Gestion et archivage des mails : une problématique juridique délicate

La gestion des mails au sein d'une entreprise est une question ardue d'un point de vue juridique, que ce soit au niveau de la qualification du mail, de son statut, ou encore de la durée d'archivage de ce dernier.

Les services de messagerie connaissent une croissance exponentielle au sein des entreprises (et des organisations) et les volumes des contenus échangés par voie électronique dépassent très largement ceux des flux papier. Ils correspondent à environ deux tiers des données transmises. Or, le plus souvent, les mails sont mal gérés et mal archivés, alors que le Gartner prévoit plus de 7 000 pétaoctets échangés sur ce terrain à l'horizon 2010.

Les entreprises considèrent la question de l'archivage des mails comme complexe et elle est, pour cette raison, largement méconnue. Mais quels mails doit-on archiver et pour combien de temps ? Quels sont les moyens à mettre en œuvre ? Juridiquement, quel est l'intérêt de mettre en place une politique d'archivage des courriers électroniques dans une entreprise ? Autant de questions auxquelles il est important d'apporter des éléments de réponse, en évoquant tour à tour les règles juridiques applicables et les principes directeurs d'une politique d'archivage de mails. Il s'agit ainsi de démontrer la nécessité d'organiser de façon rationnelle leur archivage.

L'usage privé des mails dans le cadre de la relation de travail, pourtant largement répandu, ne sera pas traité dans ces développements mais les règles relatives au respect de la vie privée (mails et fichiers marqués comme "privés" ou "personnels") doivent être prises en compte dans la politique en termes de qualification juridique et de délai d'archivage.

1) Règles juridiques applicables
 
Le courrier électronique se définit comme "tout message, sous forme de texte, de voix, de son ou d'image, envoyé par un réseau public de communication, stocké sur un serveur du réseau ou dans l'équipement terminal du destinataire, jusqu'à ce que ce dernier le récupère", conformément à l'article 1-IV al.5 de la loi pour la confiance dans l'économie numérique.

Parmi les mails émis ou reçus, on peut distinguer notamment ceux qui sont signés électroniquement ou non, ceux qui ont un fichier attaché ou non, ceux qui doivent être archivés en raison d'obligations légales ou règlementaires. De ce premier constat, en découlent des régimes juridiques différents. Ainsi, il apparaît que certains messages électroniques engagent l'entreprise.

Si l'on prend le cas de l'écrit électronique, celui-ci est doté de "la même force probante que l'écrit sur support papier", selon l'article 1316-3 du code civil. Mais l'article 1316-1 précise que, pour être admis comme preuve, l'écrit électronique doit permettre d'identifier la personne dont il émane, et doit être établi et conservé dans des conditions de nature à en garantir l'intégrité. Dès lors que ces conditions sont remplies, tout courrier électronique signé est admissible à titre de preuve. C'est pourquoi l'entreprise ne doit pas négliger l'importance du contenu des messages électroniques envoyés à ses clients ou fournisseurs.

En outre, l'entreprise pourra être considérée comme responsable des actes illicites commis à partir de la messagerie de l'entreprise, sur le fondement de la responsabilité civile du fait du salarié-préposé (article 1384 alinéa 5 du code civil). Du moment que le salarié agit dans le cadre de ses fonctions avec les outils de l'entreprise, cette dernière peut être reconnue responsable des actes de ce dernier.

Principales obligations légales

La loi exige la traçabilité des échanges électroniques au sein des entreprises. En effet, l'article 6-II de la loi du 21 juin 2004 pour la confiance dans l'économie numérique énonce que les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, et celles qui "assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne", doivent détenir et conserver "les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires".

Ceci signifie qu'une entreprise qui met un accès à l'Internet à disposition de ses salariés et tiers travaillant au sein de l'entreprise (sous traitants, stagiaires..) doit avoir pris des mesures de nature à permettre l'identification des auteurs des courriers électroniques issus des postes de travail de l'entreprise.

Dans certains secteurs comme la banque (CRBF 97-02), la santé, l'agroalimentaire ou l'aviation civile la traçabilité est une donnée incontournable. Par exemple, dans le cadre du contrôle interne, les banques doivent conserver jusqu'à la date de l'arrêté suivant, l'ensemble des fichiers nécessaires à la justification des documents du dernier arrêté remis à la Commission bancaire (article 15). L'archivage des courriers électroniques ainsi que des données permettant de reconstituer un historique ou l'existence d'une opération doit être pris en compte suivant certaines conditions propres à la vie privée des salariés


2) Politique d'archivage des mails : principes directeurs

Les intérêts de l'archivage

La mise en place d'une politique d'archivage au sein de l'entreprise permet tout d'abord de respecter l'obligation légale de traçabilité des échanges électroniques. Une bonne politique doit permettre, entre autres, de retrouver facilement les informations archivées en cas de besoin, comme par exemple retrouver l'auteur d'un mail  envoyé à partir d'un poste informatique de l'entreprise.

Enfin, une telle politique doit permettre la gestion des mails : être en mesure de retrouver facilement les mails archivés, les mails inutiles devant être exclus de l'archivage pour éviter une surcharge inutile. De plus, les dirigeants doivent avoir la garantie que les informations importantes seront conservées conformément aux obligations légales et aux directives de l'entreprise.

Deux finalités caractérisent l'archivage des mails :
- conserver les mails qui ont une valeur juridique de façon intègre (préconstitution de preuves) et pendant la durée légale ;
- faciliter l'accès et la gestion à l'information au sein de l'entreprise en organisant les données conservées et en assurant leur pérennité.

La mise en place d'une politique d'archivage

Cette mise en place commence par le choix des moyens techniques adaptés. L'archivage doit concerner les flux entrants et sortants de l'entreprise par la messagerie électronique.

Il faut choisir un format ouvert et lisible dans la durée, ainsi qu'un support de type WORM (write once, read many) qui permet d'écrire une seule fois, mais de lire autant de fois que souhaité. On peut également choisir une solution logicielle du type Worm logique (voir en ce sens les évolutions de la nouvelle norme Z 42 013 de l'AFNOR à paraître) Les autres critères de choix sont liés à la durée de conservation (variable selon le domaine juridique en cause), à la volumétrie, au coût et à l'accessibilité souhaités. Le respect de ce dernier critère d'accessibilité est capital, mais il ne faut pas omettre de traiter de son pendant : la confidentialité et la gestion des accès à l'information (les droits et les habilitations).

La politique d'archivage prévoira également l'utilisation de procédés de scellement, tel que l'horodatage afin de garantir la date d'un mail et son intégrité. La valeur probante des mails en dépend.

De même, il sera nécessaire d'être attentif aux lois qui peuvent exiger, pour certaines données, un délai minimal de conservation (exemple : 10 ans pour les écrits constatant une transaction dont le montant est supérieur à 120 euros - art. L. 134-2 du Code de de la consommation - et une durée de prescription - article L. 110-4 du code de commerce sur la prescription en droit commercial - fixée à 5 ans depuis la loi du 17 juin 2008).

Si l'entreprise a recours à un prestataire externe spécialisé, il sera nécessaire d'organiser la relation contractuelle en précisant notamment que le prestataire s'engage à respecter la politique d'archivage de l'entreprise et spécialement sa finalité probatoire (annexe du contrat de prestation). Cette obligation devra être de résultat.

Pour terminer, une fois la politique d'archivage mise en place, il ne faudra pas négliger d'en assurer le suivi au moyen d'audits de conformité réguliers sur la base de référentiels permettant de vérifier, au fil du temps et de l'évolution de la législation, le respect des dispositions légales et règlementaires d'une part, et les besoins de l'entreprise et des utilisateurs, d'autre part.