03
 
 
  LE CABINET
 
02
02
02
 
LES SERVICES
 
02
02
02
02
02
 
LES BULLETINS 02
01
 
02
02
02
02
02
02
02
02
02
02
 
 
 
02
02
02
02
02
Le Droit de l'Entreprise

DROIT DE L'INTERNET
L'utilisation des TIC sur le lieu de travail : synthèse
Publié le 07/02/2003
Partager sur FacebookPartager sur LinkedinPartager sur Viadeo separateur version imprimable 

Selon un sondage effectué auprès des français par Ipsos Media pour Le Nouvel Hebdo, " le Net est avant tout une vaste source d'information (38 %), un moyen de communication et d'échanges (30 %) et (...) un outil permettant de travailler chez soi (17 %) " (http://www.01net.com/rdn?oid=175502&rub=2798).

Si, selon le même sondage, un français sur deux ne perçoit pas l'intérêt de l'Internet et surtout de s'équiper chez soi, d'autres consultations font ressortir que ceux qui sont connectés et qui utilisent le réseau quotidiennement sur leur lieu de travail ou à leur domicile deviennent assez rapidement des inconditionnels.

Pour peu qu'un effort de formation soit accompli par les uns et les autres, que l'employeur et les salariés se mettent d'accord sur les limites de l'usage qui en est fait dans les murs de l'entreprise, l'Internet améliorera notablement la recherche, le traitement et la communication de l'information, et ce dans tous les secteurs d'activité.

L'Internet est désormais dans les entreprises. Selon une enquête de BNP-Paribas LeaseGroup, 80% des PME disposeraient d'une connexion Internet (http://www.net-iris.com/watch/press/index.php3?document=3641).
Pour certaines entreprises, dont les salariés se bornent à l'usage de la messagerie, il ne que s'agit d'un " fax amélioré ", plus rapide, moins coûteux et moins dépendant de la disponibilité des lignes téléphoniques du destinataire.

Pour les ingénieurs, les juristes, les journalistes et les experts de tous les secteurs d'activité, c'est l'accès à une gigantesque source d'information et de documentation, qui se structure au fil du temps.

Pour quelques entreprises du secteur de l'informatique, des réseaux et des télécommunications, c'est déjà le moyen de constituer une entreprise en réseau ou " entreprise virtuelle ", pratiquement dépourvue d'existence physique.
Quoiqu'il en soit, l'utilisation d'Internet par les salariés conduit, sur le plan du droit, à une profonde remise en cause des règles régissant les relations de travail, dont l'ampleur et la nature n'ont pas encore été complètement mesurés.
 
Un contrôle nécessaire de l'usage des réseaux informatiques.

Le directeur informatique d'une société de streaming confronté quotidiennement aux questions de sécurité indique : " les courriers privés, surtout s'ils contiennent des pièces attachées, sont potentiellement porteurs des virus. C'est au responsable informatique d'assurer la sécurité du réseau et d'empêcher les actes dangereux " (http://www.indexel.net/doc.jsp?id=786).
L'utilisation de l'Internet est, rappelons-le, de nature à causer de multiples préjudices à l'entreprise.

A titre exemple :
- utilisation de la bande passante du réseau de l'entreprise, ralentissant notablement les connexions (http://www.indexel.net/doc.jsp?id=786) (transmission d'images numériques " pesant " plusieurs centaines de Koctets, voire plusieurs Megaoctets ; téléchargement de fichiers sonores au format MP3 ; téléchargement de fichiers video au format avi ou mpeg),
- augmentation très sensible du risque de contamination du système informatique par virus, vers et autres chevaux de Troie (pour citer les plus connus et plus dévastateurs : I Love You et, plus récemment Sircam, Badtrans),
- augmentation, plus généralement, des risques d'atteinte à l'intégrité, à la disponibilité des systèmes et des données,
- augmentation des risques d'atteinte à la confidentialité des informations (par ex. message électronique comportant des informations devant être tenues secrètes et transféré par une erreur de manipulation à un partenaire commercial),
- dans certains cas, baisse de la productivité du travail, en raison du temps passé à échanger des messages personnels et/ou surfer sur le world wide web.
L'outil informatique connecté au réseau est aussi un moyen tout à fait discret et efficace pour travailler pour son propre compte ou pour le compte d'une entreprise directement concurrente.

C'est la raison pour laquelle les entreprises ont été amenées à redéfinir leur politique de sécurité, et à :
- modifier la configuration matérielle et logicielle des systèmes et des réseaux, en y installant notamment des système de protection plus efficaces, avec un contrôle plus strict des transmissions de données entrant et sortant du réseau intranet de l'entreprise,
- insister, auprès des salariés sur les précautions à prendre pour éviter notamment la contamination virale ou le blocage de leur matériel et/ou du système,
- instaurer, dans certains cas, des procédures destinées à renforcer le contrôle sur l'utilisation du réseau par les salariés.
Mais lorsqu'ils ont envisagé de contrôler les sites visités ou les messages envoyés ou reçus par les salariés, les employeurs ont été rapidement confrontés à de sérieuses difficultés juridiques (http://www.indexel.net/bin/doc/1316).
 
1.- L'échange d'e-mails personnels et/ou privés

Les salariés qui disposent, sur leur poste de travail, d'un matériel informatique équipé d'un logiciel de navigation, d'un logiciel de messagerie et d'un modem ont très vite compris l'intérêt que pouvait avoir l'accès à l'Internet, sur le plan professionnel, mais aussi sur d'autres plans.
Après avoir adressé des messages à leurs collègues, collaborateurs ou supérieurs, après avoir effectué des recherches documentaires sur les sites gouvernementaux et les sites professionnels utiles dans le cadre de l'exercice de leurs fonctions, les salariés ont bientôt émis et reçus des e-mails personnels, avec parfois certains excès que les employeurs - et parfois les juridictions judiciaires - ont été amenés à condamner.
Tel, par exemple, ce salarié espagnol, licencié, à juste titre selon le Tribunal Supérieur de Justice de Catalogne, pour avoir " envoyé en un mois et demi, près de 140 messages humoristiques, sex(iste)s et même obscènes à un total de 298 récepteurs, constitués en grande partie par des collègues de travail, mais aussi à son adresse électronique personnelle " (http://www.droit-technologie.org/fr/1_2.asp?actu_id=376).

En Belgique, le Tribunal du travail de Bruxelles a condamné, le 2 mai 2000, un responsable du système informatique à payer la somme de 20.000 francs belges à son employeur, sans toutefois considérer que la faute était suffisamment grave pour le justifier une autre sanction, pour avoir échangé un "très grand nombre" (plusieurs centaines par semaine) de messages comportant des " pensées libertines " avec une collègue de travail, cette fois ci par la messagerie interne. Le Tribunal a rappelé que le contenu des messages relevait de la vie privée des salariés et qu'ainsi l'employeur ne pouvait s'en prévaloir, en se référant à l'article 8 de la Convention européenne des droits de l'homme (http://www.droit-technologie.org/fr/1_2.asp?actu_id=348).

Le 2 novembre 2000, le Tribunal correctionnel de Paris a considéré, pour condamner trois cadres de l'ESCPI (Ecole Supérieure de Chimie) pour violation du secret des correspondances, que les messages électroniques pouvaient être qualifiés de " correspondance privée " au sens de la législation française relative aux télécommunications (http://www.net-iris.com/watch/press/?date=03-11-2000). Tout en aménageant les peines (sursis), la Cour d'appel de Paris, 11e chambre, a confirmé, le 17 décembre 2001, l'analyse des premiers juges, en considérant que le délit de violation de correspondance, au sens de l'article 432-9 du Code Pénal, était constitué (http://www.forumInternet.org/documents/jurisprudence/lire.phtml?id=240).

Le premier rapport de la CNIL

Au mois de mars 2001, La Commission Nationale Informatique et Libertés, tout en indiquant que les messages électroniques entrant ou sortant de l'entreprise pouvaient présenter " une dangerosité réelle ", notamment pour celle-ci, a notamment rappelé les trois limites principales au pouvoir de direction de l'entreprise en matière de contrôle et de surveillance des salariés : la transparence, par la consultation des représentants des salariés et l'information des salariés intéressés, la proportionnalité des mesures de surveillance par rapport au but poursuivi, et la discussion entre l'employeur et les salariés ou ses représentants (http://www.cnil.fr/frame.htm?http://www.cnil.fr/thematic/surveillance.htm).

L'arrêt NIKON

Le 2 octobre 2001, la Cour de cassation a rendu un arrêt décisif qui n'est pas de nature à faciliter la tâche des administrateurs réseau et des responsables des services informatiques.
La Cour de cassation affirme solennellement que " le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ", pour aussitôt après assimiler, sans nuances, les messages électroniques aux dites " correspondances ", présumées privées.

La haute juridiction a affirmé, en conséquence " que l'employeur ne peut, dès lors sans violation de cette liberté fondamentale, prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail " (http://www.courdecassation.fr/agenda/default.htm).

Les principes ainsi affirmés ne sont pas nouveaux. Mais leur application à l'utilisation de la messagerie électronique par les salariés dans l'entreprise est au centre d'une polémique qui risque de durer, compte tenu de la difficulté de concilier les exigences de la sécurité informatique et de la protection des fichiers personnels - voir les recommandations de la CNIL à ce sujet - et ceux du respect des libertés fondamentales des salariés sur le lieu de travail (P. ALIX, Le contrôle de l'utilisation de la messagerie électronique par les salariés après l'arrêt Nikon, in Les Cahiers du DRH, ed. Lamy, novembre 2001).

Le second rapport de la CNIL

Le 5 février 2002, la CNIL a signé un second rapport sur la délicate question de la " la cybersurveillance sur les lieux de travail ".

Dans ce second rapport, la CNIL a visiblement recherché un équilibre entre les questions de sécurité, soulignées par les entreprises, et les questions de liberté et d'intimité de la vie privée, soulignées par les salariés.

S'agissant de l'utilisation de la messagerie électronique, la CNIL préconise " l'usage raisonnable dans le cadre des nécessités de la vie courante et familiale " dans la mesure où les messages électroniques " n'affectent pas le trafic normal des messages professionnels ".
La CNIL rappelle également que l'analyse logicielle fichiers de journalisation (les fichiers logs) afin de " collecter des informations individuelles poste par poste destinées à contrôler l'activité des utilisateurs " suppose une déclaration à la CNIL.

La CNIL a peut-être trouvé une porte de sortie après l'arrêt NIKON : les administrateurs réseau et administrateurs système sont " tenus au secret professionnel " et ne peuvent pas divulguer des informations (même à leur employeur ?) " ni contraints de le faire, sauf disposition législative particulière en ce sens ".

Sur le plan technique, il convient de rappeler que lorsqu'une entreprise fonctionne en utilisant un réseau intranet, tous les courriers transitent par le serveur de mails, par la passerelle et le pare-feu, de sorte qu'il est facile pour l'employeur de configurer ces outils pour lire, s'il le souhaite, tous les mails envoyés et reçus par les utilisateurs.

Lorsque l'entreprise ne dispose pas d'un réseau intranet et que certains salariés ont un accès indépendant à l'Internet, la problématique est tout à fait différente. Seul un accès aux ordinateurs des salariés intéressés permet d'obtenir des informations sur les connexions. Compte tenu des risques qu'elle comporte, cette situation est bien évidemment à déconseiller.
 
2. - Le surf au bureau

Les salariés consultent parfois des sites web dont l'utilité professionnelle ne paraît pas évidente au premier abord, surtout à leur employeur.
Le surf au bureau, pratique répandue préjudiciable à l'entreprise.

Selon un sondage Ipsos Médiangles réalisé pour le Figaro Entreprises, le site Internet de Loft Story a été consulté, pendant les 15 derniers jours de l'émission, par près de 500.000 salariés pendant leurs heures de bureau en 15 jours, soit environ 15% des 3,3 millions de salariés français disposant d'un accès à l'Internet sur leur lieu de travail. Ce sondage faisait ressortir toutefois que - selon les déclarations des salariés - seuls 22% d'entre eux avaient consulté le site plus de 10 minutes par jour (http://www.droit-technologie.org/fr/1_2.asp?actu_id=428).

Selon Websense, leader mondial du management d'usage d'Internet en entreprise, les entreprises anglaises auraient subi un manque à gagner de 9,6 milliards de livres sterling en une année, en raison de l'utilisation d'Internet à des fins personnelles sur le lieu de travail (http://www.websense.com/company/news/pr/01/emea/083101-fr.cfm).

Le surf au bureau - notamment lorsque le poste de travail occupé par le salarié dispose d'une ligne individuelle et d'une connexion - ne peut plus être considéré comme une pratique exceptionnelle ou marginale.
Si l'on y ajoute les risques liés à la consultation de certains sites au contenu illicite et au téléchargement de fichiers pédophiles ou autres, les entreprises ont donc été amenées à chercher des solutions de filtrage d'accès à l'Internet.

Les solutions techniques de filtrage

Il est tout d'abord possible de configurer le firewall (pare-feu) et le proxy. Il suffit de définir les URL (les adresses des sites Internet) et les noms de domaine devant être bloqués dans le logiciel qui accompagne le firewall. Mais la portée de ce blocage reste très limitée compte tenu de l'infinité de sites web et, parmi eux, de sites au contenu illicite.

Une méthode plus radicale, mais aussi nettement plus efficace, dénommée " liste blanche " consiste à interdire tout le web, à l'exception d'une sélection des sites professionnels (http://www.indexel.net/doc.jsp?id=1182). Cette méthode, assez simple à mettre en œuvre, ne peut s'envisager que pour les salariés dont la consultation du world wide web est occasionnelle. Elle a également pour inconvénient de bloquer l'accès à des sites utiles nouvellement créés, sauf à reconfigurer quotidiennement le filtrage de l'accès.

Il existe également des possibilités de filtrage au moyen de logiciels (comme LanGuard de GFI ou WebInspector de Elron) utilisant des mots clés que l'administrateur considère étant " à risque ". Lorsque l'accès est bloqué, il est parfois possible de prévoir l'envoi d'un message à l'administrateur mentionnant l'heure et le mot clé utilisé...

Il est également possible de bloquer les téléchargements en FTP, ce qui évite d'utiliser inutilement la bande passante du réseau de l'entreprise et...de faire l'objet d'une perquisition avec saisie du disque dur dans le cadre, par exemple d'une enquête sur un réseau pédophile ou sectaire.

Les conditions de la cybersurveillance (sur le plan juridique)

Le Code du travail prévoit une information et une consultation des institutions représentatives du personnel " sur les moyens ou les techniques permettant un contrôle de l'activité des salariés " (articles L. 432-2-1) ainsi qu'un contrôle a posteriori, concernant, de manière plus générale, les " atteintes aux libertés individuelles " (article L. 422-1-1).

La loi du 6 juillet 1978 (" informatique et libertés ") impose, par ailleurs, que tout traitement automatique de données personnelles soit déclaré à la CNIL. Aussi, un système permettant le traitement des données de connexion avec l'identification des émetteurs et des destinataires de messages électroniques doit-il en général faire l'objet d'une déclaration.

Enfin, et en tout cas, le contrôle doit être " justifié par la nature des tâches " et " proportionné au but recherché ". En d'autres termes, les entreprises ne doivent pas contrôler et conserver plus de données qu'elles en ont besoin pour assurer la sécurité du système et l'intégrité des données. Si dans certains secteurs (sociétés de bourse, par exemple), la conservation systématique du journal de connexion (fichiers logs) se justifie par l'obligation légale d'horodater les ordres et d'en conserver longtemps des traces, cette mesure ne se justifie pas dans tous les secteurs d'activité.

Le second rapport de la CNIL

Ces techniques de filtrage, dès lors qu'elles ont été portées à la connaissance des salariés et des représentants du personnel, dans les conditions prévues par le Code du travail, sont le plus souvent légales.

Elles sont, du reste, conformes aux recommandations du second rapport de la CNIL sur la cybersurveillance, duquel il résulte que " seuls (ont) vocation à être consultés les sites Internet présentant un lien direct et nécessaire avec l'activité professionnelle, sous réserve que la durée de connexion n'excède pas un délai raisonnable et présente une utilité au regard des fonctions exercées ou des missions à mener ".

La CNIL ajoute " ...la mise en place de dispositifs de filtrage de sites non autorisés, associés au pare-feu (sites diffusant des produits à caractère pornographiques, pédophiles, incitation à la haine raciale, révisionnistes etc) peut constituer une mesure de prévention dont il y a lieu d'informer les salariés ou agents publics " (http://www.cnil.fr/frame.htm?actu/tactu.htm).
Il s'agit donc d'une méthode de filtrage non seulement légale, mais que la CNIL considère comme parfaitement légitime.

Le surf personnel au bureau peut-il être sanctionné ?

Généralement, les entreprises n'envisagent pas d'interdire purement et simplement le surf personnel (http://www.indexel.net/bin/doc/1217). Une telle interdiction pourrait, au demeurant, être contre-productive, notamment dans les entreprises où un usage s'est créé depuis plusieurs années.
Mais quels sites et pendant quelle durée ?

La CNIL préconise que les consultations à titre personnel ne dépassent pas un " délai raisonnable " et que les consultations ponctuelles de sites Internet ne concernent, sur le lieu de travail, que des sites dont " le contenu n'est pas contraire à l'ordre public et aux bonnes mœurs ".
Un employeur peut-il sanctionner, et dans quelle mesure, un salarié un peu trop porté sur les sites pornographiques et qui a tendance à les consulter régulièrement au-delà d'une durée " raisonnable " ?
Le surf personnel au bureau peut, dans certains cas, permettre à l'employeur de sanctionner le salarié concerné.

Ces sanctions peuvent aller du simple avertissement au licenciement pour faute grave - donc sans indemnité - selon la teneur du règlement intérieur, les informations des salariés, les mises en garde de l'employeur, le contenu du contrat de travail, les circonstances dans lesquels les faits sont intervenus et leur gravité.

Dans le cadre de la jurisprudence relative à l'utilisation du téléphone et du télécopieur, la Cour de Cassation renvoyait, sur le point de savoir si l'utilisation à des fins personnelles constituait une cause réelle et sérieuse de licenciement, au pouvoir souverain des juges du fond (Soc., 11 mars 1998, PISINO c/ société PISONI, pourvoi n° 96-40.147; Soc., 17 février 1998, SIPEC c/ NORTH, pourvoi n° 95-45.409).

L'on ne peut évidemment pas mettre sur le même plan la consultation occasionnelle, lors de la pause déjeuner, de sites de voyage ou de sites d'achat en ligne et le surf sur un grand nombre de sites Internet de toutes sortes, dont des sites comportant un contenu illicite (cette notion n'est pas encore clairement définie ; mais l'on s'accorde à y inclure les sites pédophiles, révisionnistes et les sites incitant à la haine raciale) pendant une partie très importante du temps que le salarié est censé consacrer aux fonctions pour lesquelles il est rémunéré.

La question de la preuve

La question de la preuve du manquement à l'obligation de loyauté, par l'utilisation personnelle abusive du matériel informatique professionnel, est parfois délicate à apporter, en raison notamment de l'interdiction faite à l'employeur de " fouiller " dans le disque dur de l'ordinateur de son salarié, sans son autorisation expresse et préalable.

Une décision du Conseil de Prud'hommes de NANTERRE (16 juillet 1999, Francis R. c/ IBM) a condamné, à la demande du salarié, l'employeur à payer des indemnités de rupture abusive pour l'avoir licencié car il " se livrait depuis plusieurs mois à des connexions sur des sites Internet à caractère pornographique en sélectionnant et copiant sur son ordinateur d'importants volumes de ces données pornographiques " (www.droit-technologie.org).

Le Conseil de prud'hommes a considéré que l'employeur ne démontrait pas l'existence d'une cause réelle et sérieuse de licenciement.

Les motifs de la décision révèlent que la juridiction prud'homale s'est appuyée essentiellement sur la défaillance de la société IBM à prouver que le disque dur n'avait pas été modifié depuis la constatation des faits par le supérieur du salarié licencié.

Il convient, par conséquent, de faire immédiatement constater par un tiers, par exemple par un huissier de justice désigné sur requête, l'historique des connexions et les données de connexion, en cas de doute d'utilisation abusive et notamment lorsqu'une activité concurrente est suspectée.

Un droit en gestation

A ce jour, nul texte contraignant ne fixe clairement le régime de l'usage des NTIC par les salarié sur le lieu de travail (v., en ce sens, J.E. RAY, Le droit du travail à l'épreuve des NTIC, ed. LIAISONS, 2001, notamment p. 11).
Le droit de l'utilisation des NTIC par les salariés sur leur lieu de travail se dessine jour après jour, par une " jurisprudence " française et étrangère, qui ressemble à un inventaire à la Prévert, éclairée par les recommandations de la CNIL et l'opinion de quelques auteurs faisant autorité (J.E. RAY, Le droit du travail à l'épreuve des NTIC, ed. LIAISONS, 2001, précité).

Les faux pas ou les imprécisions des plus hautes juridictions (J.E. RAY, Le droit du travail à l'épreuve des NTIC, ed. LIAISONS, 2001, précité.(P. ALIX, Le contrôle de l'utilisation de la messagerie électronique par les salariés après l'arrêt Nikon, in Les Cahiers du DRH, ed. Lamy, novembre 2001) révèlent le caractère particulièrement délicat de l'exercice consistant à concilier la sécurité de l'entreprise et la liberté de ceux qui y travaillent.

Article publié au mois d'avril 2002 sur L'Espace Droit Social du Village de la Justice.

Exemple de charte d'utilisation du Système informatique pour les organismes disposant d'un aministrateur système : modèle.

Pascal ALIX
Avocat à la Cour



  CONTACTS :01Tél. : 09 61 45 85 24 (demander maître ALIX) 02 e-mail : alix@virtualegis.com  

  © Pascal Alix - 1999 à 2024 - Tous droits réservés - Virtualegis ®