Surveillance des salariés: jusqu'où pouvez-vous aller?
Internet: des droits et des devoirs
Les salariés consacreraient 63 minutes par jour à surfer sur Internet à des fins personnelles pendant leurs heures de travail. C'est le résultat de la dernière étude consacrée à l'utilisation d'Internet au bureau d'Olfeo, éditeur de solutions de sécurité pour Internet. Ce qui justifie pour beaucoup une vigilance accrue voire outrancière. Mais attention, tout n'est pas permis pour l'employeur.
- L'entreprise est en droit de filtrer l'accès au Web de ses salariés. En effet, l'entreprise peut être tenue responsable, et condamnée, pour des pratiques illicites sur Internet commises par ses salariés. L'employeur doit donc veiller à ce que ses employés ne surfent pas sur des sites frauduleux (sites de jeux illégaux, téléchargement de fichiers piratés, sites appelant à la haine raciale, etc.). Il est donc recommandé d'interdire la navigation sur de tels sites. Par ailleurs, Alexandre Souillé, p-dg d'Olfeo, souligne que le chef d'entreprise est en droit d'interdire la navigation sur des sites qu'il estime inutile dans le cadre du travail et préjudiciable à l'efficacité du salarié (réseaux sociaux, sites de vidéos, de musique...). "Tout dépend de la politique RH de l'entreprise: si on veut montrer que l'on a confiance en ses salariés ou si l'on veut se montrer strict", ajoute-t-il.
- En ce qui concerne la messagerie, les règles sont claires. La loi considère que les messages reçus sur la boîte professionnelle ont un caractère professionnel. Ils peuvent donc être légalement consultés par l'employeur. Sauf si les messages sont clairement estampillés comme étant "personnels" ou "confidentiels". "Le salarié doit le préciser dans l'objet du message, indique Gwénaëlle Artur (Aston société d'avocats). Dans ce cas, l'employeur ne peut pas l'ouvrir sans l'accord de l'employé."
Pour autant, la Cour européenne des droits de l'Homme a rappelé le 12 janvier 2016 qu'un employeur peut surveiller les communications Internet des salariés pendant leur temps de travail, à la condition que ce contrôle reste raisonnable. En l'espèce, un salarié avait été licencié pour avoir utilisé, à des fins personnelles, l'adresse de messagerie dédiée aux échanges avec les clients de l'entreprise. Mais il faut garder à l'esprit que le contrôle doit être justifié par la nature de la tâche à accomplir et proportionné au but recherché. Ainsi, la surveillance permanente de l'activité des salariés est en principe interdite.
Pour la messagerie personnelle, la jurisprudence reconnaît aux collaborateurs le droit de la consulter sur leur temps de travail, sans abus.
- La loi et la jurisprudence considèrent que l'utilisation d'Internet sur le lieu de travail est présumée professionnelle. L'employeur est légalement en droit de conserver et de consulter l'historique de navigation et plus généralement les traces des actions effectuées sur le système informatique (les "logs") de ses collaborateurs. La Cnil précise que la conservation de ces données ne peut excéder six mois. La personne désignée pour y avoir accès est souvent le DSI (directeur des systèmes d'information), qui doit manipuler ces données avec précautions et protéger leur caractère confidentiel. En l'absence d'un DSI, une personne doit être spécifiquement désignée et doit être la seule à avoir accès aux données. Dans les petites PME, il peut s'agir du dirigeant lui-même.
À savoir
Les données récoltées sont personnelles et confidentielles. Seule(s) la ou les personne(s) identifiées comme responsables et référentes de la collecte, de la vigilance et de l'utilisation de ces données y ont accès. Elles doivent être sensibilisées et formées aux règles de confidentialité. Des mesures de sécurité et de confidentialité doivent donc être adoptées (mot de passe...). À ce sujet, la Cnil a publié des fiches pratiques thématiques détaillant le cadre légal de la collecte, du traitement et de la diffusion de ces informations en entreprise.
- Pour ce qui est des réseaux sociaux, il n'existe encore aucune loi spécifique mais la jurisprudence détermine les contours de ce que le salarié a le droit ou non de faire. "Des discussions portant préjudice à l'entreprise (diffamation, dénigrement...) peuvent être un motif de licenciement si la publication est publique", précise Gwénaëlle Artur. Trois salariés ont ainsi été licenciés pour avoir posté sur le mur Facebook de l'un d'entre eux, accessible aux amis d'amis, des propos préjudiciables pour l'entreprise. La société ne peut pas interdire l'usage des réseaux sociaux à ses salariés dans la sphère privée. Elle peut toutefois en interdire l'accès sur le lieu de travail. Il est possible de préciser dans la charte informatique, ou charte internet, l'interdiction pour les collaborateurs de publier sur ces réseaux certaines informations sur l'entreprise. Dans ce cas, il faut clairement préciser dans la charte quelles informations.
Zoom
La charte informatique, recommandée mais pas obligatoire
Dès lors qu'un système de cybersurveillance des salariés est installé dans l'entreprise, cette dernière est tenue de les informer individuellement et collectivement. Si la forme de cette information n'est pas réglementée, de plus en plus d'entreprises optent pour une "charte des systèmes d'information", appelée aussi charte informatique ou charte internet. "C'est ce que je recommande à mes clients", affirme Gwénaëlle Artur. L'avocate préconise "d'intégrer la charte en annexe au règlement intérieur". La charte doit présenter la nouvelle technologie qui sera mise en place, les objectifs et les finalités recherchés (surveillance des salariés, sécurité...), les règles d'utilisation ainsi que la durée de conservation des données collectées. La Cnil recommande d'y intégrer les règles à respecter en matière d'informatique, de téléphonie, de messagerie électronique et d'Internet. Elle doit être remise individuellement à chaque salarié (par exemple avec la fiche de paie, une note de service, un lien inséré sur le site intranet...). Pour que la procédure soit respectée, la charte doit être soumise à l'avis du comité d'entreprise et du CHSCT et affichée à la vue de tous.
Pour aller plus loin
La Cnil rappelle que les keyloggers, ces logiciels qui permettent d'enregistrer toutes les actions effectuées par les salariés sur leur poste informatique sans que ceux-ci s'en aperçoivent, sont strictement interdits. Lire notre article : L'utilisation d'un logiciel "keylogger" pour surveiller les salariés est illicite.
NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles