« A l’heure de la révolution numérique et des réseaux l’homme au travail est "tracé" dans les ordinateurs de l’entreprise comme le pilote d’avion ou le conducteur de TGV le sont par les enregistrements de la boîte noire. Est-ce que les intérêts de l’employeur ne vont pas l’inciter à une exploitation abusive de ces traces alors que les boîtes noires ne sont interrogées que dans des circonstances exceptionnelles et selon des procédures parfaitement définies […] telle est la question [….] » [1].
En guise d’introduction, la dernière décennie a été marquée au Maroc par une utilisation croissante des nouvelles technologies de l’information et de la communication, la protection des personnes physiques à l’égard du traitement des données à caractère personnel n’a été réglementée qu’à la fin de la dernière décennie par la loi publiée au B.O le 23 février 2009, ainsi il convient d’abord de définir ce qu’est une donnée a caractère personnel qui se définie comme suit [2].
Le contrôle administratif de cette protection est confié à la Commission nationale de contrôle de la protection des données à caractère personnel, issue de la même loi. Elle a pour mission de veiller au respect de la vie privée des internautes.
Les entreprises qui recourent aux nouvelles technologies de l’information et de la communication se trouvent rapidement confrontées au problème du contrôle de l’usage qu’en font les employés. Leur principale préoccupation est, certes, de tirer le meilleur profit des NTIC pour améliorer la productivité de leurs salariés et augmenter leurs profits, cependant, elles souhaitent également conserver la maîtrise de ces ressources.
Elles vont donc généralement chercher à se doter d’outils (juridiques et techniques) pour contrôler les activités virtuelles des salariés, tout en réduisant au minimum les droits et libertés de ces derniers, si ce n’est en les supprimant complètement. Cette surveillance suscite un débat croissant.
En premier lieu, parce qu’elle concerne un nombre croissant d’individus : près de 60% des salariés utilisent au moins occasionnellement un outil informatique au travail , tandis que 40% des internautes admettent naviguer au bureau.
Ensuite, ces outils offrent, « par un effet secondaire », de nouvelles possibilités de surveillance potentiellement sources d’atteintes aux droits des travailleurs. Toute utilisation d’un ordinateur laisse, en effet, des « traces » que l’employeur peut aisément suivre, ce qui suscite des questionnements quant à la légitimité de tels contrôles.
En fait, la possibilité de contrôler l’activité des employés a été reconnue à l’employeur : en vertu de son pouvoir de direction, ce dernier est en droit de s’attendre à ce que le salarié, placé sous sa subordination, exécute loyalement les obligations découlant du contrat de travail. De plus, le contrôle patronal s’impose parfois, compte tenu des dispositions relatives à la protection des informations personnelles qui obligent l’entreprise à mettre en œuvre les mesures appropriées pour assurer la sécurité des renseignements personnels qu’elle détient sur autrui.
Et si l’employeur a le droit de surveiller l’activité des salariés, il peut donc la « cyber-surveiller », puisque « cyber-surveiller » l’activité d’un salarié, c’est contrôler l’utilisation que les salariés font de leur outil informatique, et conserver le cas échéant, des informations, identifiables ou pas. A cet égard, Murielle Cahen propose une définition qui semble plus complète de la cyber-surveillance :
« La cyber-surveillance peut être définie comme tout moyen de contrôle technique, sur une personne ou un processus, lié aux nouvelles technologies et plus particulièrement aux réseaux numériques de communication. Plus précisément, la cyber-surveillance regroupe les voies et moyens aboutissant à l’accès des données ou signaux transmis par voie électronique ainsi que le contrôle des moyens techniques permettant ces transmissions. La cyber-surveillance se fait techniquement, au moyen de logiciels de surveillance permettant d’enregistrer tous les évènements ou messages survenus pendant un temps donné et à un endroit déterminé. Les écoutes téléphoniques font partie intégrante de la cyber-surveillance, tout comme le traçage d’internautes sur le web ou encore sur un réseau Intranet. La surveillance et l’interception de courriers électroniques sont considérées comme de la cyber-surveillance ».
Puisque l’on reconnaît à l’employeur le droit de surveiller ses salariés, la question aujourd’hui n’est donc plus de savoir s’il peut contrôler l’utilisation des ressources informatiques mis à la disposition du personnel, mais dans quelle mesure une telle surveillance peut s’exercer.
Si les NTIC lui offrent la possibilité technique d’espionner ses salariés, est-ce pour autant qu’il est autorisé à lire leur correspondance électronique ou à vérifier l’historique de leurs navigations ? Le simple fait qu’il soit propriétaire des équipements informatiques lui donne-t-il un droit absolu de s’immiscer dans la vie privée des salariés ? De même, peut-il, par des moyens juridiques [3], interdire au salarié de correspondre avec qui bon lui semble, ou l’empêcher, par des procédés techniques (bridage), d’accéder aux sites qui l’intéressent ? Y’a-t-il des limites au contrôle et à la surveillance que les employeurs peuvent exercer sur les activités en ligne des salariés ? La question est donc de savoir s’il existe un droit à la vie privée au travail et, dans l’affirmative, de voir comment ce droit s’articule avec les droits de l’employeur.
Au bout du tunnel, l’introduction des outils de communication électroniques [4] dans l’entreprise a provoqué de profondes mutations dans l’organisation du travail et les rapports collectifs et individuels.
Tout d’abord, parce que ces technologies permettent à des collègues ou des contacts d’affaires éloignés géographiquement de communiquer et d’échanger des informations et documents. Par ailleurs, l’organisation en réseau des activités de l’entreprise et la rapidité des échanges permet aux salariés d’une même organisation de travailler en temps réel, même s’ils sont disséminés dans différentes filiales à travers le monde.
Cela permet indéniablement d’améliorer la qualité du travail et d’augmenter la productivité des travailleurs. Cependant, ces nouvelles méthodes de travail favorisent l’interpénétration entre vie personnelle et vie professionnelle, univers pourtant bien étanches autrefois : le salarié, grâce à son ordinateur portable, peut désormais travailler en tous lieux et heures.
Ce qui lui procure une certaine autonomie, puisqu’il a de plus en plus souvent l’opportunité de choisir à quel moment il veut travailler et d’où il souhaite le faire.
Bien entendu, la conséquence est un relâchement du lien de subordination qui peut créer une certaine confusion chez les différents acteurs.
D’un côté, les salariés peuvent, parfois en toute bonne foi, surestimer leur autonomie, déduisant, par exemple, que le fait de pouvoir emporter chez soi l’ordinateur portable fourni par l’entreprise vaut autorisation de s’en servir à des fins personnelles.
De l’autre côté, l’employeur, précisément pour éviter ce type de situation, peut être tenté d’installer des « mouchards » pour surveiller l’utilisation des ressources informatiques ainsi mis à la disposition des salariés. Finalement, on assiste à une transformation inexorable du cadre de travail qui appelle un regard renouvelé sur la notion de vie privée.
Enfin de compte, c’est au juge qu’il revient, lorsqu’il est saisi, d’apporter des précisions sur les différentes notions relatives à la surveillance des employés ou de la cyber-surveillance en général et de tenter de maintenir un équilibre viable entre les intérêts fondamentalement opposés des différents protagonistes, à savoir les motifs invoqués par les employeurs pour justifier leur contrôle de l’utilisation de leurs ressources informatiques (Partie 1) et les directives d’utilisation des ressources informatiques (Partie 2)
Partie 1 : Les justifications de la surveillance de l’employeur sur l’utilisation des NTIC.
Les NTIC, étant donnés qu’elles sont « tour à tour outil de travail, moyen de communication, lieu de stockage de la richesse d’une entreprise et vecteur d’activité », constituent une nouvelle source de tension entre employeurs et employés. Du point de vue des salariés, ces outils sont ludiques, d’usage facile et offrent un accès instantané et quasi illimité à une multitude d’informations utiles, aussi bien pour le travail que pour la vie privée.
Sur le plan strictement professionnel, les employés utilisent de plus en plus l’Internet pour consulter des sites spécialisés ou participer à des forums de discussion [5] ; ils se servent également du courrier électronique pour communiquer avec leurs collègues de travail ou leurs contacts d’affaires externes. Sur le plan personnel, ils peuvent, par exemple, utiliser le réseau pour organiser leurs vacances et autres loisirs, faire leurs courses en ligne, se livrer à des jeux virtuels ou tout simplement rechercher un autre emploi.
Or, ces activités en ligne privées sont souvent gourmandes en bande passante et représentent des charges, en termes de coût et d’espace, dont les salariés ont rarement conscience . Du point de vue patronal, l’ordinateur et le réseau sont mis à la disposition des salariés dans un souci d’améliorer la rentabilité et les performances de l’entreprise : l’employeur tolérera donc difficilement un usage privé inapproprié qui pourrait nuire à la bonne marche de ses affaires. La question étant de savoir si les menaces sécuritaires (Chapitre 1), la prévention des abus (Chapitre 2), habituellement invoqués par les employeurs, sont des motifs légitimes de surveillance reconnus comme tels par le droit.
Chapitre 1. L’impératif de sécurité.
La sécurité du système d’information représente un enjeu crucial pour les entreprises : toute organisation moderne dispose, en effet, d’un certain nombre de données qu’elle souhaite protéger contre toute utilisation non autorisée, tels les éléments de propriété intellectuelle et industrielle [6], les renseignements relatifs aux clients ou contacts d’affaires, les informations stratégiques de nature commerciale ou financière, etc.
Parallèlement, l’entreprise doit être capable d’aller chercher à l’extérieur les informations qui lui sont utiles pour son activité et de les traiter afin de générer de nouvelles informations qu’elle remettra éventuellement en circulation, à travers l’Internet et l’Intranet. De nos jours, « l’information est devenue valeur, parfois la seule détenue par une entreprise » et la compétitivité d’une organisation dépendra souvent de sa capacité à préserver ses informations de façon sécuritaire.
Or, si les réseaux numériques facilitent les communications et la recherche d’informations, ils sont également une source majeure de vulnérabilité face aux risques de contaminations, d’intrusions ou de destructions de données. Ainsi, selon une enquête du Computer Security Institute (CSI) et du Federal Bureau of Investigation (FBI) sur les risques de sécurité, les pertes liées aux incidents de sécurité s’élevaient à plus de 130 millions de dollars en 2005.
Or, au-delà des conséquences catastrophiques en termes d’image que l’entreprise peut subir, une négligence de sécurité peut engager la responsabilité de cette dernière, puisque la loi lui impose de prendre les mesures appropriées pour assurer la sécurité et la confidentialité des données personnelles qu’elle détient sur autrui.
La mise en place d’une protection efficace du système d’information devient donc une nécessité pour tout employeur avisé (Section 1). Toutefois, la question de la sécurité informationnelle a également des répercussions sur la situation des travailleurs dans la mesure où les dispositifs de sécurité incluent généralement des procédures de contrôle et de surveillance souvent en contradiction avec leurs droits fondamentaux et notamment le droit au respect de leur vie privée. Aussi importe-t-il de se demander si la sécurité informatique constitue un fondement juridique à la surveillance de l’employeur (Section 2).
Section 1. La nécessaire protection du système d’information.
Avec les NTIC, les entreprises se retrouvent face à la problématique suivante : comment concilier l’ouverture - facilitée grâce à l’Internet - de l’organisation sur l’extérieur avec la sécurité de son système d’information ? Ces technologies exposent en effet, l’entreprise, et particulièrement ses services informatiques, à diverses menaces susceptibles de causer des dommages forts coûteux et parfois irréversibles (1.1) Il est donc indispensable qu’elle prenne les mesures nécessaires pour assurer le bon fonctionnement de son système informatique, tout en garantissant la sécurité et la confidentialité des informations à caractère personnel qu’elle détient sur autrui (1.2).
1.1. Les risques d’atteinte à la sécurité informatique.
Le principal souci des employeurs était autrefois d’éliminer le vol de temps et la navigation sur des sites illicites, ils doivent désormais se préoccuper également des risques juridiques et sécuritaires liés à certaines pratiques [7]. Sur le plan sécuritaire, les principales craintes des entreprises concernent l’utilisation, la communication, la consultation et la modification non autorisées des informations qu’elles détiennent.
Additionnellement a cela, on peut parler de vidéosurveillance dans l’entreprise qui d’ailleurs reste est une question d’actualité. Elle est justifiée lorsqu’elle répond à des préoccupations de sécurité. Elle est notamment justifiée dans les lieux ouverts au public, dans les lieux particulièrement exposés aux risques d’agression et de vol dans un but unique de sécurité des personnes. Ainsi pour mettre en place un système de vidéosurveillance, il faut remplir certaines exigences. Si l’employeur fait appel à une société de surveillance pour contrôler les salariés, il faut nécessairement qu’il informe préalablement le comité d’entreprise. C’est ce qu’on appelle le principe de discussion collective.
En France, c’est l’Article 432-2-1 du Code du travail qui introduit l’obligation d’information préalable du Comité d’entreprise en cas de mise en place de moyens ou de techniques permettant le contrôle de l’activité du salarié. Au Maroc, c’est l’Article 5 de loi du 23 février 2009 qui dispose ce qui suit : « toute personne sollicitée directement, en vue d’une collecte de ses données personnelles, doit être préalablement informée d’une manière expresse, précise par le responsable du traitement ou son représentant ».
Quant à la mise en place d’un système de vidéosurveillance pour contrôler l’activité des salariés, elle ne peut se faire que si les représentants du personnel ont été préalablement consultés et sous réserve de déclaration à la commission nationale. La durée du stockage des images est limitée dans le temps en vertu de la loi.
A cet effet, le comité d’entreprise est généralement informé d’un certain nombre de décisions comme l’introduction dans l’entreprise de traitements informatisés de gestion du personnel et la décision de mise en œuvre par l’entreprise de moyens ou de techniques permettant le contrôle de l’activité des salariés. La cour de cassation a confirmé cette jurisprudence dans des décisions récentes. Si l’employeur a le droit de surveiller et de contrôler l’activité de son personnel pendant le temps de travail, il n’a pas le droit de mettre en œuvre un dispositif de contrôle sans l’avoir porté préalablement a la connaissance des salariés. Que ce contrôle soit fait, directement par l’employeur, par un système de vidéosurveillance ou confié a une société extérieure. A défaut de consultation des salariés, la preuve constituée est illicite. Elle ne permettra pas de fonder une décision de licenciement pour faute grave.
1.2. L’obligation de sécurité informatique.
En vertu des dispositions de l’article 23 de la loi 09-08, le responsable du traitement est tenu de mettre en œuvre toutes les mesures techniques et organisationnelles pour protéger les données à caractère personnel, afin d’empêcher qu’elles soient endommagées, modifiées, ou utilisées par un tiers non autorisé à y accéder, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute forme de traitement illicite.
D’autant plus, ce même article prévoit pour le responsable de traitement qui effectue des traitements pour son compte de choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer tout en veillant au respect de ces mesures.
Section 2. La sécurité informatique : un motif de surveillance suffisant.
La Loi sur la protection de données personnelles dans le secteur privé impose à l’entreprise de mettre en œuvre « les mesures de sécurité propres à assurer » une protection adéquate des renseignements personnels en leur possession. Mais la loi ne donne aucune précision sur les moyens spécifiques à adopter. Il revient donc à l’employeur de déterminer quelles sont les mesures de protection qu’il souhaite mettre en place et celles-ci peuvent inclure la cyber-surveillance, elle peut paraître légitime, mais elle doit aussi obéir à des règles.
Pour le moment, il y a un vide juridique dans ce domaine.
Le plus souvent, pour éviter les abus, les entreprises font davantage de la prévention comme c’est le cas pour l’usage du téléphone. « L’accès à internet est limité à quelques postes au sein de chaque direction », confie un cadre d’une banque. Mais dans les entreprises où tout le monde à accès à la toile, le problème est tout autre. Les juristes en sont réduits à énoncer les grands principes en matière d’usage privé des biens de l’entreprise.
C’est ainsi qu’il est souligné qu’un salarié ne peut, en principe, sauf tolérance tacite ou autorisation expresse de la part de l’employeur, faire utilisation du courrier électronique à des fins privées sur son lieu de travail. En revanche, les modalités pratiques de mise en œuvre d’un contrôle de la part de l’employeur ne sont pas tout aussi évidentes.
En France, la Cour d’appel de Paris a confirmé la condamnation de trois administrateurs d’une école de commerce de Paris pour avoir espionné la correspondance électronique d’un étudiant-chercheur. Elle a néanmoins nuancé son arrêt en assortissant de sursis les amendes prononcées en première instance à l’encontre des accusés.
C’est dire que les juges étaient très embarrassés.
Lorsque l’organisation dispose d’un système informatique connecté à l’Internet. Pour justifier une telle surveillance, les entreprises avancent généralement leur qualité de propriétaire des ressources informatiques. En effet, en tant que propriétaires des lieux et des outils de travail, elles sont tenues à une obligation de sécurité qui s’étend aux outils informatiques.
Par conséquent, le droit de surveiller les lieux de travail qui est reconnu à l’employeur s’étendrait aux ordinateurs, aux réseaux et même aux informations qui y circulent.
L’argument sécuritaire semble largement admis par la jurisprudence québécoise qui a ainsi reconnu que l’employeur pouvait recourir à la surveillance électronique des salariés pour protéger les lieux de travail, les équipements et même les secrets industriels.
Les tribunaux ont ainsi admis la mise en place d’une telle surveillance sur les lieux de travail pour prévenir ou réprimer le vol ou les actes de vandalisme au sein de l’entreprise. Ils ont également validé un dispositif de caméras vidéo installées, à titre préventif et alors même que l’employeur n’avait pas été victime de vols, dans une basilique où se trouvent des biens de grande valeur et où il y a une affluence constante de visiteurs.
La jurisprudence a également jugé que l’installation de caméras permettant le contrôle de l’accès aux lieux de travail ne constituait pas une condition de travail déraisonnable lorsque la mise en place d’un tel dispositif ne visait qu’à éviter l’espionnage industriel et à protéger les secrets industriels, ainsi que l’équipement de l’entreprise, tout en assurant la sécurité de ces lieux.
Additionnellement à cela, on peut également citer une décision de la Nouvelle-Colombie dans laquelle l’arbitre reconnaît un droit de surveillance à un employeur qui contrôlait l’usage des ordinateurs grâce à la sauvegarde régulière de leur contenu dans le système informatique de l’entreprise.
L’arbitre indique que, en vertu de son droit de propriété sur les ordinateurs mis à la disposition des employés, l’employeur a le droit d’exercer une telle surveillance dans le cadre de l’exploitation de son système informatique.
L’arbitre précise également que les employés d’une entreprise n’ont aucune expectative de vie privée relativement au contenu de leur ordinateur professionnel.
Chapitre 2. La répression des abus.
Internet est devenu un moyen de communication quasiment incontournable au sein des entreprises. Cependant, si l’employeur a l’obligation de fournir le matériel professionnel à ses employés, rien ne l’oblige à leur fournir un accès à l’Internet, ni même un ordinateur, si ces outils ne sont pas indispensables à l’accomplissement de leurs tâches. De fait, de nombreuses entreprises considèrent qu’il s’agit là d’un privilège réservé à certains salariés [8] ou n’autorisent qu’une connexion restreinte à certains sites professionnels.
En prenant ainsi clairement position, l’employeur peut réduire, sinon éliminer, les problèmes liés à navigation improductive.
La navigation à des fins privées sur le lieu de travail constitue une activité relativement courante. Ces visites sont majoritairement dédiées au courrier électronique, aux sites de loisirs et de réseautage social. Ainsi, selon une étude de l’American Management Association et The ePolicy Institute, 50% des activités en ligne seraient consacrées aux jeux, 30% aux réseaux sociaux [9] et 20% au divertissement. La dépendance aux jeux électroniques peut devenir si prenante qu’elle conduit parfois les employés à commettre des actes d’insubordination caractérisés.
Ainsi, dans l’affaire Alliance de la fonction publique du Canada et Musée des beaux-arts du Canada, un salarié a été suspendu pour une période de deux mois pour s’être, notamment, livré à des jeux électroniques pendant son temps de travail et pour les avoir réinstallés sur son ordinateur chaque fois que l’employeur les en supprimait.
Toujours dans le même contexte, pour les employeurs, l’utilisation de leurs ressources par les salariés doit se faire dans le respect de leurs obligations contractuelles. Du contrat de travail découlent, en effet, deux principes essentiels : l’obligation de loyauté et de fidélité et l’obligation de discrétion. Ces principes encadrent la bonne exécution de la prestation de travail que le salarié s’est engagé à fournir et leur non-respect peut donner lieu à des sanctions disciplinaires.
L’obligation principale du salarié est de fournir le travail en contrepartie de la rémunération versée par l’employeur. Et il doit accomplir ses tâches conformément aux instructions de l’employeur, en veillant notamment à préserver la sécurité des biens et équipements professionnels et les droits des tiers.
Ainsi, le rendement, il découle du contrat du travail que le salarié est tenu d’exécuter la prestation de travail pour laquelle il est rémunéré avec diligence. L’obligation de diligence est une notion suffisamment large qui peut « Référer tant à la quantité qu’à la qualité de travail que le salarié devrait normalement fournir et à laquelle l’employeur est légitimement en droit de s’attendre, compte tenu de la nature du travail ou des termes du contrat ».
Cela implique, entre autres, que le salarié doit consacrer son temps de travail à l’activité de l’entreprise qui l’emploie. Or, le temps qu’il consacre au « surf » à des fins personnelles ou à l’échange de courriels privés durant les heures de travail est du temps qu’il vole à son employeur, puisque ce dernier lui versera une rémunération pour du temps passé à autre chose que l’accomplissement de son travail.
Pour les employeurs, de tels agissements constituent autant de motifs de sanctions. Toujours dans le même contexte et avec le développement des NTIC, les cas de « vol de temps » ont décuplés, car ces outils offrent une utilisation discrète. En effet, à moins de regarder par-dessus l’épaule des salariés assis devant un ordinateur ou de disposer d’un dispositif de traçage, rien ne permet souvent de distinguer celui qui se livre à des activités récréatives de celui qui vaque à ses tâches régulières.
Pour les employeurs, le temps que l’employé consacre à des activités personnelles au bureau est du temps qui leur est dû. Et en l’occupant à autre chose qu’à son travail, l’employé ne fournit pas sa prestation de travail ou ne la fournit pas pleinement.
Par conséquent, il ne remplit pas ses obligations et la baisse de rendement découlant de ses activités non professionnelles constitue un juste motif de sanction contre lui.
Partie 2 : L’existence de directives d’utilisation des ressources informatiques claires.
Il découle de la jurisprudence québécoise récente ainsi que Française que l’employeur qui souhaite sanctionner ses salariés relativement à leur utilisation des outils de communication électroniques doit avoir préalablement émis des directives claires définissant précisément les modalités et limites de l’utilisation de ces ressources. Une majorité d’employeurs optent plutôt pour la mise en place d’un instrument collectif réglementant l’usage des ressources informatiques dans l’entreprise (Chapitre 1), ainsi qu’il doit démontrer l’intérêt légitime et sérieux de la Cyber-surveillance (Chapitre 2).
Chapitre 1 : Les politiques Internet.
De nombreuses entreprises se sont dotées de politiques Internet, suivant ainsi les conseils de plusieurs auteurs, qui avaient très tôt souligné l’intérêt, pour les employeurs, d’adopter des directives en matière d’utilisation des ressources informatiques et spécialement d’internet. Dans la foulée, de nombreux organismes offrant des services informatiques non seulement à leurs employés, mais aussi à d’autres groupes d’utilisateurs [10], ont également emboîté le pas. Une « politique Internet » est un document qui vise généralement à réguler l’usage des outils informatiques au sein de l’entreprise [11].
A cet effet, elle définit les droits et obligations de chacun, de façon à éviter les abus, à informer les employés sur les modalités d’usage des moyens mis à leur disposition et à circonscrire le contrôle de l’employeur sur un tel usage.
Afin de s’assurer que sa politique Internet sera valide et efficace, l’employeur doit veiller à en définir le contenu de la façon la plus précise possible et à respecter certains critères. Le fait de disposer de directives claires et précises en matière d’utilisation des outils informatiques permet à l’entreprise de verrouiller toute interprétation face à des situations ambiguës que les employés ne manqueraient pas d’exploiter à leur avantage.
L’un des points de discorde concerne l’usage des équipements de l’employeur en dehors des heures de travail. Une clarification en matière d’utilisation des ressources informatiques de l’entreprise est donc souhaitable, voire incontournable. Et cela d’autant plus qu’une bonne information sur le contenu des droits et obligations de chacun permet une plus grande responsabilisation des employés et une utilisation plus rationnelle des ressources informatiques.
Idéalement, la première chose que l’employeur devrait s’attacher à faire est d’informer les employés des raisons de la mise en place d’une politique Internet et de la surveillance patronale. Une telle initiative est souhaitable afin de maintenir un climat de travail sain et de permettre une meilleure compréhension des enjeux liés à l’utilisation des technologies de l’information.
A cet effet, l’employeur doit informer les employés sur les risques encourus et les sensibiliser aux problèmes juridiques, ainsi qu’aux risques liés à la sécurité, la confidentialité, la productivité, etc. La politique Internet doit également contenir un volet consacré aux contrôles mis en place par l’entreprise.
En second lieu, l’employeur devrait indiquer sa position quant à l’utilisation attendue des outils électroniques mis à la disposition des salariés en décrivant les droits et obligations de chacun.
A cet effet, il serait judicieux qu’il fournisse une explication très détaillée sur les modalités d’utilisation des NTIC.
Chapitre 2 : L’existence d’un intérêt sérieux et légitime.
L’obligation primaire des responsables de traitement est de ne collecter des données à caractère personnel que pour des finalités déterminées, dont la personne concernée est explicitement informée.
Ce dernier s’oblige à ne pas les traiter par la suite de manière incompatible avec ces finalités. En plus de cela la loi 09-08 impose une autorisation préalable de la personne concernée dans certains cas, et d’une déclaration préalable dans d’autres cas, et ce selon la nature des informations collectées.
L’Article 3 de la loi 09-08 dispose que les données à caractère personnel doivent être traitées loyalement et licitement. Elles ne peuvent être collectées que pour des finalités bien déterminées et ne peuvent être conservées que pendant la durée de la réalisation des finalités pour lesquelles elles ont été collectées.
Ce même article impose au responsable du traitement de ces données un devoir d’exactitude et de mise à jour, à défaut les données inexactes ou incomplètes doivent être rectifiées ou effacées.
L’employeur doit apporter la preuve concrète que ses motifs répondent à une exigence de rationalité et de proportionnalité. Le critère de « rationalité » implique que le motif doit exister avant que l’employeur décide de procéder à la surveillance du poste informatique d’un salarié ; quant à « la proportionnalité », elle signifie que l’employeur doit veiller à ce que la mesure de surveillance constitue une atteinte minimale à la vie privée du salarié. En outre, la surveillance doit être « nécessaire pour la vérification du comportement du salarié ». Autrement, l’employeur a le droit de surveiller ses employés, à condition qu’il démontre l’importance de l’intérêt qu’il souhaite protéger et l’antériorité du motif de la surveillance. Au bout du tunnel, La surveillance doit être mise en place pour faire face à un problème important, réel et précis et en lien avec les exigences du bon fonctionnement de l’entreprise.
L’employeur ne peut pas se contenter d’invoquer un simple doute relativement au comportement d’un salarié pour vérifier le contenu de son ordinateur, l’objectif visé doit être clairement identifié et doit être sérieux et important en vue de régler un problème important. Or, il n’est pas toujours possible pour l’entreprise de prouver que la surveillance répondait à une exigence particulière, car bien souvent, il s’agit d’un besoin abstrait.
Certes, dans certaines circonstances, le risque hypothétique pourra suffire. Ce sera le cas, par exemple, dans les industries sensibles où le risque de fuite d’informations est si élevé et « évident » qu’il est inutile que l’employeur étaye son argumentation. Cependant, dans la plupart des cas, l’employeur devra concrètement démontrer l’existence d’un « problème réel et précis ».
Outre son caractère grave, l’objectif visé par l’employeur doit avoir un lien avec le travail et le bon fonctionnement de l’entreprise. La loyauté et le respect, de bonne foi, des obligations contractuelles et des directives patronales sont les motifs qui viennent immédiatement à l’esprit.
Il faut y ajouter la productivité, la sécurité et la prévention des faits illicites, contraires aux bonnes mœurs, diffamatoires ou susceptibles de porter atteinte à la dignité d’autrui.
En somme, en ce qui concerne le respect de la vie privée du salarié dans l’entreprise, deux règles essentielles sont imposées par la jurisprudence en France.
Nul ne peut être surveillé à son insu, et l’employeur ne peut accéder à des données de son salarié à caractère personnel sauf en cas de motif grave ou légitime et en présence de celui-ci. Les tribunaux sociaux au Maroc n’ont encore pas eu l’occasion de statuer sur ce genre de litiges, mais leur avis juridique ne sera certainement pas différent puisque la loi du 23 février 2009 s’est fortement inspirée de la commission nationale de l’informatique et des libertés de France.
Bibliographie
Ouvrage :
1. Gagnon. R, (2005). Le droit du travail du Québec, pratiques et théories, 4e édition, Éditions Yvon Blais, 677 pages.
2. M.-P. Fenoll-Trousseau et G. Haas. La cyber-surveillance dans l’entreprise et le droit, Litec, 2002.
3. Mazeaud. A. Droit du travail, 8e éd., Paris, Montchrestien, 2012.
4. Nadir. B (2012). L’essentiel du droit de travail Marocain.
Article :
1. Direction de l’animation et de la recherche, des études et des statistiques (DARES), Conditions de travail : une pause dans l’intensification du travail. Premières Synthèses, Paris, Publications Dares, 2007.
2. Enquête du Computer Security Institute (CSI) et du Federal Bureau of Investigation (FBI).
3. Ivaldi, N. et P. Vincent, « Cybersurveillance des salariés et chartes informatiques »,
Caprioli-avocats.com, Septembre 2005, en ligne [12]].
Mémoires de maîtrise :
1. Fabrice Février, Pouvoir de contrôle de l’employeur et droits des salariés à l’heure d’Internet. Les enjeux de la cyber-surveillance dans l’entreprise, mémoire de D.E.A, Nanterre, Faculté de droit, Université de Nanterre - Paris X, 2003.
2. Vincent Roques, La sécurité des données d’entreprises en réseau, mémoire de D.E.A, Montpellier, Institut de Recherche et d’Étude pour le Traitement de l’Information Juridique, Université Montpellier I, 2002.
3. Hortense Y. Eone, Vie privée et bon usage des NTIC au travail : risques et responsabilités, mémoire en vue de l’obtention du grade de Maître en droit (L.L.M) en droit des affaires, Faculté de droit, Université de Montréal.
Documents :
1. American management association, the ePolicy institute, 2007 Electronic Monitoring & Surveillance Survey.
2. Turnbull. R, Privacy Management Plan and Policies.
3. Georges Radwanski, (Commissariat à la protection de la vie privée du Canada), Décisions récentes et questions émergentes en vertu de la nouvelle loi sur la protection de la vie privée.
4. Loi n° 09-08 relative à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel.
5. St-André, Yves. "Le respect du Droit a la vie privée au travail : mythe ou réalité ?" Barreau du Quebec, Service de la formation permanente, Développement récents en droit du travail, vol. 205.