Respect de la vie privée et outils de travail en entreprise

Données Personnelles à ne pas consulterLa gestion des données personnelles et le respect de la vie privée en entreprise ne sont pas faciles à gérer en entreprise.

Même si les administrateurs ne sont pas au fait des aspects juridiques concernant leur métier, l’entreprise doit s’emparer de ces sujets, établir des règles et mettre en œuvre des moyens techniques / organisationnels pour être certaine que celles-ci soient respectées.

Nous allons détailler ici où s’arrêtent les limites de la vie privée en entreprise.

Chapitre 1. La vie personnelle protégée vis à vis de l’employeur ?

L’employeur n’a pas à s’immiscer dans la vie personnelle de ses salariés (ou tout du moins son droit est fortement encadré).

Section 1.1. La protection des mails

1.1.1. Principe

En réalité, cette protection est déjà très ancienne, car les mails sont couverts par le secret des correspondances.

En effet, les messages électroniques sont bien des correspondances présumées privées, comme l’a rappelé la 17e chambre correctionnelle du TGI de Paris le 2 novembre 2000 : “le terme de correspondance désigne toute relation par écrit existant entre deux personnes identifiables, qu’il s’agisse de lettres, de messages ou de plis fermés ou ouverts” .

Le secret des correspondances électronique est prévu par l’article 1 de la loi n°91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des communications électroniques :

Le secret des correspondances émises par la voie des télécommunications est garanti par la loi.

Il ne peut être porté atteinte à ce secret que par l’autorité publique, dans les seuls cas de nécessité d’intérêt public prévus par la loi et dans les limites fixées par celle-ci.

S’il faut connaître une seule référence d’arrêt concernant la protection des mails dans les entreprise, il faut lire l’arrêt Nikon.

En effet, cet arrêt célèbre rendu par la chambre sociale de la cour de cassation le 2 octobre 2001, sanctionne une entreprise, après consultation des mails de son employé le licencie pour faute lourde car il avait mené une activité professionnelle parallèle pendant ses heures de travail.

Comme toujours, il est très intéressant de lire l’attendu de la cour :

Attendu que le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l’employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur ;

Nous retiendrons que :

  • l’employeur n’a pas le droit de consulter les courriers de ses employés selon son bon vouloir ;
  • même si les courriers sont reçus via les moyens mis à disposition par l’employeur ;
  • même si l’employeur a expressément interdit l’utilisation des moyens professionnels à des fins personnelles (car cela serait en contradiction avec l’article 1 de la loi du 10 juillet 1991 qui prévoit que seule la loi peut limiter la protection du secret des correspondances concernant les communications électronique).

Cela signifie-t-il que l’employeur ne peut jamais consulter les mails de ses employés ? Non, et il ne faut pas croire que l’employé peut tout faire en toute impunité.

Tout d’abord, si le salarié transfère ce message à son employeur ou à un grand nombre de personnes, il est évident que le courrier perd son caractère secret et personnel.

De plus, si l’employeur a des motifs légitimes de penser que son salarié lui porte préjudice, par exemple, en transmettant des secrets industriels à une tierce personne, il peut saisir le président d’un tribunal de grande instance, sur requête, pour obtenir une ordonnance autorisant un huissier de justice à accéder aux données contenues dans l’ordinateur, y compris les communications électroniques.

L’huissier saisira alors les communications litigieuses et l’employeur pourra les utiliser contre son salarié. Sur ce point, vous pouvez lire l’arrêt de la chambre sociale de la cour de cassation du 23 mai 2007.

Bien sûr, l’employeur peut demander à ce que l’envoi et la réception de mails personnels ne perturbent pas le travail : C’est une limitation proportionnée au but recherché. L’article L.1121-1 du code du travail dispose que :

Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.

1.1.2. Obligation d’un marquage “Personnel” ?

La question est de savoir s’il est nécessaire que les mails soient marqués comme personnels pour que l’employeur ne puisse pas les ouvrir.

Dans l’arrêt de la chambre social de la cour de cassation du 30 mai 2007, le juge précise :

Qu’en statuant ainsi, sans rechercher si les fichiers ouverts sur le matériel mis à sa disposition par l’employeur avaient été identifiés comme personnels par le salarié, la cour d’appel n’a pas donné de base légale à sa décision ;

[maj update=”30/08/11″]Bonne nouvelle ! La cour de cassation vient de préciser l’impact de l’oubli de marquer des courriers comme personnels : donc ce qui suit à été modifié en conséquence[/maj]

Et donc que ce passe-t-il si l’employé a oublié de marquer ses courriers comme “personnels” ? La cour de cassation (chambre sociale), dans un arrêt du 5 juillet 2011, précise que :

si l’employeur peut toujours consulter les fichiers qui n’ont pas été identifiés comme personnels par le salarié, il ne peut les utiliser pour le sanctionner s’ils s’avèrent relever de sa vie privée ;

Donc, au final, nous avons les cas suivants :

  • Si le courrier est marqué comme personnel, l’employeur ne peux pas les lire (sauf cas cités ci-dessus)
  • Si le courrier n’est pas marqué comme personnel, l’employeur peut les lire :
  • S’il s’avère finalement que ces courriers sont personnels au vu de leur contenu, il devra les “oublier” ;
  • Sinon, il peut les utiliser.

Il est heureux que la cour de cassation ait précisé si clairement les choses.

Pour autant nous pouvions nous y attendre : en effet, dans des arrêts traitant de courriers postaux, les juges ont considéré que le fait de ne pas mentionner “Personnel et confidentiel” sur l’enveloppe ne retirait pas le caractère personnel de la correspondance. (voir l’arrêt du 18 mai 2007 de la chambre mixte de la cour de cassation)

[… ]le pli litigieux était arrivé sous une simple enveloppe commerciale démunie de toute mention relative à son caractère personnel [… ]

l’employeur ne pouvait, sans méconnaître le respect dû à la vie privée du salarié, se fonder sur le contenu d’une correspondance privée pour sanctionner son destinataire

1.1.3. Sanctions

La méconnaissance du secret des correspondances est sanctionnée par les articles 226-15 et 432-9 du code pénal :

  • 1 an d’emprisonnement
  • 45000 euros d’amende
  • trois ans d’emprisonnement (si dépositaire de l’autorité publique)

Section 1.2. La protection de ses fichiers personnels

1.2.1. Principe

Nous pourrions nous dire : “C’est la même chose !” … Et bien non !

En effet la protection des fichiers personnels relèvent plus de la protection de la vie privée que du secret des correspondances.

Ainsi, c’est l’article 9 du code civil qui prévoit que :

Chacun a droit au respect de sa vie privée.

1.2.2. Obligation de la mention du caractère personnel du dossier ?

Il faut noter que les documents créés ou stockés sur l’ordinateur de bureau fourni par l’employeur à une présomption de caractère professionnel. En effet, selon la cour de cassation dans un arrêt du 21 octobre 2009 :

[… ] les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, sauf si le salarié les identifie comme étant personnels, en sorte que l’employeur est en droit de les ouvrir hors la présence de l’intéressé ;

Cette présomption peut être remise en cause si un dossier ou si un fichier est explicitement personnel. Nous noterons qu’il n’est pas nécessaire d’utiliser la terminologie “personnel” dans le nom du dossier ; si un répertoire s’intitule par exemple “mes photos de vacances” , il est clair que ce répertoire est personnel.

Est-ce à dire qu’un répertoire personnel ne peut être lu par l’employeur ? Encore une fois non… et la jurisprudence semble même plus souple que pour les correspondances. La cour de cassation précise dans un arrêt du 17 mai 2005 que :

[… ] sauf risque ou événement particulier, l’employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé ;

Il faut ainsi comprendre qu’il n’est nul besoin de faire appel à une ordonnance d’un juge pour consulter les dossiers personnels d’un utilisateur. Il suffit de le convoquer afin d’ouvrir ce dossier et même s’il ne se présente pas, il sera possible de regarder dans le répertoire.

Cette différence notable entre correspondance et vie privée semble justifiée par l’article 1 de la loi n°91-646 relative au secret des correspondances :

Il ne peut être porté atteinte à ce secret que par l’autorité publique, [… ]

Ainsi seul un juge peut porter atteinte au secret des correspondances tandis que la vie privée peut être restreinte par l’employeur et ce de manière proportionnée (L.1121-1 du code du travail)

Section 1.3. La protection de l’historique de navigation

1.3.1. Principe

“Internet est un fabuleux moyen de perdre du temps en entreprise.”

Tel est souvent le constat des employeurs et ils cherchent donc le moyens de pouvoir contrôler l’utilisation qui est faite de cet outil. Mais ont-ils le droit de faire cette analyse ?

Tout d’abord, je voudrais rappeler que le code du travail précise en son article 1222-4 :

Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance.

De plus, il est nécessaire d’informer et de consulter au préalable le comité d’entreprise (l’article 2323-32 du code du travail) :

Le comité d’entreprise est informé et consulté, préalablement à la décision de mise en oeuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés.

Enfin, il faut rappeler que l’employeur, s’il met en place un dispositif de contrôle individuel des salariés destiné à produire un relevé des connexions ou des sites visités, poste par poste, doit déclarer le traitement ainsi mis en oeuvre à la CNIL (déclaration normale).

Une fois ces petits rappels effectués, je vais donc répondre à la question : Oui, l’employeur peut regarder, salarié par salarié, l’utilisation qu’il a d’Internet en évaluant, par exemple, le temps qu’il passe sur celui-ci. (voir arrêt de la cour de cassation du 18 mars 2009)

1.3.2. Possibilité de filtrer ?

Pour toutes les mêmes raisons, oui, et je dirais même que l’employeur a intérêt à le faire afin de se protéger…

Chapitre 2. Une liberté plus grande pour les administrateurs de l’entreprise ?

Les administrateurs informatiques sont en fait les bras armés des employeurs et sont surtout tout-puissants sur le système d’information. Ils rencontrent deux difficultés :

  • Savoir dire non à leur employeur ;
  • Savoir ne pas être trop curieux.

Section 2.1. Savoir dire non à son employeur

Quand un employeur veut surveiller de manière particulière un salarié ou veut lire ses mails, il lui est souvent nécessaire de demander à un administrateur afin d’arriver à ses fins. En effet, ceux-ci sont tout puissant sur l’outil informatique. En un mot, il peut tout faire… Cela ne signifie pas qu’il en a le droit !

Imaginons donc que l’employeur se tourne vers son administrateur et lui dise “Je crois que M. X me porte préjudice, donc donne-moi tous ses mails pour que je vérifie” . L’administrateur doit alors refuser d’exécuter cet ordre, quand bien même l’employeur est son chef et le menace de le licencier pour insubordination. C’est bien tout la difficulté…

Par ses fonctions, l’administrateur a accès à certaines informations confidentielles et est, de ce fait, soumis au secret professionnel (même si dans l’imaginaire collectif, le secret professionnel n’est limité qu’à un nombre limitatif de métier, c’est faux). L’article 226-13 du code pénal dispose :

La révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire, est punie d’un an d’emprisonnement et de 15000 euros d’amende.

L’administrateur, qui n’est pourtant pas embauché pour ses talents de juriste, doit savoir faire la part des choses entre ce que son employeur peut lui demander et ce qu’il ne peut pas. S’il exécute un ordre illégal, il pourra se faire sanctionner par la justice de la même manière que son employeur.

A titre d’exemple, le tribunal correctionnel de Paris, le 2 novembre 2000, a sanctionné l’employeur (CNRS) qui avait demandé la surveillance des messages électroniques d’un étudiant et les administrateurs qui avaient exécuté ses ordres.

TGI2novembre2000

Ils ont été condamnés :

  • à payer, chacun, une amende allant de 5000 à 10000 francs ;
  • à payer solidairement à la victime 10000 francs à titre de dommages et intérêts.

Section 2.2. Savoir ne pas être trop curieux

Si par ses fonctions, il accède occasionnellement à certaines informations personnelles, il ne doit pas les transmettre à des tiers ou à sa hiérarchie (voir secret professionnel déjà évoqué).

La cour d’appel de Paris rappelle dans un arrêt du 17 décembre 1991 qu’il est possible d’accéder à des données personnelles du fait de sa fonction et que cela ne constitue pas une faute en soi. C’est sa divulgation est fautive :

La préoccupation de la sécurité du réseau justifi[e] que les administrateurs de systèmes et de réseaux fassent usage de leurs positions et des possibilités techniques dont ils disposaient pour mener les investigations et prendre les mesures que cette sécurité imposait – de la même façon que la Poste doit réagir à un colis ou une lettre suspecte. Par contre la divulgation du contenu des messages, et notamment du dernier qui concernait le conflit latent dont le laboratoire était le cadre, ne relevait pas de ces objectifs.

De la même façon, il ne faut pas se vanter, comme c’est trop souvent le cas dans les entreprises.

Une réflexion à la cantine du type “Tes vidéos X, tu pourrais les supprimer du réseau ?” ou encore “J’ai vu les photos du mariage de ta fille, ça devait être une belle fête… ” sont clairement à proscrire.

Ce que l’administrateur voit dans son bureau doit rester dans son bureau.

3 commentaires

  1. Une petite coquille c’est glissé dans le :
    1.1.2. Obligation d’un marquage « Personnel » ?

    Regardez la date de l’encart “Mise à jour”. 🙂

  2. Article très intéressant encore une fois !
    Petite question :
    Oui l’employeur peut consulter l’historique de navigation
    A condition qu’il prévienne l’employé que cela est mesuré ?
    A ma connaissance très peu d’entreprise mettent en place ce type d’information non ?

    Quid des consultant qui ne sont pas « protégés » par le CE ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *