Comment accéder en toute légalité à l'ordinateur d'un salarié
Vos collaborateurs travaillent sur un poste informatique de bureau ou utilisent des PC portables? Sachez que l'accès aux données, même professionnelles, contenues dans ces outils est réglementé. Eclairage juridique sur ces questions de Cybersurveillance.
Je m'abonneIl est délicat de trouver le juste équilibre entre le respect dû à la vie privée du salarié sur son lieu de travail et la nécessité de contrôler l'usage des outils que l'employeur met à sa disposition. Les postes informatiques, fixes ou portables, fournis par l'entreprise illustrent bien cette dualité. Ils constituent un outil essentiel permettant aux salariés d'exercer leurs fonctions, mais ils sont aussi utilisés pour des applications personnelles comme le surf sur Internet et l'envoi d'e-mails à caractère privé. Enfin, ils peuvent même, dans certains cas, devenir un moyen pour le salarié d'accéder à des informations internes confidentielles, accessibles sur le réseau informatique de l'entreprise.
Contrôle accru par l'employeur, c'est afin de respecter cet équilibre que la loi et la jurisprudence formulent un ensemble de règles et de procédures permettant à l'employeur d'exercer ce qu'il est convenu d'appeler une cybersurveillance des salariés. Cette surveillance peut s'exercer soit ponctuellement sur les postes informatiques de certains salariés, soit constituer un véritable dispositif interne applicable à tous. La possibilité, pour un employeur, d'accéder au poste informatique de son salarié pour en vérifier l'utilisation a considérablement évolué en quelques années, permettant un contrôle accru par l'employeur des ordinateurs utilisés dans un cadre professionnel.
Le 2 octobre 2001, dans son arrêt «Nikon France», la Cour de cassation a jugé que «le salarié a droit, même au temps et au lieu de son travail, au respect de l'intimité de sa vie privée; [...] que l'employeur ne peut dès lors [...] prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur«. Cette position a été confirmée le 17 mai 2005 par la Cour de cassation:»Sauf risque ou événement particulier, l'employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l'ordinateur mis à sa disposition qu'en présence de ce dernier ou celui-ci dûment appelé.«La sévérité de cette position a été ensuite quelque peu atténuée. Ainsi, selon une décision du 18 octobre 2006, un employeur doit pouvoir accéder au poste informatique de ses employés en leur absence et consulter les dossiers qui s'y trouvent en dehors de ceux expressément identifiés comme personnels (lire encadré)
Respect de la vie privée. Un arrêt du 9 juillet 2008 a encore étendu le contrôle qui peut être exercé par l'employeur en jugeant que ce dernier pouvait rechercher sur le disque dur de l'ordinateur du salarié, même en son absence, des traces de ses connexions au Web pour les identifier sans que cela porte atteinte au respect de sa vie privée. Cependant, cet arrêt ne semble concerner que les connexions à Internet. Dès lors, si l'employeur peut contrôler le disque dur des ordinateurs des salariés, il doit néanmoins les informer et requérir leur présence pour contrôler les fichiers identifiés comme personnels. Par principe, la mise en place d'un dispositif de surveillance informatique des salariés requiert le respect par l'employeur d'obligations de consultation et d'information préalables. En cas de non-respect de l'une de ces exigences, le dispositif ne peut être opposé aux salariés et la preuve en résultant est illicite. Néanmoins, la jurisprudence a nuancé ces obligations d'information préalable en fonction de la finalité du dispositif de surveillance. Ainsi, ce dernier peut avoir pour objet la surveillance globale de l'activité des salariés sans permettre, pour autant, l'identification de l'auteur d'un agissement en particulier. Par exemple, le dispositif peut permettre de lister les sites web visités par l'ensemble des salariés sans autoriser une identification poste par poste. Dans ce cas, seule la consultation du comité d'entreprise est exigée, dans la mesure où le procédé de surveillance ne prend pas la forme d'un traitement automatisé des données personnelles et ne permet pas la collecte des informations concernant un salarié en particulier.
Informer le CE. Ce n'est que si l'identification d'un salarié est rendue possible que des démarches auprès de la Cnil (déclaration préalable) et du salarié concerné s'ajoutent à l'information préalable du comité d'entreprise. Cette consultation est mentionnée dans l'article L. 2323- 32 du code du travail: «Le comité d'entreprise est informé et consulté, préalablement à la décision de mise en oeuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés». Cette consultation est essentielle puisque, à défaut, la preuve obtenue par l'employeur serait irrecevable, même si le but principal du dispositif technique mis en place n'est pas le contrôle des salariés. Enfin, l'employeur doit toujours déclarer les logiciels de surveillance de l'Internet qu'il adopte (dispositifs de contrôle individuel des durées de connexion ou des sites consultés).
Maître Aurélie Boulet est avocat à la Cour, membre du cabinet Avens Lehman & Associés.
ZOOM SUR
Accès à la messagerie d'un salarié en son absence: ce que dit la Cnil
- Dans quelle mesure l'employeur peut-il consulter ou utiliser la messagerie électronique d'un salarié en cas d'absence prolongée ou de départ?
Afin de ne pas risquer de porter atteinte à la vie privée des salariés (...), l'employeur doit fixer les conditions de consultation de messagerie en cas d'absence. Ces règles peuvent figurer dans une charte informatique propre à l'entreprise: elles doivent être connues des salariés qui seront informés des modalités de consultation et d'utilisation de leur messagerie pendant leur absence. Ainsi, la règle du jeu fixée à l'avance est de nature à éviter les risques de litige ultérieurs.
- L'employeur peut-il consulter tous les messages envoyés ou reçus par un salarié absent?
Les tribunaux considèrent que tout message reçu ou envoyé depuis le poste de travail misa disposition par l'employeur a par principe un caractère professionnel. Dans ce cas, l'employeur peut le consulter. Toutefois, si le message est clairement identifié comme étant personnel, par exemple, si l'objet du message précise clairement qu'il s'agit d'un message privé ou personnel, l'employeur ne doit pas en prendre connaissance.
- Que se passe-t-il lorsque le salarié quitte l'entreprise?
Les modalités de fermeture du compte utilisateur du salarié doivent être organisées dans la charte informatique. L'employeur doit avertir le salarié de la date de fermeture de son compte, afin de lui permettre de vider sa messagerie. L'adresse électronique du salarié doit ensuite être supprimée par l'employeur.