L’introduction des nouvelles technologies dans l’entreprise a transformé l’organisation du travail et peu à peu les relations entre les employeurs et leurs salariés. En effet, la mise à disposition de nouveaux outils de communication peut créer une suspicion légitime de la part des employeurs quant à l’utilisation légitime ou conforme qui en est faite par les salariés.

Nous vous rappelons ci après le cadre législatif relatif à l’utilisation du matériel informatique et des moyens de communication électronique (I) ainsi que les conditions de mise en œuvre d’un contrôle de son utilisation par l’employeur (II).

I. Le cadre législatif relatif à l’utilisation par les salariés du matériel informatique et des outils de communication mis à disposition par l’employeur.

Pour l’exercice de leur activité professionnelle, les salariés ont à leur disposition des outils informatiques et moyens de communication électronique dont l’utilisation ne répond pas toujours au besoin professionnel.

La surveillance et le contrôle des salariés sur le lieu et pendant leur temps de travail sont des prérogatives reconnues à l’employeur en vertu du contrat de travail et du lien de subordination (A).

Toutefois, cette prérogatives est atténuée par le respect de la vie privée du salarié prévu à l’article 8 de la Convention Européenne de Sauvegarde des droits de l’Homme et des Libertés Fondamentales (B).

A. Le principe de présomption simple d’utilisation professionnelle

Il est de jurisprudence constante que les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel (Cass soc 19 mai 2004).

Cette analyse est étendue aux connexions à Internet, à l’utilisation du disque dur et de la messagerie électronique.

Il en résulte que l’employeur peut les consulter sans autorisation du salarié et même en dehors de sa présence.

Il a ainsi été jugé que l’employeur peut librement consulter les « favoris » ou l’historique du navigateur du salarié (Cass soc 9 février 2010 n°08-45253).

B. La limite : le respect de la vie privée du salarié

Une jurisprudence constante considère que le salarié à droit même au temps et au lieu de travail au respect de l’intimité de sa vie privée (Cass. soc 2 octobre 2001 n°99-42942).

Il en découle que la présomption d’utilisation professionnelle peut être renversée dès lors que le salarié identifie ses dossiers, emails, fichiers comme « personnels ».

Ainsi, lorsque le salarié identifie ses fichiers dans un dossier informatique intitulé « PERSONNEL », la présomption de caractère professionnel disparaît et dans ce cas l’employeur ne peut ouvrir les fichiers informatiques qu’en présence du salarié.

Il est important de préciser qu’eu égard au principe du respect de la vie privée du salarié, l’employeur qui consulterait des fichiers n’ayant pas été identifiés comme personnels par le salarié, ne pourra les utiliser pour le sanctionner que s’ils s’avèrent ne pas relever de sa vie privée (Cass. soc 5 juillet 2011 n°10-17284).

II. La mise en œuvre du contrôle de l’utilisation des outils de communication sur le lieu de travail.

Malgré une légitimité apparente du contrôle de l’activité des salariés, les preuves collectées à l’occasion de ce contrôle ne sont recevables que pour autant que ces modes de collectes aient fait l’objet d’une déclaration conforme à la CNIL, d’une information des salariés et des représentants du personnel (A).

Afin de pallier à toutes difficultés, la rédaction d’une charte informatique peut s’avérer à tout le moins utile, voire indispensable.

La charte informatique est un véritable outil juridique qui permet de formaliser l’ensemble des devoirs et obligations des salariés et de l’employeur concernant l’utilisation et le contrôle des moyens de communication électronique et de l’outil informatique (B).

A. Les opérations préalables à la mise en œuvre d’un contrôle par l’employeur

L’employeur peut contrôler et limiter l’utilisation d’internet et de la messagerie dès lors que ce contrôle a pour objectif soit d’assurer la sécurité des réseaux qui pourraient subir des attaques soit de limiter les risques d’abus d’une utilisation trop personnelle d’internet ou de la messagerie.

Dans tous les cas l’employeur devra veiller à déclarer ses traitements à la CNIL et informer les salariés et les IRP (Institutions représentatives du personnel), le cas échéant existants, au sein de son entreprise.

1. La déclaration à la CNIL

La loi informatique et libertés du 6 janvier 1978 prévoit dans son article 16 une obligation de déclarer préalablement à la CNIL tous les traitements automatisés d’informations nominatives.

Le non respect de ces obligations légales est lourdement sanctionné par l’article 226-16 du code pénal qui prévoit une peine pouvant aller jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende.

Le type de déclaration varie selon que le contrôle est individualisé ou non. En cas de mise à disposition d’outils informatiques sans contrôle individualisé de l’activité, une déclaration simplifiée est suffisante.

Lorsque l’entreprise met en place un dispositif de contrôle individuel des salariés destiné à produire un relevé des connexions ou des sites visités poste par poste, le traitement ainsi mis en œuvre doit faire l’objet d’une déclaration normale.

Dans tous les cas, la désignation d’un Correspondant Informatique et Libertés dispense l’employeur de procéder à de telles déclarations.

Il est important de préciser que la déclaration à la CNIL du dispositif de contrôle ne signifie pas que celui-ci est autorisé.

En effet, le dispositif de contrôle doit dans tous les cas être proportionné au but recherché (article L1121-1 du Code du Travail) et avoir un intérêt légitime.

La CNIL considère par exemple que le système des « KEYLOGGER », logiciels permettant d’enregistrer notamment toutes les frappes effectuées par un salarié sur son clavier, ne peut être utilisé dans un contexte professionnel, à l’exception d’impératifs forts de sécurité, et d’une information spécifique des personnes concernées.

Un système qui n’a pas fait l’objet d’une déclaration à la CNIL ne peut pas être opposé aux employés.

L’employeur ne pourra donc pas se prévaloir en justice des éléments de preuve collectés par le biais des moyens techniques de traitement automatisé non déclarés.

Il est donc indispensable de réaliser ces formalités ou de désigner un correspondant informatique et liberté (CIL).

2. L’information des représentants du personnel (IRP)

En vertu de l’article L 2323-32 du Code du Travail, la mise en place d’un procédé de surveillance permettant un contrôle de l’activité des salariés suppose l’information et la consultation préalable du comité d’entreprise (CE).

A cette occasion, le CE peut donner son avis sur la pertinence et la proportionnalité entre les moyens utilisés et le but recherché.

À défaut, l’employeur s’expose à :

  la suspension de la mesure de surveillance ;

  des poursuites pour délit d’entrave ;

  l’illicéité du procédé de surveillance et de toutes sanctions prises sur le fondement des informations recueillies par ce biais.

Dans certains cas, le CE peut être consulté sur un projet important d’introduction de nouvelles technologies susceptibles d’avoir des conséquences sur l’emploi, la qualification, la rémunération, la formation ou les conditions de travail.

L’employeur doit alors adresser, un mois avant la réunion, les éléments d’information sur le projet et ses conséquences conformément à l’article L2323-13 du Code du Travail et doit convoquer le CHSCT avant tout projet d’introduction de nouvelles technologies ayant des conséquences sur la santé et la sécurité des travailleurs.

3. L’information du salarié

L’article L1222-4 du Code du Travail dispose qu’ « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ».

Par conséquent, chaque salarié devra être personnellement informé des mesures de contrôles mises en place par l’employeur et notamment :

  De la finalité poursuivie par les procédés de contrôle,
  Des destinataires des données enregistrées,
  De son droit d’opposition à la collecte de ses données pour un motif légitime,
  De ses droits d’accès et de rectification de ses données.

L’information des salariés peut se faire au moyen d’une charte informatique.

B. La rédaction d’une Charte Informatique

La Charte Informatique permet de fournir à l’entreprise les moyens juridiques pour encadrer valablement l’utilisation des moyens de communications et du matériel informatique.

La Charte Informatique va avoir pour effet de régler la question de la preuve portant sur les éléments informatiques collectés permettant d’apporter une plus grande sécurité juridique en cas de litige devant le juge.

Pour être opposable aux salariés, la Charte Informatique doit suivre la même procédure de mise en place que le Règlement Intérieur de l’entreprise.

En vertu de l’article L1321-4 du Code du Travail, le projet de Charte Informatique doit :

  Etre soumis à l’avis du Comité d’Entreprise ou à défaut des Délégués du Personnel
  Faire l’objet de formalités de dépôt et de publicité :
o Affichage à une place aisément accessible dans les lieux de travail et dans les locaux où se fait l’embauche (article R1321-1 du Code du Travail)
o Dépôt au greffe du conseil de prud’hommes du ressort de l’entreprise (article R1321-2 du Code du Travail)
  Etre communiqué avec l’avis du comité d’entreprise ou des représentants du personnel à l’inspecteur du travail

La Charte Informatique correctement rédigée et valablement mise en place au sein de la société préservera les intérêts de l’employeur sans nuire aux intérêts du salarié.

En Conclusion :

La mise à disposition par l’employeur à ses salariés de moyens de communication et de matériel informatique entraîne de nouveaux risques pour les entreprises qui tendent à mettre en place des systèmes de surveillance.

La mise en place de tels systèmes doit prendre en compte de nombreuses contraintes juridiques.

Le seul moyen efficace consiste en l’adoption d’une Charte Informatique tenant compte des droits des salariés et des prérogatives de l’employeur nécessaires pour préserver la sécurité et l’activité de l’entreprise mais encore la responsabilité de l’employeur.

Alors Chefs d’entreprises, vous l’aurez compris : Entre vos Risques et les Contraintes Juridiques, des deux maux vous devrez choisir le moindre ! Alors n’hésitez pas, consultez les « Duellistes du Droit » !

Cabinet ELOQUENCE Avocats Lille et Paris www.eloquence-avocats.com