) n'ont pas, en tant que tels, à faire l'objet d'une déclaration mais qu'en revanche, doit être déclarée à la CNIL la mise en œuvre d'un logiciel d'analyse des différents journaux permettant de collecter des informations individuelles poste par poste, destiné à contrôler l'activité des salarié.[5]

Il faut savoir que l'employeur est exonéré de son obligation de déclaration des traitements courants lorsqu'il a désigné un Correspondant Informatique et Libertés (CIL). Le CIL, qui peut être un salarié de l'entreprise ou une personne extérieure, joue un rôle de conseil et de suivi de la gestion des données à caractère personnel. La fonction de CIL suppose d'avoir certaines compétences juridiques et en informatique.

Les derniers développements de la jurisprudence

A la suite de l'arrêt NIKON, la jurisprudence a évolué vers un rééquilibrage entre vie privée du salarié et pouvoir de contrôle de l'employeur. Il a tout d'abord été décidé dans l'arrêt CATHNET SCIENCE que l'employeur pouvait accéder aux fichiers identifiés par le salarié comme personnels à condition que le salarié soit présent ou qu'il ait été « dûment appelé »[6], ou hors sa présence en cas de « risque ou événement particulier ».

Le « risque ou événement particulier » n'étant pas défini par la jurisprudence, il est possible de prévoir des cas de « risques ou événements particuliers » dans la charte informatique. Mais le juge apprécie la portée de ces dispositions en cas de litige.

La cour de cassation a ensuite décidé que les fichiers créés par un salarié sur son ordinateur professionnel étaient « présumés avoir un caractère professionnel, sauf si le salarié les identifie comme personnels »[7]. L'employeur peut donc théoriquement y accéder même si le salarié est absent. Mais en pratique, cet accès hors la présence du salarié est fortement déconseillé, car le salarié pourrait se prévaloir de cet accès en son absence devant le juge pour prétendre que ses fichiers personnels auraient été consultés et/ou que son système aurait été modifié, ce qui risque de priver de toute force probante une constatation ultérieure, par exemple par huissier.

Vie privée du salarié et expertise préventive

La cour de cassation a, ensuite,[8] posé la règle selon laquelle l'employeur peut demander au juge de désigner un huissier pour qu'il accède (en l'absence du salarié et sans même que celui-ci soit convoqué) aux fichiers non expressément identifiés comme personnels, dès lors qu'il existe « un motif légitime » pour rassembler des preuves. La haute juridiction estime en effet que « le respect de la vie personnelle du salarié ne constitue pas en lui-même un obstacle à l'application de l'article 145 du code de procédure civile », dès lors qu'il existe un motif légitime. Il faut savoir qu'en l'état du droit même lorsque l'huissier a été désigné en justice, il est préférable de convoquer le salarié, dès lors qu'il n'y a pas de « risque ou événement particulier ». Mais en pratique, la désignation d'un huissier en justice pour effectuer des constatations, de préférence à un constat effectué par un huissier non désigné, présente surtout un intérêt en cas, précisément, de « risque ou événement particulier ».

En pratique, il convient de recourir à cette procédure après avoir convoqué le salarié et lorsque celui-ci persiste dans son refus de rejoindre son poste. La demande doit être faite avant tout procès et le motif légitime doit être démontré. Il est alors conseillé de faire désigner un huissier le plus rapidement possible et d'organiser ensuite les opérations de constat à une date et heure précise après avoir requis, le cas échéant, la présence du salarié.

Les connexions Internet sont présumées avoir un caractère professionnel

Dans une affaire ayant donné lieu à un arrêt du 9 juillet 2008[9], un salarié avait été licencié pour faute grave après un contrôle de son employeur effectué en son absence et ayant révélé que le salarié passait de 5 à 7 heures par jour sur des sites web sans rapport avec son activité professionnelle, pendant son temps de travail (messagerie privée, sites de rencontres etc.).

La cour de cassation a précisé que les connexions du salarié à des sites Internet pendant son temps de travail étaient présumées avoir un caractère professionnel, de sorte que l'employeur peut les rechercher aux fins de les identifier, hors de sa présence. En d'autres termes, l'employeur peut consulter l'historique de navigation d'un salarié, même en son absence, et vérifier ainsi que le salarié a fait une utilisation conforme et raisonnable d'Internet.

Mais ce contrôle, comme tout autre dispositif de cybersurveillance, devra avoir fait l'objet d'une consultation préalable des institutions représentatives du personnel et d'une information préalable et individuelle des salariés, en application du principe de loyauté. Il est conseillé d'insérer une mention dans la charte informatique sur la possibilité d'effectuer un tel contrôle.

Il convient par ailleurs de garder à l'esprit que le contrôle de l'historique de navigation d'un salarié s'effectuant grâce à des relevés nominatifs de connexion doit donner lieu à déclaration (déclaration normale et non simplifiée) auprès de la CNIL.

Pouvoir de contrôle de l'employeur et droit d'alerte

Très récemment, la cour de cassation a eu l'occasion de préciser l'articulation entre le droit d'alerte des délégués du personnel et les conditions de consultation par l'employeur des messageries électroniques des salariés.

Rappelons que les délégués du personnel disposent d'un droit d'alerte lorsqu'ils constatent une atteinte injustifiée aux libertés individuelles dans l'entreprise (article L. 2313-2 du code du travail). Ils peuvent alors saisir l'employeur et, en cas de carence ou de désaccord avec celui-ci, ils peuvent saisir le conseil de prud'hommes qui peut ordonner toute mesure en vue de faire cesser cette atteinte.

Dans cette affaire, la direction de la société avait reçu des courriers anonymes indiquant que leur auteur avait eu accès à des courriers confidentiels de l'entreprise. Elle avait alors demandé à son administrateur réseaux de contrôler les ordinateurs de 17 salariés susceptibles d'être l'auteur des courriers anonymes, afin de rechercher son identité.

Les délégués du personnel ont exercé leur droit d'alerte. La cour d'appel a ordonné à l'employeur d'organiser avec ceux-ci une enquête sur les conditions dans lesquelles les messageries électroniques avaient été consultées.

En effet, il était impossible de savoir si des messages identifiés comme personnels par les salariés concernés avaient été ou non ouverts par l'employeur (et pas seulement par l'administrateur réseaux dans le cadre de sa mission).

La cour de cassation, rappelant d'abord les dispositions relatives au droit d'alerte, puis les règles dégagées dans l'arrêt CATHNET sur les conditions d'accès par l'employeur aux emails identifiés comme personnels, a confirmé la position de la cour d'appel en retenant que l'enquête ordonnée par cette dernière permettrait simplement « tant à l'employeur qu'aux représentants du personnel d'être éclairés sur la réalité de l'atteinte portée aux droits des personnes et aux libertés individuelles dans l'entreprise et d'envisager éventuellement les solutions à mettre en œuvre pour y mettre fin »[10].

Les délégués du personnel peuvent donc légitimement exercer leur droit d'alerte et demander au juge qu'il ordonne une enquête lorsqu'ils estiment que l'employeur n'a pas respecté les règles posées par la jurisprudence concernant l'ouverture des emails personnels.

Avec la collaboration de Maître Tuyet-Thi NGUYEN, avocate du Cabinet VIRTUALEGIS