Chaque
semaine, gros plan sur la loi et l'Internet
La
cybersurveillance dans l'entreprise est-elle encore possible?
-
10 avril 2001 -
La question de la cybersurveillance doit être posée publiquement.
Sa pratique doit être encadrée strictement.
|
par
Olivier Iteanu, avocat.
|
Dans
un jugement prononcé le 2 novembre 2000 par la 17ème Chambre
correctionnelle du Tribunal de grande instance de Paris, les
juges affirment le principe selon lequel il convient d'assimiler
le courrier électronique à une correspondance privée. Aussi,
en tant que tel, l'e-mail est protégé par le secret des correspondances
privées prévu et réprimé par les articles 226-13 et 432-9
du Code Pénal.
Pour mémoire, cela signifie que
la violation de ce principe constitue un délit, notamment
"le fait, par une personne dépositaire de l'autorité publique
ou chargée d'une mission de service public, agissant dans
l'exercice ou à l'occasion de l'exercice de ses fonctions,
ou de sa mission, d'ordonner, de commettre ou de faciliter,
hors les cas prévus par la loi, le détournement, la suppression
ou l'ouverture de correspondances ou la révélation du contenu
de ces correspondances, est puni de trois ans d'emprisonnement
et de 300.000 francs d'amende." Aux dernières nouvelles,
les prévenus avaient décidé de faire appel du jugement. On
attend donc que la Cour d'Appel de Paris se penche sur la
question.
Mais, il convient d'aller plus
loin que la première analyse. Le fait que e-mail = correspondance
privée n'est pas en soi une grande nouvelle : remarquons cependant
que l'affirmation doit être nuancée et qu'il nous semble,
dans certains cas (par exemple de diffusion) que le caractère
public pourrait être appliqué. Pour répondre à notre question,
regardons les faits en cause.
Violation
d'une correspondance privée |
En l'espèce, un étudiant en informatique
effectuait des recherches pour sa thèse dans un laboratoire
de l'Ecole supérieure de physique et de chimie industrielle.
Il disposait, pour cela, d'un équipement qui lui avait été
remis, muni d'un code d'accès. En septembre 1996, une seconde
étudiante se plaint de la disparition de certains de ses fichiers
informatiques. Elle fait part de ses soupçons à l'ingénieur
système du laboratoire. Trois mois plus tard, cette même étudiante
fait l'objet d'une usurpation d'identité au sujet d'un article
scientifique qu'elle entendait diffuser. A la suite de ces
événements, le directeur du laboratoire décide de surveiller
la messagerie électronique de l'étudiant soupçonné. Les soupçons
semblent se confirmer et le compte informatique de l'étudiant
est clos et son exclusion du laboratoire de l'Ecole supérieure
de physique et de chimie industrielle est prononcée. Mais
l'étudiant n'accepte pas la décision. Il porte plainte pour
"vol de données informatiques", atteinte à la vie privée,
violation et détérioration de correspondances privées et discrimination
à son encontre.
C'est dans ces conditions que l'on
aboutit à la décision du Tribunal rappelée plus haut. Le Tribunal
précise que "la messagerie électronique permet de transmettre
un message écrit d'une personne à une autre, de manière analogue
au courrier", que "le message transmis revêt les caractéristiques
suivantes : il est exclusivement destiné à une personne physique
ou morale, il s'adresse à une personne individualisée, si
son adresse est nominative, ou déterminée, si son adresse
est fonctionnelle (...), il est personnalisé". C'est donc,
pour les juges, la violation d'une correspondance privée au
même titre qu'un courrier papier que l'on aurait ouvert à
l'insu de son destinataire ou propriétaire. Les trois responsables
du laboratoire sont condamnés à 5.000 et 10.000 francs d'amende.
L'étudiant obtient 10.000 francs de dommages et intérêts.
Les sommes peuvent paraître peu importantes, mais le principe
de condamnation est posé.
Comment, dans ces conditions, et
dans quelle mesure, un administrateur de réseau va-t'il désormais
pouvoir exercer un contrôle sur son réseau? Le jugement du
2 novembre 2000 ne donne aucune piste.
La Commission Nationale de l'Informatique
et des Libertés (CNIL) a, quant à elle, eu l'occasion de se
pencher sur la question de la cybersurveillance des salariés
dans l'entreprise. Dans un rapport d'étude et de consultation
publique de mars 2001, elle rappelle l'exigence d'équilibre
entre le droit reconnu à l'entreprise d'assurer sa propre
sécurité et celui, tout aussi légitime, des salariés au respect
de leur vie privée et de leurs libertés. Elle rappelle ainsi
que toute mise en place d'une quelconque surveillance doit
être précédée de l'information des salariés et, le cas échéant,
de l'avis de leurs représentants. Elle pose également une
règle, à savoir le principe dit de proportionnalité. Selon
ce principe, toute mesure susceptible d'être attentatoire
à un droit fondamental doit être justifié et surtout proportionnel
au but recherché. Cette condition est de bon sens et correspond
à la doctrine habituelle de la CNIL. Les
Tribunaux, quant à eux, ne semblent pas suivre systématiquement
cette dernière condition.
Un
premier jugement qui devrait rassurer les salariés jaloux
de leurs droits fondamentaux |
Enfin, la CNIL précise les actes
de contrôles qu'elle considère comme admissibles dans le cadre
de la cybersurveillance des salariés dans leurs usages d'une
mesagerie. Les trois actes de contrôle admis sont, d'une part,
le contrôle du volume des messages échangés, d'autre part,
le contrôle de la taille des messages échangés, et enfin,
le contrôle du format des pièces jointes. A aucun moment,
la CNIL ne considère comme admissible le fait d'intercepter
et de prendre connaissance du contenu des messages. Bien évidemment,
sur autorisation et sous contrôle judiciaire, l'ouverture
des messages pourrait être admise.
La cybersurveillance est une question
qui doit être posée publiquement, car elle est une pratique
inévitable des entreprises. Il faut donc l'encadrer
strictement. Ce premier jugement rendu par les Tribunaux français
devrait rassurer les salariés jaloux de leurs droits fondamentaux.
Le rapport d'étude de la CNIL devrait donner aux entreprises
quelques pistes sur les normes comportementales admissibles.
Le chemin de l'équilibre risque cependant d'être encore long.
Dans l'attente d'une réforme législative sur ce point, et
dans ce contexte, le recours à une charte d'entreprise discutée
et acceptée par les deux parties semble la solution à court
terme la plus sécurisée.
[oiteanu@iteanu.com]
A lire
également :
Au
sommaire de l'actualité
|
|