Le salarié a généralement la possibilité de faire un usage personnel des Nouvelles Technologies de l’Information et de la Communication (NTIC) que l’employeur met à sa disposition (Internet, messagerie, outils bureautiques). Ce point figure bien souvent dans la charte informatique de l’entreprise.
Dès lors, comment concilier le droit de contrôle et de surveillance reconnu à l’employeur avec le droit à la vie privée dont dispose le salarié sur son lieu de travail ?

Le contrôle exercé par l’employeur sur l’usage des NTIC mises à disposition dans son entreprise peut passer par un contrôle des logs de connexion (I) et par un contrôle des contenus (mails / fichiers bureautiques) (II). Le juge en a défini les modalités : cet article propose de faire un point sur les règles applicables.

I. Le contrôle des logs

Définition des logs : données informatiques permettant de retracer des événements (notamment date et heure de connexion à une application). Les logs (également appelés "traces") constituent des données à caractère personnel au sens de la loi Informatique et Libertés (LIL) [1]

L’employeur peut conserver les logs de connexion de ses salariés (notamment logs Internet) et en faire usage pour sanctionner les abus (B) à condition de respecter ses obligations issues de la LIL (A).

A. Les obligations de l’employeur

a. Informer

Les salariés

L’employeur qui conserve les logs de connexion de ses salariés se livre à un traitement de données à caractère personnel : il doit donc porter le dispositif de gestion des logs à la connaissance de ses salariés [2].

Le Comité d’entreprise

La conservation des logs de connexion des salariés peut constituer un moyen de contrôler l’activité des salariés : celle-ci doit donc faire l’objet d’une information et d’une consultation du Comité d’entreprise [3].

b. Déclarer le dispositif à la CNIL

La déclaration à la CNIL du système de gestion des logs prendra la forme d’une déclaration "normale" [4] si les logs de connexion enregistrés le sont de manière à pouvoir retracer l’activité de chaque salarié. Dans le cas contraire, une déclaration simplifiée [5] par référence à la norme simplifiée n°46 pourra être établie.
Le traitement sera exonéré de déclaration auprès de la CNIL si un correspondant informatique et libertés a été nommé dans l’entreprise.

c. Limiter la durée de conservation des logs

Les logs de connexion constituant des données à caractère personnel, leur durée de conservation doit être limitée [6]. Les textes ne fixent pas de durée ; la CNIL considère qu’une durée de conservation de 6 mois est suffisante.

B. Les prérogatives de l’employeur

a. Accéder aux logs de connexion des salariés

Selon la jurisprudence, l’employeur qui conserve les logs de connexion de ses salariés peut y accéder librement car les logs de connexion Internet sont présumés professionnels [7], même si le salarié a pris soin de classer un site Internet dans les favoris de son navigateur [8].

b. Sanctionner un usage abusif

L’employeur peut se fonder sur les logs de connexion d’un salarié pour prononcer une sanction disciplinaire à son égard. Le juge a - par exemple - retenu la faute grave d’un salarié qui se connectait à des sites Internet extra-professionnels depuis son lieu et sur son temps de travail pendant une durée excessive [9].

II. Le contrôle des contenus

Les modalités d’accès aux contenus par l’employeur seront différentes, selon qu’il s’agisse d’un contenu professionnel (A) ou d’un contenu personnel (B).

A. Les contenus professionnels

Les messages échangés et les fichiers édités par un salarié sur son lieu de travail sont présumés professionnels [10], l’employeur peut donc y accéder hors de la présence du salarié. Il peut demander au salarié de lui communiquer à cet effet son login et son mot de passe [11].
Cette présomption de professionnalité a permis au juge de retenir le caractère professionnel du contenu d’une clé USB connectée à l’ordinateur professionnel du salarié [12].

B. Les contenus personnels

a. Modalités d’identification des contenus

Le salariés peut identifier certains messages ou documents comme étant personnels : cette identification permet d’écarter l’accès de l’employeur à ces contenus.

Le juge a eu l’occasion de préciser les modalités de cette identification :
 Nommer un dossier par ses initiales n’en fait pas un dossier personnel [13]
 Le dossier "mes documents" n’est pas un dossier personnel [14]
 L’ensemble du disque dur ne peut contenir des documents personnels [15]
 Un courriel envoyé depuis une messagerie personnel n’est pas traité comme une correspondance privée [16]

b. Modalités de consultation des contenus par l’employeur

Avant 2009

Le secret des correspondances bénéficiait d’une protection supplémentaire, ainsi :
 Les courriels personnels ne pouvaient être consultés par l’employeur que dans le cadre d’une procédure judiciaire [17] ;
 Les dossiers personnels (fichiers crées grâce à l’outil informatique mis à la disposition du salarié) pouvaient être consultés par l’employeur en cas de "risque ou d’événement particulier ".

Depuis 2009

La jurisprudence semble avoir unifié les deux régimes : courriels et dossiers peuvent être consultés par l’employeur, en cas de " risque ou événement particulier " [18].

Reste à savoir quel risque ou événement sera suffisamment particulier pour justifier l’accès par l’employeur à des contenus personnels de ses salariés.

C. Karpp Juriste droit des nouvelles technologies

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion, plus d'infos dans nos mentions légales ( https://www.village-justice.com/articles/Mentions-legales,16300.html#droits ).